Microsoft Entra Connect Health を使用して Microsoft Entra Connect Sync を監視する

[アーティクル]
11/06/2023

次のドキュメントでは、Microsoft Entra Connect Health を使用した Microsoft Entra Connect (Sync) の監視について記述されています。 Microsoft Entra Connect Health を使用して AD FS を監視する方法の詳細については、「AD FS での Microsoft Entra Connect Health の使用」を参照してください。また、Microsoft Entra Connect Health での Active Directory Domain Services の監視については、「AD DS での Microsoft Entra Connect Health の使用」を参照してください。

Microsoft Entra Connect Health for Sync ページのスクリーンショット。

重要

Microsoft Entra Connect Health for Sync には、Microsoft Entra Connect Sync V2 が必要です。 Azure AD Connect V1 をまだ使用している場合は、最新バージョンにアップグレードする必要があります。 Azure AD Connect V1 は 2022 年 8 月 31 日に廃止されます。 Microsoft Entra Connect Health for Sync は、2022 年 12 月に Azure AD Connect V1 では機能しなくなります。

Microsoft Entra Connect Health for Sync のアラート

Microsoft Entra Connect Health for Sync アラートセクションには、アクティブなアラートの一覧が表示されます。各アラートには、関連情報、解決の手順、関連ドキュメントのリンクが含まれます。アクティブまたは解決済みのアラートを選択すると、新しいブレードが開き、アラートの解決に利用できる手順やその他のドキュメントへのリンクなどの追加情報が表示されます。過去に解決されたアラートの履歴データも表示できます。

Microsoft Entra Connect Sync のエラー

アラートの評価が限定される状況

Microsoft Entra Connect で既定の構成が使用されていない場合 (たとえば、属性フィルターが既定の構成からカスタム構成に変更されている場合)、Microsoft Entra Connect Health エージェントは Microsoft Entra Connect に関連するエラーイベントをアップロードしません。

その結果、サービスによるアラートの評価は限定的なものになります。この状況を示すバナーが Microsoft Entra 管理センターの該当サービスの下に表示されます。

この状況を変更するには、[設定] をクリックし、Microsoft Entra Connect Health エージェントがすべてのエラーログをアップロードできるようにします。

[設定] オプションが四角で囲まれ、[設定] セクションの [保存] オプションと [ON] オプションが四角で囲まれたスクリーンショット。

同期に関する洞察

管理者は、Microsoft Entra ID に対する変更の同期にかかった時間と発生する変更の量を日常的に把握する必要があります。この機能を利用すると、以下のグラフを使用してこれを簡単に視覚化できます。

同期処理の遅延
オブジェクト変更傾向

同期の遅延

この機能は、コネクタの同期処理 (インポート、エクスポートなど) に伴う遅延の傾向をグラフィカルに表示します。処理の遅延をすばやく簡単に把握できることに加え (変更が大量に発生している場合などに有効)、待機時間が異常に長く調査が必要なケースを検出することができます。

過去 3 日間の実行プロファイルの待機時間のグラフのスクリーンショット。

既定では、Microsoft Entra コネクタの "エクスポート" 処理の遅延のみ表示されます。コネクタに関してそれ以外の処理を確認したり、他のコネクタからの処理を確認したりするには、グラフを右クリックし、[グラフの編集] を選択するか、[遅延グラフの編集] ボタンをクリックして具体的な処理とコネクタを選択してください。

同期オブジェクトの変更

評価後 Microsoft Entra ID にエクスポートされている変更の数の傾向は、この機能によってグラフィカルに表示することができます。現在、同期ログからこの情報を収集することは困難です。このグラフを見れば、ご利用の環境内で生じている変更の数を簡単に監視できるだけでなく、発生しているエラーを視覚的に確認することができます。

過去 3 日間の Microsoft Entra ID への統計のエクスポートのグラフのスクリーンショット。

オブジェクトレベルの同期エラーレポート

Windows Server AD と Microsoft Entra ID との間で Microsoft Entra Connect を使って ID データを同期するときに発生する同期エラーについてのレポートは、この機能で入手できます。

このレポートには、同期クライアント (Microsoft Entra Connect Version 1.1.281.0 以降) によって記録されたエラーが含まれます。
同期エンジンにおける直近の同期操作で発生したエラーが対象となります (Microsoft Entra コネクタでの "エクスポート"。)
レポートに最新のデータを取り込むには、Microsoft Entra Connect Health の同期エージェントに、適切なエンドポイントへの送信接続が必要です。
このレポートは、Microsoft Entra Connect Health の同期エージェントによってアップロードされたデータを使用して 30 分ごとに更新されます。その主な機能を示します。
- エラーカテゴリの分類
- オブジェクトとエラー (カテゴリごと) の一覧表示
- エラーについてのすべてのデータを一元化
- 競合エラーのあるオブジェクトを並べて比較
- エラーレポートを CVS としてダウンロード

エラーカテゴリの分類

レポートでは、既存の同期エラーが次のカテゴリで分類されます。

カテゴリ	説明
重複する属性	Microsoft Entra ID において本来テナントごとに一意であるべき属性 (proxyAddresses、UserPrincipalName など) の値に重複があるオブジェクトを Microsoft Entra Connect が作成または更新しようとしたときに発生するエラー。
一致しないデータ	あいまいな一致の処理で、同期エラーを引き起こしたオブジェクトの突き合わせに失敗したときのエラー。
データ検証の失敗	無効なデータに起因するエラー。たとえばサポート対象外の文字が重要な属性 (UserPrincipalName など) に使用されていたり、データの形式に誤りがあるために Microsoft Entra ID への書き込み前の検証に失敗したりしたケースが対象となります。
フェデレーションドメイン変更	異なるフェデレーションドメインがアカウントで使用されたときに発生するエラー。
大きい属性	許可されているサイズや長さ、数を超える属性がある場合に発生するエラー。
その他	上記のカテゴリに該当しないその他すべてのエラー。このカテゴリは、フィードバックに基づいてさらに細かく分類されます。

同期エラーレポートの概要同期エラーレポートのカテゴリ

オブジェクトとエラー (カテゴリごと) の一覧表示

それぞれのカテゴリを掘り下げていくと、そのカテゴリのエラーに該当する一連のオブジェクトが表示されます。同期エラーレポートの一覧

Error Details

エラーごとの詳しい画面で以下のデータを確認できます。

強調表示されている競合する属性
関連する "AD オブジェクト" の識別子
関連する "Microsoft Entra オブジェクト" の識別子 (該当する場合)
エラーの説明と解決方法

同期エラーレポートの詳細

エラーレポートを CSV としてダウンロード

[エクスポート] ボタンを選択すると、すべてのエラーに関する詳細情報を含んだ CSV ファイルをダウンロードできます。

同期エラーを診断して修正する

ユーザーのソースアンカーの更新を伴う特定の重複属性同期エラーシナリオでは、同期エラーをポータルから直接修正できます。「重複属性同期エラーを診断して修正する」を参照してください