Microsoft Entra Connect Sync サービスの機能
Microsoft Entra Connect の同期機能には、次の 2 つのコンポーネントがあります。
- Microsoft Entra Connect Sync という名前のオンプレミスのコンポーネント: 同期エンジンとも呼ばれます。
- Microsoft Entra ID に存在するサービス: Microsoft Entra Connect Sync サービスとも呼ばれます。
このトピックでは、Microsoft Entra Connect Sync サービスの各種機能のしくみと、PowerShell を使用してそれらを構成する方法について説明します。
Graph PowerShell を使って Microsoft Entra ディレクトリの構成を確認するには、次のコマンドを使います。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
出力結果は、次のようになります。
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
いったん機能を有効にすると、後でもう一度無効にすることはできません。
Note
2016 年 8 月 24 日以降、"重複属性の回復性" 機能は、新しい Microsoft Entra ディレクトリに対して既定で有効になります。 また、この機能はロールアウトされ、この日付より前に作成されたディレクトリでも有効になります。 お使いのディレクトリでこの機能が有効になるときに電子メール通知を受け取ります。
以下の設定は、Microsoft Entra Connect によって構成されます。
| DirSyncFeature | コメント |
|---|---|
| SoftMatchOnUpn | プライマリ SMTP アドレスに加えて userPrincipalName でオブジェクトを結合できます。 |
| SynchronizeUpnForManagedUsers | 同期エンジンに管理対象ユーザー/ライセンス ユーザー (非フェデレーション ユーザー) の userPrincipalName 属性の更新を許可します。 |
| DeviceWriteback | Microsoft Entra Connect: デバイスの書き戻しの有効化 |
| DirectoryExtensions | Microsoft Entra Connect Sync: ディレクトリ拡張機能 |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
エクスポート時に、別のオブジェクトとの重複がある場合、オブジェクト全体が失敗するのではなく、属性を検疫できます。 |
| パスワード ハッシュの同期 | Microsoft Entra Connect 同期を使用したパスワード ハッシュ同期の実装 |
| パススルー認証 | Microsoft Entra パススルー認証を使用したユーザー サインイン |
| UnifiedGroupWriteback | グループの書き戻し |
| UserWriteback | 現在はサポートされていません。 |
重複属性の回復性
UPN や proxyAddress が重複している場合、そのオブジェクトのプロビジョニングが失敗する代わりに、重複している属性を "検疫" し、一時的な値を割り当てます。 競合が解決されると、一時的な UPN は自動的に適切な値に変更されます。 詳細については、「 ID 同期と重複属性の回復性」を参照してください。
UserPrincipalName のあいまい一致
この機能を有効にすると、プライマリ SMTP アドレスに加えて UPN にもあいまい一致が有効になります。プライマリ SMTP アドレスでは、あいまい一致が常に有効になっています。 あいまい一致は、Microsoft Entra ID 内の既存のクラウド ユーザーをオンプレミスのユーザーと照合するために使用されます。
オンプレミスの AD アカウントを、クラウドで作成された既存のアカウントと照合する必要があり、Exchange Online を使っていない場合は、この機能が役立ちます。 このような状況では、通常、クラウドで SMTP 属性を設定する理由がありません。
新たに作成した Microsoft Entra ディレクトリでは、この機能は既定で有効になっています。 この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
この機能が Microsoft Entra ディレクトリに対して有効になっていない場合は、次のコマンドレットを実行して有効にすることができます。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
この機能が有効になっていると、ソフト一致機能はブロックされます。 お客様は、この機能を有効にし、テナントにソフト一致機能が再度必要になるまでは有効にしたままにすることをお勧めします。 このフラグは、ソフト一致が完了し、不要になった後で、再度有効にする必要があります。
例: テナントでのソフト一致をブロックするには、次のコマンドレットを実行します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
userPrincipalName の更新の同期
これまで、次の 2 つの条件が両方とも当てはまらない限り、オンプレミスから同期サービスを使用して UserPrincipalName 属性を更新することはできませんでした。
- ユーザーが管理対象ユーザー (非フェデレーション ユーザー) である。
- ユーザーにライセンスが割り当てられていない。
Note
2019 年 3 月から、フェデレーション ユーザー アカウントでの UPN 変更の同期が許可されています。
この機能を有効にすると、userPrincipalName がオンプレミスで変更されたときに、パスワード ハッシュ同期またはパススルー認証を使用している場合は、同期エンジンによって userPrincipalName が更新されます。
新たに作成した Microsoft Entra ディレクトリでは、この機能は既定で有効になっています。 この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
この機能が Microsoft Entra ディレクトリに対して有効になっていない場合は、次のコマンドレットを実行して有効にすることができます。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
この機能を有効にすると、既存の userPrincipalName の値はそのまま維持されます。 次に serPrincipalName 属性をオンプレミスで変更したときに、ユーザーに関する通常の差分同期によって UPN が更新されます。