Azure AD Connect 同期サービスの機能

Azure AD Connect の同期機能には 2 つのコンポーネントがあります。

  • Azure AD Connect Sync という名前のオンプレミスのコンポーネント: 同期エンジンとも呼ばれます。
  • Azure AD 内にあるサービス: Azure AD Connect 同期サービス

このトピックでは、 Azure AD Connect 同期サービス の各種機能のしくみと、Windows PowerShell を使用してそれらを構成する方法について説明します。

これらの設定は、 Windows PowerShell 用 Azure Active Directory モジュールで構成されます。 これは、Azure AD Connect とは別にダウンロードしてインストールします。 このトピックで紹介するコマンドレットは、 2016 年 3 月のリリース (ビルド 9031.1)で導入されたものです。 このトピックに記載されているコマンドレットがないか、同じ結果が生成されない場合は、最新バージョンが実行されていることを確認してください。

Azure AD ディレクトリ内の構成を確認するには、 Get-MsolDirSyncFeaturesを実行します。
Get-MsolDirSyncFeatures result

これらの設定の多くは、Azure AD Connect でのみ変更できます。

以下の設定は、 Set-MsolDirSyncFeatureで設定できます。

DirSyncFeature 解説
EnableSoftMatchOnUpn プライマリ SMTP アドレスに加えて userPrincipalName でオブジェクトを結合できます。
SynchronizeUpnForManagedUsers 同期エンジンに管理対象ユーザー/ライセンス ユーザー (非フェデレーション ユーザー) の userPrincipalName 属性の更新を許可します。

いったん機能を有効にすると、後でもう一度無効にすることはできません。

注意

2016 年 8 月 24 日以降、" 重複属性の回復性 " 機能は、新しい Azure AD ディレクトリに対して既定で有効になります。 また、この機能はロールアウトされ、この日付より前に作成されたディレクトリでも有効になります。 お使いのディレクトリでこの機能が有効になるときに電子メール通知を受け取ります。

以下の設定は、Azure AD Connect によって構成されており、 Set-MsolDirSyncFeatureで変更することはできません。

DirSyncFeature 解説
DeviceWriteback Azure AD Connect:デバイス ライトバックの有効化
DirectoryExtensions Azure AD Connect 同期:ディレクトリ拡張機能
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
エクスポート時に、別のオブジェクトとの重複がある場合、オブジェクト全体が失敗するのではなく、属性を検疫できます。
パスワード ハッシュの同期 Azure AD Connect Sync によるパスワード ハッシュ同期の導入
パススルー認証 Azure Active Directory パススルー認証によるユーザー サインイン
UnifiedGroupWriteback グループの書き戻し
UserWriteback 現在はサポートされていません。

重複属性の回復性

UPN や proxyAddress が重複している場合、そのオブジェクトのプロビジョニングが失敗する代わりに、重複している属性を "検疫" し、一時的な値を割り当てます。 競合が解決されると、一時的な UPN は自動的に適切な値に変更されます。 詳細については、「 ID 同期と重複属性の回復性」を参照してください。

UserPrincipalName のあいまい一致

この機能を有効にすると、プライマリ SMTP アドレスに加えて UPN にもあいまい一致が有効になります。プライマリ SMTP アドレスでは、あいまい一致が常に有効になっています。 あいまい一致は、Azure AD 内の既存のクラウド ユーザーをオンプレミスのユーザーと照合するために使用されます。

オンプレミスの AD アカウントを、クラウドで作成された既存のアカウントと照合し、Exchange Online を使用していない場合、この機能は役立ちます。 このような状況では、通常、クラウドで SMTP 属性を設定する理由がありません。

新たに作成した Azure AD ディレクトリでは、この機能は既定で有効になっています。 この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

この機能が Azure AD ディレクトリに対して有効になっていない場合は、次のコマンドレットを実行して有効にすることができます。

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

BlockSoftMatch

この機能が有効になっていると、ソフト一致機能はブロックされます。 お客様は、この機能を有効にし、テナントにソフト一致機能が再度必要になるまでは有効にしたままにすることをお勧めします。 このフラグは、ソフト一致が完了し、不要になった後で、再度有効にする必要があります。

例: テナントでのソフト一致をブロックするには、次のコマンドレットを実行します。

PS C:\> Set-MsolDirSyncFeature -Feature BlockSoftMatch -Enable $True

userPrincipalName の更新の同期

これまで、次の 2 つの条件が両方とも当てはまらない限り、オンプレミスから同期サービスを使用して UserPrincipalName 属性を更新することはできませんでした。

  • ユーザーが管理対象ユーザー (非フェデレーション ユーザー) である。
  • ユーザーにライセンスが割り当てられていない。

注意

2019 年 3 月から、フェデレーション ユーザー アカウントでの UPN 変更の同期が許可されています。

この機能を有効にすると、userPrincipalName がオンプレミスで変更されたときに、パスワード ハッシュ同期またはパススルー認証を使用している場合は、同期エンジンによって userPrincipalName が更新されます。

新たに作成した Azure AD ディレクトリでは、この機能は既定で有効になっています。 この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

この機能が Azure AD ディレクトリに対して有効になっていない場合は、次のコマンドレットを実行して有効にすることができます。

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

この機能を有効にすると、既存の userPrincipalName の値はそのまま維持されます。 次に serPrincipalName 属性をオンプレミスで変更したときに、ユーザーに関する通常の差分同期によって UPN が更新されます。

関連項目