この記事では、 BypassDirSyncOverridesEnabled 機能と、 モバイル および 他のMobile 属性の同期を Microsoft Entra ID からオンプレミスの Active Directory に復元する方法について説明します。
同期されたユーザーのプロパティは、Microsoft Entra ID または Microsoft 365 管理ポータルから変更することはできません。使用可能な PowerShell モジュールを使用して変更することはできません。 最近まで、これに対する例外は 、MobilePhone と AlternateMobilePhone と呼ばれる Microsoft Entra ユーザーの属性でした。 これらの属性は、それぞれオンプレミスの Active Directory 属性 Mobile と 他のMobile から同期されますが、エンド ユーザーは、プロファイル ページを通じて Microsoft Entra ID の MobilePhone 属性で自分の電話番号を更新できました。 MobilePhone 属性と AlternateMobilePhones 属性の変更は、Microsoft Entra Connect または Microsoft Entra Cloud Sync を使用する場合を除き、同期されたユーザーでは使用できなくなりました。
以前は、管理者と同期されたユーザーは、Microsoft Entra ID の MobilePhone 属性と AlternateMobilePhones 属性の値を更新する機能を持っていました。 これは、同期されたユーザーでは使用できなくなりました。 これが可能だった場合、同期 API は、オンプレミスの Active Directory から生成されたときに、これらの属性の更新を受け入れなかった。 これは、一般的に "DirSyncOverrides" 機能と呼ばれます。 Active Directory の モバイル またはその 他のMobile 属性を更新しても、Microsoft Entra Connect のエンジンを介してオブジェクトが正常に同期されたにもかかわらず、Microsoft Entra ID で対応するユーザーの MobilePhone または AlternateMobilePhone が 更新されなかった場合、管理者はこの動作に気付きました。
Mobile の値が異なるユーザーの識別
AdSyncTools PowerShell モジュールから 'Compare-ADSyncToolsDirSyncOverrides' を使用して、Active Directory と Microsoft Entra ID の間で異なる Mobile 値を持つユーザーの一覧をエクスポートできます。 これにより、オンプレミスの Active Directory と Microsoft Entra ID の間で異なるユーザーとそれぞれの値を特定できます。 BypassDirSyncOverridesEnabled 機能を有効にすると、Microsoft Entra ID のすべての異なる値がオンプレミスの Active Directory からの値で上書きされるため、これは重要です。
Compare-ADSyncToolsDirSyncOverrides の使用
前提条件として、Microsoft Entra Connect バージョン 2 以降を実行し、次のコマンドを使用して PowerShell ギャラリーから最新の ADSyncTools モジュールをインストールする必要があります。
Install-Module ADSyncTools
同期されたすべてのユーザーの Mobile 値を比較するには、次のコマンドを実行します。
Compare-ADSyncToolsDirSyncOverrides
この関数は、オンプレミスの Active Directory の Mobile 値が Microsoft Entra ID のそれぞれの MobilePhone と異なるユーザーの一覧を含む CSV ファイルをエクスポートします。
この段階では、このデータを使用して、オンプレミスの Active Directory Mobile プロパティの値を Microsoft Entra ID に存在する値にリセットできます。 これにより、BypassDirSyncOverridesEnabled 機能を有効にする前に、Microsoft Entra ID から最新の電話番号を取り込み、このデータをオンプレミスの Active Directory に保持できます。 これを行うには、結果の CSV ファイルからデータをインポートし、ADSyncTools モジュールから 'Set-ADSyncToolsDirSyncOverrides' を使用して、オンプレミスの Active Directory に値を保持します。
たとえば、CSV ファイルからデータをインポートし、特定の UserPrincipalName の Microsoft Entra ID の値を抽出するには、次のコマンドを使用します。
$upn = '<UserPrincipalName>'
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' | where UserPrincipalName -eq $upn | select UserPrincipalName,MobileInEntra
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInEntra
BypassDirSyncOverridesEnabled 機能の有効化
既定では、BypassDirSyncOverridesEnabled 機能はオフになっています。 BypassDirSyncOverridesEnabled を有効にすると、テナントは、Microsoft Entra ID で直接ユーザーまたは管理者によって MobilePhone または AlternateMobilePhones で行われた変更をバイパスし、オンプレミスの Active Directory Mobile または OtherMobile に存在する値を尊重できます。
BypassDirSyncOverridesEnabled 機能を有効にします。
BypassDirSyncOverridesEnabled 機能を有効にするには、Microsoft Graph PowerShell モジュールを使用します。
$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$directorySynchronization.Features.BypassDirSyncOverridesEnabled = $true
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $directorySynchronization.Features
BypassDirSyncOverridesEnabled 機能の状態を確認します。
(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled
この機能が有効になったら、次のコマンドを使用して、Microsoft Entra Connect で完全同期サイクルを開始します。
Start-ADSyncSyncCycle -PolicyType Initial
手記
オンプレミスの Active Directory とは異なる MobilePhone または AlternateMobilePhones 値を持つオブジェクトのみが更新されます。
Microsoft Entra ID とオンプレミス Active Directory での携帯電話番号の管理
ユーザーの電話番号を管理するために、管理者は ADSyncTools モジュールの次の一連の関数を使用して、オンプレミスの Active Directory の値の読み取り、書き込み、クリアを行い、Microsoft Entra ID から mobilePhone を読み取ることができます。
オンプレミスの Active Directory から Mobile プロパティを取得します。
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD
Microsoft Entra ID から MobilePhone プロパティを取得します。
Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromEntraID
オンプレミスの Active Directory で Mobile プロパティを設定します。
Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777'
オンプレミスの Active Directory の [モバイル ] プロパティをクリアします。
Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com'
次の手順
Microsoft Entra Connect: ADSyncTools PowerShell モジュール の詳細を確認する