次の方法で共有


重複属性同期エラーを診断して修正する

概要

Microsoft Entra Connect Health では、同期エラーの解明をさらに一歩進めて、セルフサービスで修復することができます。 重複属性同期エラーのトラブルシューティングを行い、Microsoft Entra ID から孤立したオブジェクトを修正します。 診断機能には次のような利点があります。

  • 重複属性同期エラーを絞り込む診断手順を提供します。 そして、具体的な修正方法を提供します。
  • Microsoft Entra ID から専用のシナリオに修正を適用して、1 ステップでエラーを解決します。
  • この機能を有効にするために、アップグレードや構成の必要がない。 Microsoft Entra ID の詳細については、「ID 同期と重複属性の回復性」をご覧ください。

問題が発生した場合

一般的なシナリオ

QuarantinedAttributeValueMustBeUnique および AttributeValueMustBeUnique 同期エラーが発生した場合、一般的には、UserPrincipalName またはプロキシ アドレスの競合を Microsoft Entra ID で確認します。 オンプレミス側から競合するソース オブジェクトを更新することで、同期エラーを解決できる可能性があります。 同期エラーは、次の同期の後に解決されます。たとえば、次の図は 2 人のユーザーの UserPrincipalName が競合していることを示しています。 どちらも Joe.J@contoso.com です。 競合するオブジェクトは、Microsoft Entra ID で検査されます。

同期エラーの一般的なシナリオを診断する

孤立したオブジェクトのシナリオ

既存のユーザーのソース アンカーが失われていることに気付く場合があります。 オンプレミスの Active Directory で、ソース オブジェクトの削除が発生しました。 しかし、削除信号の変更が Microsoft Entra ID に同期されませんでした。 このような喪失は、同期エンジンの問題やドメインの移行などの理由で発生します。 同じオブジェクトが復元されたり再作成されたりするとき、論理的には、既存のユーザーがソース アンカーから同期するユーザーである必要があります。

既存のユーザーがクラウドのみのオブジェクトである場合、競合しているユーザーが Microsoft Entra ID に同期されることもあります。 ユーザーを既存のオブジェクトに同期して一致させることはできません。 ソース アンカーを再マップする直接的な方法はありません。 詳細については、既存のサポート技術情報をご覧ください。

たとえば、Microsoft Entra ID の既存のオブジェクトが、Joe のライセンスを保持しているものとします。 異なるソース アンカーのオブジェクトが新しく同期されると、Microsoft Entra ID 内で重複属性状態が発生します。 オンプレミスの Active Directory での Joe の変更は、Microsoft Entra ID での Joe の元のユーザー (既存のオブジェクト) には適用されません。

同期エラーで孤立したオブジェクトのシナリオを診断する

Connect Health における診断とトラブルシューティングの手順

診断機能では、次のような重複属性を持つユーザー オブジェクトがサポートされています。

属性名 同期エラーの種類
UserPrincipalName QuarantinedAttributeValueMustBeUnique または AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique または AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

重要

この機能にアクセスするには、少なくとも Azure RBAC の共同作成者のアクセス許可が必要です。

同期エラーの詳細を絞り込み、さらに具体的な解決策を表示するには、[Microsoft Entra 管理センター] から次の手順のようにします。

同期エラーの診断手順

[Microsoft Entra 管理センター] から次の手順を実行して、修正可能な固有のシナリオを特定します。

  1. [Diagnose status](診断の状態) 列を確認します。 状態では、Microsoft Entra ID から直接同期エラーを修正する方法があるかどうかが示されます。 つまり、エラー ケースを絞り込んで修正できる可能性があるトラブルシューティング フローが存在します。
状態 これはどういうことですか?
未開始 この診断プロセスをまだ使用していません。 診断結果に応じて、ポータルから直接同期エラーを修正する潜在的な方法があります。
手動修正が必要 エラーが、ポータルから使用可能な修正の条件に適合しません。 競合するオブジェクトの種類がユーザーではないか、または既に診断手順を完了しポータルから使用可能な修正の解決策がありません。 後者の場合、オンプレミス側からの修正は依然として有効な解決策の 1 つです。 オンプレミスでの修正に関するページをご覧ください。
同期保留中 修正が適用されました。 ポータルは、次の同期サイクルでエラーが解消されるのを待機しています。

重要

診断の状態の列は、同期サイクルごとにリセットされます。

  1. エラーの詳細の下にある [診断] ボタンを選択します。 いくつかの質問に答えて、同期エラーの詳細を明らかにします。 質問に回答すると、孤立オブジェクトのケースの特定に役立ちます。

  2. 診断の最後に [閉じる] ボタンが表示される場合は、回答に基づいてポータルから使用可能な簡易的な修正はありません。 最後の手順に示したソリューションを参照してください。 オンプレミスからの修正はまだ有効です。 [閉じる] ボタンを選択します。 現在の同期エラーの状態が、 [手動修正が必要] に切り替わります。 現在の同期サイクルの間、状態は変わりません。

  3. 孤立オブジェクトを識別した後は、重複属性同期エラーをポータルから直接修正できます。 プロセスを開始するには、 [修正の適用] ボタンを選択します。 現在の同期エラーの状態が更新され、 [同期を保留にしています] になります。

  4. 次の同期サイクルの後で、エラーが一覧から削除されています。

診断の質問に回答する方法

オンプレミスの Active Directory にユーザーは存在しますか。

この質問は、オンプレミスの Active Directory から既存ユーザーのソース オブジェクトを特定しようとするものです。

  1. 指定された UserPrincipalName のオブジェクトが Microsoft Entra ID に存在するかどうか確認してください。 存在しない場合は、 [いいえ] と回答します。
  2. 存在する場合は、オブジェクトがまだ同期のスコープ内にあるかどうかを確認します。
    • DN を使用して Microsoft Entra のコネクタ スペースを検索します。
    • [保留中の追加] 状態のオブジェクトが見つかった場合は、 [いいえ] と回答します。 Microsoft Entra Connect では、オブジェクトを右側の Microsoft Entra オブジェクトに接続できません。
    • オブジェクトが見つからない場合は、 [はい] と回答します。

これらの例の質問は、オンプレミスの Active Directory に Joe Jackson がまだ存在するかどうかを確認しようとしています。 一般的なシナリオでは、Joe JohnsonJoe Jackson 両方のユーザーがオンプレミスの Active Directory に存在します。 検査されているオブジェクトは、2 つの異なるユーザーです。

同期エラーの一般的なシナリオを診断する

孤立したオブジェクトのシナリオでは、オンプレミスの Active Directory から単一のユーザーのみ (Joe Johnson) が表示されます。

同期エラーの孤立ユーザー オブジェクトが

これら両方のアカウントは同じユーザーに属していますか。

質問では、競合している受信ユーザーと Microsoft Entra ID の既存のユーザー オブジェクトをチェックして、同じユーザーに属しているかどうかをチェックしています。

  1. 競合しているオブジェクトは、Microsoft Entra ID に新しく同期されます。 オブジェクトの属性を比較します。
    • 表示名
    • UserPrincipalName または SignInName
    • ObjectID
  2. Microsoft Entra ID が比較できなかった場合は、指定された UserPrincipalNames を持つオブジェクトが Active Directory に存在するかどうかを確認します。 両方見つかった場合は、 [いいえ] と回答します。

次の例では、2 つのオブジェクトが同じユーザーである Joe Johnson に属しています。

同期エラーで孤立オブジェクトが

孤立したオブジェクトのシナリオで修正の適用後に発生する処理

前の質問への回答に基づいて、Microsoft Entra ID から使用可能な修正がある場合は、[修正の適用] ボタンが表示されます。 このケースでは、オンプレミスのオブジェクトが予期しない Microsoft Entra オブジェクトと同期しています。 2 つのオブジェクトは、ソース アンカーを使用してマップされます。 [修正の適用] の変更は、次の手順または同様の手順で行われます。

  1. Microsoft Entra ID で適切なオブジェクトへのソース アンカーを更新します。
  2. 存在する場合、Microsoft Entra ID で競合するオブジェクトを削除します。

修正後に同期エラーを診断する

重要

[修正の適用] による変更は、孤立オブジェクトのケースにのみ適用されます。

前の手順の後、ユーザーは既存オブジェクトへのリンクである元のリソースにアクセスできます。 リスト ビューにある [Diagnose status](診断の状態) の値は、 [同期を保留にしています] に更新されます。同期エラーは、次の同期の後に解決されます。Connect Health では、解決済みの同期エラーがリスト ビューに表示されなくなります。

障害とエラー メッセージ

競合する属性を持つユーザーは、Microsoft Entra ID では論理的に削除されます。 再試行する前に、ユーザーが実際に削除されていることを確認してください。
Microsoft Entra ID で競合する属性を持つユーザーは、修正プログラムを適用する前にクリーンアップする必要があります。 修正を再度試みる前に、Microsoft Entra ID でユーザーを完全に削除する方法に関するページを確認してください。 論理的削除状態になったユーザーは、30 日経過した場合も自動的に完全に削除されます。

Updating source anchor to cloud-based user in your tenant is not supported. (ソース アンカーのテナント内のクラウド ベースのユーザーへの更新は、サポートされていません。)
Microsoft Entra ID のクラウド ベースのユーザーは、ソース アンカーを持つことはできません。 この場合、ソース アンカーの更新はサポートされていません。 オンプレミスから手動で修正する必要があります。

修正プロセスで値を更新できませんでした。 UserWriteback in Microsoft Entra Connect などの特定の設定はサポートされていません。 この設定を無効にしてください。

よく寄せられる質問

Q. [修正の適用] の実行が失敗した場合はどうなりますか。
A. 実行が失敗した場合、Microsoft Entra Connect はエクスポート エラーになっている可能性があります。 次の同期の後に、ポータル ページを更新して再試行してください。既定の同期サイクルは 30 分です。

Q. 既存のオブジェクトが、削除する必要があるオブジェクトの場合はどうなりますか。
A. 既存オブジェクトを削除する必要がある場合、プロセスではソース アンカーの変更は行われません。 通常は、オンプレミスの Active Directory から修正することができます。

Q. 修正を適用するには、ユーザーにどのようなアクセス許可が必要ですか。
A. Azure RBAC の共同作成者に、診断とトラブルシューティングのプロセスにアクセスするためのアクセス許可が必要です。 これは、最低限必要なアクセス許可です。

Q. Microsoft Entra Connect を構成するか、またはこの機能の Microsoft Entra Connect Health エージェントを更新する必要はありますか。
A. いいえ、診断プロセスは、完全なクラウド ベース機能です。

Q. 既存のオブジェクトが論理的に削除された場合、診断プロセスはオブジェクトを再度アクティブにしますか。
A. いいえ、修正では、ソース アンカー以外のオブジェクト属性を更新しません。