ディレクトリ同期用にルーティング不可能なドメインを準備する

  • [アーティクル]

オンプレミスのディレクトリを Microsoft 365 と同期する場合は、Microsoft Entra ID に検証済みドメインが必要です。 オンプレミスの Active Directory Domain Services (AD DS) ドメインに関連付けられているユーザー プリンシパル名 (UPN) のみが同期されます。 ただし、".local" (例: billa@contoso.local) などのルーティング不可能なドメインを含む UPN は、.onmicrosoft.com ドメイン (例: billa@contoso.onmicrosoft.com) に同期されます。

現在、AD DS でユーザー アカウントに ".local" ドメインを使用している場合は、検証済みドメインを使用するように変更することをお勧めします。 たとえば、 は、 billa@contoso.comMicrosoft 365 ドメインと適切に同期するためです。

オンプレミス ドメインが ".local" のみの場合について

Microsoft Entra Connect を使用して、AD DS を Microsoft 365 テナントのMicrosoft Entra テナントに同期します。 詳細については、「オンプレミス ID と Microsoft Entra ID の統合」を参照してください。

Microsoft Entra Connect は、ユーザーの UPN とパスワードを同期して、ユーザーがオンプレミスで使用するのと同じ資格情報でサインインできるようにします。 ただし、Microsoft Entra Connect では、Microsoft 365 によって検証されたドメインにのみユーザーが同期されます。 Microsoft Entra ID は、Microsoft 365 ID を管理するドメインを検証します。 つまり、ドメインは有効なインターネット ドメイン (.com、.org、.NET、.us など) である必要があります。 内部 AD DS でルーティング不可能なドメイン (".local" など) のみが使用されている場合、これは、Microsoft 365 テナントに対して持っている検証済みドメインと一致しない可能性があります。 この問題を解決するには、オンプレミスの AD DS でプライマリ ドメインを変更するか、1 つ以上の UPN サフィックスを追加します。

プライマリ ドメインを変更する

プライマリ ドメインを、Microsoft 365 で確認したドメイン (たとえば、contoso.com) に変更します。 その後、ドメイン contoso.local を持つすべてのユーザーが contoso.com に更新されます。 ただし、これは関連するプロセスであり、次のセクションではより簡単な解決策について説明します。

UPN サフィックスを追加してユーザーをそのサフィックスに更新する

MICROSOFT 365 で確認したドメイン (またはドメイン) に一致するように、AD DS に新しい UPN サフィックスまたはサフィックスを登録することで、".local" の問題を解決できます。 新しいサフィックスを登録した後、ユーザー アカウントが のように billa@contoso.com見えるように、".local" を新しいドメイン名に置き換えるようにユーザー UPN を更新します。

検証済みドメインを使用するように UPN を更新した後、オンプレミスの AD DS を Microsoft 365 と同期する準備ができました。

手順 1: 新しい UPN サフィックスを追加する

  1. AD DS ドメイン コントローラーで、サーバー マネージャーで [ツール>] [Active Directory ドメインと信頼] を選択します。

    または (Windows Server 2012 を所有していない場合)

    Windows キー + R を押して [実行] ダイアログ開き、「Domain.msc」と入力してから [OK] を選択します。

    [Active Directory ドメインと信頼関係] を選択します。

  2. [Active Directory ドメインと信頼関係] ウィンドウで、[Active Directory ドメインと信頼関係] を右クリックして [プロパティ] を選択します。

    [Active Directory ドメインと信頼関係] を右クリックして [プロパティ] を選択します。

  3. [UPN サフィックス] タブの [代替 UPN サフィックス] ボックスに、新しい UPN サフィックスまたはサフィックスを入力し、[適用追加>] を選択します。

    新しい UPN サフィックスを追加します。

    サフィックスの追加が完了したら、[OK] を選択します。

手順 2: 既存ユーザーの UPN サフィックスを変更する

  1. AD DS ドメイン コントローラーで、サーバー マネージャーで [ツール>Active Directory ユーザーとコンピューター] を選択します。

    または (Windows Server 2012 を所有していない場合)

    Windows キー + R キーを押して [実行] ダイアログを開き、Dsa.msc と入力し、[OK] を選択します

  2. ユーザーを選択し、右クリックして [プロパティ] を選択します。

  3. [アカウント] タブの UPN サフィックス ドロップダウン リストで、新しい UPN サフィックスを選択してから [OK] をクリックします。

    ユーザーの新しい UPN サフィックスを追加する。

  4. すべてのユーザに対して、ここまでの手順を実行します。

すべてのユーザーの UPN サフィックスを変更するために PowerShell を使用する

更新するユーザー アカウントが多数ある場合は、PowerShell を使用する方が簡単です。 次の例では、Get-ADUser コマンドレットと Set-ADUser コマンドレットを使用して、AD DS のすべての contoso.local サフィックスを contoso.com に変更します。

たとえば、次の PowerShell コマンドを実行すると、すべての contoso.local サフィックスが contoso.com に更新されます。

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

AD DS の Windows PowerShell を使用する方法の詳細については、「Active Directory Windows PowerShell モジュール」を参照してください。