フィルター処理の構成
更新日: 2015 年 7 月 22 日
重要
このトピックは近日中にアーカイブされます。
AADSyncと DirSync を置き換える "Azure Active Directory Connect" という新しい製品があります。
Azure AD Connect には、以前 Dirsync と AAD Sync としてリリースされたコンポーネントと機能が組み込まれています。
将来のある時点で、Dirsync とAAD Syncのサポートは終了します。
これらのツールは機能改善によって個別に更新されなくなり、今後のすべての機能強化は Azure AD Connectの更新プログラムに含まれる予定です。
AADSync ではいつでもフィルター処理を有効にできます。 ディレクトリ同期の既定の構成を既に実行していて、フィルター処理を構成済みの場合、フィルター処理による除外されるオブジェクトは、Azure AD に対する同期の対象外になります。 その結果、既に同期されてからフィルター処理済みの Azure AD のオブジェクトは、Azure AD で削除されます。 フィルター処理のエラーが原因でオブジェクトが誤って削除された場合、フィルター処理構成を削除し、ディレクトリの同期を再実行することで、Azure AD 内にオブジェクトを再生成することができます。
重要
Microsoft は、正式に文書化されたアクション以外のAADSyncの変更または操作をサポートしていません。 これらのアクションのいずれも、AASync の一貫性のない状態またはサポートされていない状態になる可能性があり、その結果、Microsoft はそのようなデプロイに対してテクニカル サポートを提供できません。
アウトバウンドの属性ベースのフィルター処理を除き、新しいバージョンの AADSync のインストールやアップグレードの際には構成が保持されます。 新しいバージョンにアップグレードした後は、常に構成が誤って変更されていないことを確認してから、最初の同期サイクルを実行することをお勧めします。
フィルター処理オプション
警告
この記事では、Active Directory Domain Service コネクタの名前として、Source AD を使用します。 フォレストが複数ある場合は、フォレストごとにコネクタ 1 つを使用し、フォレストごとに構成を繰り返す必要があります。
ディレクトリ同期ツールには、次の 3 つのフィルター処理構成タイプが適用できます:
ドメインベース: このフィルター処理の種類を使用して、AADSyncの SourceAD コネクタのプロパティを管理できます。 このフィルター処理タイプを使用すると、どのドメインを Azure AD に同期するかを選択することができます。
組織単位ベースのフィルター処理を構成する: このフィルターの種類を使用して、AADSyncの SourceAD コネクタのプロパティを管理できます。 このフィルター処理タイプを使用すると、どの OU を Azure AD に同期するかを選択することができます。
属性ベース : このフィルター処理メソッドを使用して、属性ベースのフィルターを指定できます。 これにより、クラウドに同期するオブジェクトを制御できます。
ドメインベースのフィルター処理の構成
ここでは、ドメイン フィルターの構成に必要な手順について説明します。
注意
ドメイン フィルターを変更した場合、実行プロファイルも更新する必要があります。
ドメイン フィルターを設定するには、次の手順を実行します。
ADSyncAdmins セキュリティ グループのメンバーであるアカウントを使用して、AADSyncを実行しているコンピューターにログオンします。
スタート画面で、[同期サービス] をタップまたはクリックし、[Synchronization Service Manager] を開きます。
コネクタ ビューを開くには、[ツール] メニューの [コネクタ] をクリックします。
[コネクタ] の一覧で、[種類] が Active Directory ドメイン サービスのコネクタを選択します。
[プロパティ] ダイアログ ボックスを開くには、[アクション] メニューの [プロパティ] をクリックします。
[ディレクトリ パーティションの構成] をクリックします。
[ディレクトリ パーティションの選択] リストで、同期対象のパーティションのみが選択されていることを確認します。
警告
同期プロセスからドメインを除外するには、ドメインのチェック ボックスをオフにします。
[プロパティ] ダイアログを閉じるには、[OK] をクリックします。
ドメイン フィルターを更新した場合、次の実行プロファイルも更新する必要があります。
フル インポート
完全同期
差分インポート
差分同期
エクスポート
ディレクトリ パーティション リストからパーティションを削除した場合、そのパーティションを参照しているすべての実行プロファイル手順も削除されます。
実行プロファイルから手順を削除するには、次の手順を実行します。
[コネクタ] の一覧で、[種類] が Active Directory ドメイン サービスのコネクタを選択します。
[アクション] メニューの [実行プロファイルの構成] をクリックして、[実行プロファイルの構成] ダイアログを開きます。
[コネクタ実行プロファイル] の一覧で、構成する実行プロファイルを選択します
手順の詳細リストの手順ごとに、次の手順を実行します。
必要に応じて、手順をクリックして手順の詳細を展開します。
[パーティション] 属性の [値] が GUID の場合、[手順の削除] をクリックします。
[実行プロファイルの構成] ダイアログを閉じるには、[OK] をクリックします。
パーティションをディレクトリ パーティション リストに追加した場合、そのパーティションの実行プロファイル手順が上記のリストの各実行プロファイルで使用可能であることを確認する必要があります。
実行プロファイルに手順を追加するには、次の手順を実行します。
[コネクタ] の一覧で、[種類] が Active Directory ドメイン サービスのコネクタを選択します。
[アクション] メニューの [実行プロファイルの構成] をクリックして、[実行プロファイルの構成] ダイアログを開きます。
[コネクタ実行プロファイル] の一覧で、構成する実行プロファイルを選択します
[実行プロファイルの構成] ダイアログで、[新しい手順] をクリックします。
[手順の構成] ページの手順タイプ リストで、手順タイプを選択し、[次へ] をクリックします。
[コネクタの構成] ページの [パーティション] リストで、ドメイン フィルターに追加したパーティション名を選択します。
[実行プロファイルの構成] ダイアログ ボックスを閉じるには、 [完了] をクリックします。
[実行プロファイルの構成] ダイアログを閉じるには、[OK] をクリックします。
組織単位ベースのフィルター処理の構成
組織単位ベースのフィルター処理を構成するには
ADSyncAdmins セキュリティ グループに属するアカウントを使用し、AADSync を実行しているコンピューターにログオンします。
スタート画面で、[同期サービス] をタップまたはクリックし、[Synchronization Service Manager] を開きます。
[Synchronization Service Manager] で、[コネクタ] をクリックし、[SourceAD] をダブルクリックします。
[ディレクトリ パーティションの構成] をクリックし、構成するドメインを選択して [コンテナー] をクリックします。
プロンプトが表示されたら、内部設置型の Active Directory フォレストのドメイン資格情報を入力します。
注意
資格情報のダイアログ ボックスが表示された場合、AD DS に対するインポートおよびエクスポートに使用するアカウントが表示されます。 このアカウントに対するパスワードがわからない場合は、使用する別のアカウントを入力できます。 使用するアカウントには、現在構成しているドメインに対する読み取り権限が必要です。
[コンテナーの選択] 選択ダイアログ ボックスで、クラウド ディレクトリと同期させない OU をクリアし、[OK] をクリックします。
[SourceAD プロパティ] ページで [OK] をクリックします。
次の手順を完了することで、フル インポートと差分同期を実行します。
コネクタの一覧で、[SourceAD] を選択します。
[コネクタの実行] ダイアログ ボックスを開くには、[アクション] メニューの [実行] を選択します。
実行プロファイルの一覧で、[フル インポート] を選択し、実行プロファイルが完了するまで待機します。
[コネクタの実行] ダイアログ ボックスを開くには、[アクション] メニューの [実行] を選択します。
実行プロファイルの一覧で、[差分同期] を選択し、実行プロファイルが完了するまで待機します。
属性ベースのフィルター処理の構成
属性に基づいてフィルター処理を構成する方法はいくつかあります。 これらの構成設定は新しいバージョンへのアップグレード後も維持されるため、AD からのインバウンドでの構成をお勧めします。 AAD へのアウトバウンドでの構成はサポートされますが、これらの設定は新しいバージョンへのアップグレード後は維持されないため、メタバースの組み合わされたオブジェクトを確認するために必要な場合にのみ使用する必要があります。
受信のフィルター処理
インバウンド ベースのフィルター処理では、既定の構成を利用します。既定の構成では、AAD に移動するオブジェクトは、いずれの値にも設定されないメタバース属性 cloudFiltered と、"User" または "Contact" に設定されたメタバース属性 sourceObjectType を持ちます。
オブジェクトを Azure AD に同期する必要がない場合は、属性 cloudFiltered を True に設定する必要があります。それ以外の場合は空にしておく必要があります。 オブジェクトを確認でき、オブジェクトを同期する必要のないことが示された場合は、このメソッドを使用します (ネガティブ フィルター処理)。
この例では、extensionAttribute15 の値が NoSync であるユーザーをすべて除外します。
ADSyncAdmins セキュリティ グループのメンバーであるアカウントを使用して、AADSyncを実行しているコンピューターにログオンします。
[スタート] メニューで同期ルール エディターを見つけて開きます。
[インバウンド] が選択されていることを確認し、[新しいルールの追加] をクリックします。
ルールにわかりやすい名前 (In from AD – User DoNotSyncFilter など) を付け、適切なフォレスト (CS オブジェクトの種類として User、MV オブジェクトの種類として Person) を選択します。 [リンクの種類] で [結合] を選択し、現在別の同期規則で使用されていない値 (例: 50) を入力します。 [次へ] をクリックします。
スコープのフィルターで、[グループの追加]、[句の追加] の順にクリックし、属性として [ExtensionAttribute15] を選択します。 演算子が [EQUAL] に設定されていることを確認し、値として「NoSync」を [値] ボックスに入力します。 [次へ] をクリックします。
結合ルールを空のままにし、[次へ] をクリックします。
[変換の追加] をクリックし、[FlowType] には [定数] を選択し、[ターゲット属性] には [cloudFiltered] を選択し、[ソース] ボックスに「True」を入力します。 [追加] をクリックして規則を保存します。
完全同期を実行する: [コネクタ] タブで、[ SourceAD] を右クリックし、[ 実行] をクリックし、[ 完全同期] をクリックして、[ OK] をクリックします。
属性 sourceObjectType は、値として User または Contact をそれぞれ持つ場合、AAD に対してユーザーまたは連絡先をプロビジョニングします。 あらかじめ用意されたルールよりも優先順位が高い同期ルールを作成すると、その既定の動作をオーバーライドできます。 このメソッドにより、ポジティブとネガティブの両方のルールを表す機会が得られます。
この例では、部門の属性が "Sales" または空であるユーザーのみを同期します。
ADSyncAdmins セキュリティ グループに属するアカウントを使用し、AADSync を実行しているコンピューターにログオンします。
同期ルール エディターを [スタート] メニューで見つけて開きます。
[インバウンド] が選択されていることを確認し、[新しいルールの追加] をクリックします。
ルールにわかりやすい名前 (In from AD – User DoNotSyncFilter など) を付け、適切なフォレスト (CS オブジェクトの種類として User、MV オブジェクトの種類として Person) を選択します。 [リンクの種類] で [結合 ] を選択し、現在別の同期規則で使用されていない値 (例: 60) を入力します。 [次へ] をクリックします。
スコープのフィルターおよび結合ルールを空のままにし、[次へ] をクリックします。
[変換の追加] をクリックし、[FlowType] には [式] を選択し、[ターゲット属性] には [sourceObjectType] を選択します。 [ソース] ボックスに、次の式を入力します。
IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))
[追加] をクリックして、ルールを保存します。
完全同期を実行する: [コネクタ] タブで、[ SourceAD] を右クリックし、[ 実行] をクリックし、[完全 同期] をクリックして、[ OK] をクリックします。 結果は次のようになります。
警告
AAD に同期するオブジェクトを特定するために、cloudFiltered と sourceObjectType の組み合わせを使用しています。
式を使用することで、強力なフィルター処理オプションが備わります。 上の式では、部門が存在しないとき、および部門が Sales であったときに、NULL リテラルを提供しました。 これは、この属性が値を提供せず、あらかじめ用意されたルールが評価されることを示します。 この属性は、AAD で作成する必要がある User または Contact であるかどうかを判断できるものである必要があります。
アウトバウンド ベースのフィルター処理
場合によっては、オブジェクトがメタバースで結合された後にのみフィルター処理を行うことが必要になります。 たとえば、リソース フォレストからは mail 属性を、アカウント フォレストからは userPrincipalName 属性を確認して、オブジェクトを同期する必要があるかどうかを判断することが必要になる場合があります。 これらの場合は、アウトバンド ルールにフィルター処理を作成します。
注意
このメソッドでは、あらかじめ用意された同期ルールに変更を加えることが必要です。 同期ルールのスコープを変更することはサポートされていますが、新しいバージョンの AADSync へのアップグレード後に変更が保存されない場合があります。 アウトバウンド ベースのフィルター処理を使用する場合は、加える変更を書き留め、アップグレード後にはフィルター処理がまだ存在していることを確認し、必要に応じて再度適用します。
この例では、フィルター処理に変更を加えることで、mail および userPrincipalName の両方の末尾が @contoso.com になるユーザーのみが同期されるようになります。
ADSyncAdmins セキュリティ グループに属するアカウントを使用し、AADSync を実行しているコンピューターにログオンします。
同期ルール エディターを [スタート] メニューで見つけて開きます。
[ルールの種類] の [アウトバウンド] をクリックします。
Out to AAD – User Join という名前のルールを見つけます。 [編集] をクリックします。
左側のナビゲーションにある [スコープのフィルター] をクリックします。 [句の追加] をクリックし、属性として [mail] を選択し、演算子として [ENDSWITH] を選択し、値の種類として「@contoso.com」を入力します。 [句の追加] をクリックし、属性として [userPrincipalName] を選択し、演算子として [ENDSWITH] を選択し、値の種類として「@contoso.com」を入力します。
[保存] をクリックします。
完全同期を実行する: [コネクタ] タブで、[ SourceAD] を右クリックし、[ 実行] をクリックし、[ 完全同期] をクリックして、[ OK] をクリックします。