Azure Active Directory 同期ツールを使用して同期されたオブジェクトを管理または削除できません

  • [アーティクル]

この記事では、Azure AD からのディレクトリ同期によって作成されたオブジェクトを管理または削除できない問題について説明します。 さまざまな理由に応じて、この問題に対して 2 つの解決策が提供されます。

              元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2619062

現象

ディレクトリ同期によって作成されたオブジェクトを Azure Active Directory (Azure AD) から手動で管理または削除しようとするとします。

たとえば、Azure AD に同期された孤立したユーザー アカウントを、オンプレミスの Active Directory Domain Services (AD DS) から削除します。

このシナリオでは、Office 365、Azure、またはMicrosoft IntuneのMicrosoft クラウド サービス ポータルを使用するか、Windows PowerShellを使用して、孤立したユーザー アカウントを削除することはできません。

原因

この問題は、次の条件の 1 つ以上が当てはまる場合に発生する可能性があります。

  • オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除することはできません。
  • オンプレミスの AD DS からオブジェクトを削除しました。 ただし、オブジェクトはクラウド サービス組織から削除されませんでした。 この動作は予期しないものです。

解決方法

オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除することはできません

Office 365、Azure、またはIntuneでオブジェクトを管理する必要があり、ディレクトリ同期を使用する必要がなくなりました。

  1. Windows 10を実行中でない場合は、Microsoft Online Services サインイン アシスタントの 64 ビット版をインストールします: IT プロフェッショナル用 Microsoft Online Services サインイン アシスタント RTW

  2. Windows PowerShell用のMicrosoft Azure Active Directory モジュールをインストールします。

    1. 管理者特権で Windows PowerShell コマンド プロンプトを開きます (Windows PowerShell を管理者として実行)。
    2. Install-Module MSOnline コマンドを実行します。

  3. 次のコマンドを実行して、ディレクトリ同期を無効にします。

     Set-MsolDirSyncEnabled -EnableDirSync $false

  4. Windows PowerShellを使用して、ディレクトリ同期が完全に無効になっていることを確認します。 これを行うには、次のコマンドを定期的に実行します。

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    このコマンドは True または False を返しますFalse が返されるまで、このコマンドを定期的に実行し続け、次の手順に進みます。

    非アクティブ化が完了するには 72 時間かかる場合があります。 時間は、クラウド サービス サブスクリプション アカウント内のオブジェクトの数によって異なります。

  5. Windows PowerShellを使用するか、クラウド サービス ポータルを使用して、オブジェクトを更新してみてください。

    手順 4 が完了するまでにしばらく時間がかかる場合があります。 クラウド サービス環境には、属性値を計算するプロセスがあります。 Windows PowerShellを使用するか、クラウド サービス ポータルを使用してオブジェクトを変更する前に、プロセスを完了する必要があります。

オブジェクトは、オンプレミスの AD DS から削除します。 ただし、オブジェクトはクラウド サービス サブスクリプション アカウントから削除されません

この記事の手順を使用してディレクトリ同期を強制する: Scheduler を起動する

  • 一部の更新と削除が反映されていても、一部の削除がクラウド サービスに同期されない場合は、一般的なディレクトリ同期のトラブルシューティング手順に従ってください。

  • すべての更新と削除がクラウド サービスに同期されない場合は、サポートにお問い合わせください。

    注:

    このシナリオの別の解決策として、クラウド サービスでオブジェクトを手動で削除できます。 ただし、クラウド サービスではオブジェクトを更新できません。 この問題を解決する方法の詳細については、次のMicrosoftサポート技術情報の記事を参照してください。Azure Active Directory 同期ツールを使用する場合、オブジェクトの削除は Azure AD に同期されません。  

詳細

ディレクトリ同期を再度有効にするには、次のコマンドを実行します。

Set-MsolDirSyncEnabled -EnableDirSync $true

ディレクトリ同期を再度有効にする場合は、慎重に計画することが重要です。 クラウド サービス ポータルまたはWindows PowerShellを使用して、もともとオンプレミス AD DS から同期されたオブジェクトに直接変更を加えた場合、ディレクトリ同期が再有効化された後に同期が初めて行われると、変更はオンプレミスの属性と設定によって上書きされます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure コミュニティ サポートに製品フィードバックを送信することもできます。