Azure Active Directory 同期ツールを使用して同期されたオブジェクトを管理または削除できない

この記事では、Microsoft Entra ID からディレクトリ同期によって作成されたオブジェクトを管理または削除できない問題について説明します。 さまざまな理由に応じて、この問題に対して 2 つの解決策が提供されます。

元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2619062

現象

ディレクトリ同期によって作成されたオブジェクトを Microsoft Entra ID から手動で管理または削除しようとするとします。

たとえば、microsoft Entra ID と同期された孤立したユーザー アカウントを、オンプレミスの Active Directory Domain Services (AD DS) から削除します。

このシナリオでは、Office 365、Azure、または Microsoft Intune の Microsoft クラウド サービス ポータルを使用するか、Windows PowerShell を使用して、孤立したユーザー アカウントを削除することはできません。

原因

この問題は、以下の状況が少なくとも 1 つ該当する場合に発生する可能性があります。

• オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除することはできません。
• オンプレミスの AD DS からオブジェクトを削除しました。 ただし、オブジェクトはクラウド サービス組織から削除されませんでした。 この動作は予期しない動作です。

解決方法

オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除することはできません

Office 365、Azure、または Intune でオブジェクトを管理する必要があり、ディレクトリ同期を使用する必要がなくなりました。

1. Microsoft Graph PowerShell がインストールされていることを確認します。

2. Connect-MgGraph コマンドを使用して、Organization.ReadWrite.Allなどの必要なスコープでサインインします。 詳細については、「Microsoft Graph PowerShell SDK の使用を開始する」 を参照してください。

3. Update-MgOrganization コマンドを実行して、ディレクトリ同期を無効にします。

   $organizationId = (Get-MgOrganization).Id
   
   $params = @{
   onPremisesSyncEnabled = $False
   }
   
   Update-MgOrganization -OrganizationId $organizationId -BodyParameter $params
   

4. ディレクトリ同期が完全に無効であることを確認します。 これを行うには、次のコマンドを実行します。

    Get-MgOrganization | Select OnPremisesSyncEnabled
   

   このコマンドは、 True または False を返します。 このコマンドは、 False が返されるまで定期的に実行し、次の手順に進みます。

   非アクティブ化が完了するまでに 72 時間かかる場合があります。 時間は、クラウド サービス サブスクリプション アカウント内のオブジェクトの数によって異なります。

5. Windows PowerShell を使用するか、クラウド サービス ポータルを使用して、オブジェクトを更新してみてください。

   手順 3 が完了するまでにしばらく時間がかかる場合があります。 クラウド サービス環境には、属性値を計算するプロセスがあります。 Windows PowerShell またはクラウド サービス ポータルを使用してオブジェクトを変更する前に、プロセスを完了する必要があります。

オンプレミスの AD DS からオブジェクトを削除します。 ただし、オブジェクトはクラウド サービス サブスクリプション アカウントから削除されません

この記事の手順を使用してディレクトリ同期を強制する: Scheduler を開始する

• 一部の更新と削除が反映されていても、一部の削除がクラウド サービスに同期されない場合は、一般的なディレクトリ同期のトラブルシューティング手順に従ってください。

• すべての更新と削除がクラウド サービスに同期されない場合は、サポートにお問い合わせください。

  注

  このシナリオの別の解決策として、クラウド サービスでオブジェクトを手動で削除できます。 ただし、クラウド サービスではオブジェクトを更新できません。 この問題を解決する方法の詳細については、次のマイクロソフト サポート技術情報の記事を参照してください。 Object の削除は、Azure Active Directory 同期ツールを使用するときに Microsoft Entra ID に同期されません。

詳細

ディレクトリ同期を再度有効にするには、次のコマンドを実行します。

$organizationId = (Get-MgOrganization).Id

$params = @{
onPremisesSyncEnabled = $True
}

Update-MgOrganization -OrganizationId $organizationId -BodyParameter $params

ディレクトリ同期を再度有効にする場合は、慎重に計画することが重要です。 クラウド サービス ポータルまたは Windows PowerShell を使用して、オンプレミスの AD DS から最初に同期されたオブジェクトに直接変更を加えた場合、ディレクトリ同期が再度有効になった後に同期が初めて行われると、変更はオンプレミスの属性と設定によって上書きされます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。