概要
この記事では、Office 365、Azure、または Microsoft Intune 環境でのディレクトリ同期の Active Directory ディレクトリ サービス クォータを増やす方法について説明します。
元の製品バージョン: Cloud Services (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ユーザーおよびドメイン管理
元の KB 番号: 2812409
現象
MSOnlineServicesTeam@MicrosoftOnline.com から、次のエラー メッセージが記載されたメール メッセージを受信します。
エラー 016: 同期が停止されました。 この会社の同期可能なオブジェクト数を超えました。(This company has exceeded the number of objects that can be synchronized.) Microsoft Online Services サポートにお問い合わせください。(Contact Microsoft Online Services Support.)
Note
この記事は、Office 365、Azure、Microsoft Intune などの Microsoft クラウド サービスで許容されるオブジェクトの数を超えるオブジェクトを含める予定で、Active Directory 同期を使用しない場合に、ディレクトリ サービス クォータの引き上げを要求するだけの場合にも使用できます。 Microsoft Entra ID の現在のディレクトリ サービス クォータは 50,000 オブジェクトです。
原因
この問題は、Microsoft Entra ID で作成したオブジェクトの数がディレクトリ サービスの制限を超えたために発生します。 Microsoft Entra ID では、各組織で作成できるオブジェクトの数が制限されます。 Microsoft Entra 組織内のグループ、連絡先、およびユーザーのオブジェクトは、組織のディレクトリ使用の一部としてカウントされます。
既定のディレクトリ サービス クォータは、次のガイドラインに従って計算されます。
検証済みドメインがない場合、Microsoft Entra ID の現在のディレクトリ サービス クォータは 50,000 オブジェクトです。
- 組織が 2011 年 10 月 5 日より前に作成された場合、既定のディレクトリ サービス クォータは 10,000 オブジェクトです。
- 組織が 2011 年 10 月 5 日以降および 2012 年 5 月より前に作成された場合、既定のディレクトリ サービス クォータは 20,000 オブジェクトです。
- 組織が 2012 年 5 月以降に作成された場合、既定のディレクトリ サービス クォータは 50,000 オブジェクトです。
少なくとも 1 つの検証済みドメインがある場合、Microsoft Entra ID の既定のディレクトリ サービス クォータは 300,000 オブジェクトです。
解決方法
オンプレミス Active Directory 内のグループ、連絡先、およびユーザーのオブジェクト数がディレクトリ サービス クォータを超える場合は、会社のディレクトリ サービス クォータ制限の引き上げを要求できます。 この引き上げにより、ディレクトリ同期を使用するときに、現在の既定の制限より多くのオブジェクトを同期させることができます。
引き続き組織内でオブジェクトを作成するには、ドメインを追加するか、ディレクトリ サービス クォータの引き上げを要求する必要があります。 これを行うには、次の方法を使用します。
方法 1
確認済みドメインがない場合は、クォータ制限を 300,000 オブジェクトに増やすためにドメインを追加する必要があります。 詳細については、「 ドメインの追加」を参照してください。
方法 2
オンプレミスの Active Directory ディレクトリ サービスに 300,000 を超えるオブジェクトがある場合は、300,000 を超えて同期できるオブジェクトの数を増やすには、Microsoft サポートにお問い合わせください。
詳細
ディレクトリ サービス クォータは、1 つのセキュリティ プリンシパルで作成および所有できるオブジェクトの最大数を制限する方法としてクラウド サービスを使用して実装されます。 ディレクトリ同期を使用して会社に同期されるすべてのオブジェクトでは、作成者/所有者の値は、その会社の既定の管理者グループに設定されています。 たとえば、管理者グループは次のように設定されます: admins@contoso1.microsoftonline.com。 したがって、この構成により、ユーザーがディレクトリ同期を使用して、無制限の数のオブジェクトを作成することが防止されます。 ディレクトリ サービス クォータの制限を超えて同期を行う正当な必要性が会社にある場合は、テクニカル サポートにサービス要求を送信します。
よく寄せられる質問
質問 1: クラウド サービス ポータルまたはクラウド サービス API (Exchange Online PowerShell など) を使用して手動で追加されたオブジェクトは、オンライン会社のクォータに対してカウントされますか?
回答 1: はい。
質問 2: 削除されたオブジェクトは、オンラインの会社のクォータに対してカウントされますか?
回答 2: はい。 クラウド サービスの顧客がオンライン会社からオブジェクトを削除すると、削除されたオブジェクトは、ディレクトリ サービスの削除済みオブジェクト コンテナーに格納されます。 そのオブジェクトは、廃棄 (Tombstone) の有効期間が切れるまで、削除済みオブジェクト コンテナーにとどまります。 現在、有効期限は 30 日に設定されています。
たとえば、次のシナリオについて考えてみましょう。 あるオンライン会社では、非運用のオンプレミス Active Directory 環境を使用してクラウド サービスを評価しています。 クラウド サービス組織は 2011 年 10 月 5 日より前に作成されており、既定の同期制限は 10,000 オブジェクトです。 この会社は、Directory Sync ツールを使用して、8000 のグループ オブジェクトと連絡先オブジェクトの一括同期を実行します。 その後、オンライン会社は次を実行することを決定します。
- これらのグループ オブジェクトと連絡先オブジェクトを、会社のオンプレミスの非運用 Active Directory DS 環境から削除します。
- オンプレミスの非運用 Active Directory DS 環境に 8,000 人のユーザー オブジェクトを追加します。
- 更新プログラムをオンライン会社と同期します。
8,000 のグループ オブジェクトと連絡先オブジェクトは、ディレクトリ サービスの削除済みオブジェクト コンテナーに移動されます。 そして、これらのオブジェクトは、30 日の廃棄期間後に完全に削除されるまで、オンライン会社のクォータの最大 25 % を消費し続けます。 (この割合は、8,000 × 25 パーセント、つまり 2,000 オブジェクトに相当します)。そのため、5000 の新しいユーザー オブジェクトを同期した後、オンライン会社は、使用可能な Active Directory クォータのうち 10,000 オブジェクト (削除済みオブジェクトの 2000 と新しいユーザー オブジェクトの 8000) を使用します。 30 日の廃棄期間中 (この期間はオンライン会社の評価期間と一致する場合がある)、オンライン会社は、ディレクトリ同期を使用して他のオブジェクトを追加できない可能性があります。 この状態は、オンライン会社のディレクトリ サービス クォータに達したことが原因で発生します。
このシナリオでは、クラウド サービスの評価を実行しているオンライン会社は、製品評価を完了するために、非運用のオンプレミス Active Directory DS 環境にあるオブジェクトの数を減らす必要があります。 ただし、オンライン会社がオブジェクトの数を減らせない場合、会社はディレクトリ サービス クォータの引き上げを要求する必要があります。
質問 3: 複数の検証済みドメインがあるということは、300,000 個を超えるオブジェクトのクォータを割り当てることができることを意味しますか?
回答 3: いいえ。 1 つ以上の検証済みドメインがある場合、300,000 オブジェクトのディレクトリ クォータが付与されます。 each登録した検証済みドメインに対して 300,000 オブジェクトのクォータが付与されていません。