ユーザー オブジェクトが見つからないか、Azure Active Directory Sync のMicrosoft Entra コネクタからフィルター処理されている
この記事では、オンプレミスから Azure へのユーザー オブジェクトの同期をブロックする問題について説明します。 また、回避策についても説明します。
元の製品バージョン: Microsoft Entra ID
元の KB 番号: 3066176
現象
ユーザー オブジェクトを Microsoft Entra ID に同期しようとすると、操作は失敗します。
メタバース オブジェクトでユーザー オブジェクトを検索すると、[コネクタ] タブに表示される Active Directory コネクタのみが表示されます。Windows Microsoft Entra コネクタは一覧に表示されません。 さらに、この特定のユーザーに対してエラーは返されません。
また、正しく同期されていないユーザー オブジェクトの値が 2 であることにも気付 msExchRecipientTypeDetails く場合があります。 これはリンクされたメールボックスの種類に対応しており、ユーザーはこの値を持っていません。
注:
次の値は、ユーザー オブジェクトのフィルター処理をトリガーする唯一の値です。 msExchRecipientTypeDetails == (0x1000 OR 0x2000 OR 0x4000 OR 0x400000 OR 0x800000 OR 0x1000000 OR 0x20000000)
フィルター処理されるユーザー オブジェクトの詳細については、「 ディレクトリ同期によって、オンプレミス環境から Windows Azure AD に同期されないものを決定する方法」を参照してください。
原因
この問題は、sourceAnchor 属性のルールがあるために発生します。 ルールは、 の msexchRecipientTypeDetails 値が 2 であるかどうかを判断するために使用されます。
注:
このルールは、同期規則構成エディター\Inbound\In From AD\Common\Transformation の場所で表示できます。 また、ターゲット sourceAnchor 属性と式ルールは、 IIF(IsPresent([msExchRecipientTypeDetails])、IIF([msExchRecipientTypeDetails]=2,NULL,IIF(IsString() [objectGUID],CStr([objectGUID]),ConvertToBase64([objectGUID])),IIF(IsString([objectGUID]),CStr([objectGUID]),ConvertToBase64([objectGUID])))
値が 2 の場合msExchRecipientTypeDetails、sourceAnchor の値は NULL に設定されます。 ただし、sourceAnchor の値が NULL の場合、ユーザーはフィルター処理されます。
回避策
この問題を回避するには、次のいずれかの操作を行います。
- マスター ユーザー アカウント (アカウント フォレスト内) が最初に同期されていることを確認します。
- msExchRecipientTypeDetails の属性値を 1 に変更します。 いずれかのルールでフィルター処理されるはずのない値を使用します。
詳細
DirSync: Azure Active Directory 同期ツールによって同期される属性の一覧によると、ユーザー オブジェクトがフィルター処理される理由の 1 つは次のとおりです。
msExchRecipientTypeDetails == (0x1000 OR 0x2000 OR 0x4000 OR 0x400000 OR 0x800000 OR 0x1000000 OR 0x20000000)
これは、ユーザーの属性が msExchRecipientTypeDetails 値 2 に設定されている場合、AADSync サーバーがこのオブジェクトをフィルター処理することを前提とします。 これは正しくありません。 AADSync はこのユーザー オブジェクトをフィルター処理していません。UPN と sourceAnchor に必要なため、マスター アカウント (アカウント フォレストから) がオブジェクトに参加するのを待っているだけです。
属性の値 2 は、 msExchRecipientTypeDetails メールボックスの種類が "リンクされたメールボックス" であることを示します。 リンクされたメールボックスがアカウント リソース フォレスト トポロジにあり、これらのリソース オブジェクトをMicrosoft Entra IDにプロビジョニングする前に、アカウント フォレスト内のユーザー オブジェクトを同期する必要があります。
したがって、 を msExchRecipientTypeDetails 2 に設定すると、オブジェクトはフィルター処理されません。 ただし、このフラグを設定すると、AADSync はマスター アカウント (アカウント フォレストから) が同期されるのを待ち、2 つのオブジェクトに参加し、AADSync で最終的なユーザー オブジェクトのクラウド コネクタを作成できるようにします。
アカウント リソース フォレスト トポロジが存在せず、ユーザー msExchRecipientTypeDetails の値が 2 であるシナリオでは、値を通常のオブジェクトと同様の値に変更すると、ユーザー オブジェクトが同期されます。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示