Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない

文書翻訳 文書翻訳
文書番号: 2643629 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象?

個々の Active Directory ドメイン サービス (AD DS) オブジェクトが、正常にMicrosoft Azure Active Directory (Azure AD)? に同期しません。ディレクトリ同期を実行すると、オブジェクトは同期されず、以下のいずれかの症状が発生します。
  • 重複した属性値を示すエラーメッセージが表示される。
  • 1つ以上の属性が フォーマット要件 (例:文字列、文字数) に違反していることを示すエラー メッセージが表示されます。
  • エラー メッセージは表示されず、ディレクトリ同期も完了したように見えるが、幾つかのオブジェクト (属性) が正常に更新されていない。

原因?

以下の条件に該当する場合にこの問題が発生します。
  • Active Directoryの属性で使用されるドメインの値が確認されていない。
  • ユニークな値が必要とされるオブジェクトで、1つ以上が重複した属性値を示している。(例:proxyAddresses 属性と user PrincipalName 属性)
  • 1つ以上のオブジェクト属性値がフォーマット要件 (属性値の文字や文字数を制限) に違反している。
  • 1つ以上のオブジェクト属性が、ディレクトリ同期の除外ルールに該当している。

次の表は、既定の同期範囲ルールを示しています。
元に戻す全体を表示する
オブジェクトの種類属性名属性が以下の場合は、同期されない
連絡先表示名"MSOL" を含む
msExchHideFromAddressLists"True" に設定
セキュリティが有効なグループisCriticalSystemObject"True" に設定
メールが設定されたグループ (セキュリティ グループまたは配布リスト)proxyAddresses

および

メール
"SMTP:" を持たないアドレス

かつ

存在しない
メールが設定された連絡先proxyAddresses

および

メール
"SMTP:" を持たないアドレス

かつ

存在しない
iNetOrgPersonsAMAccountName存在しない
isCriticalSystemObject存在する
ユーザーmailNickName"SystemMailbox" で始まる
mailNickName"CAS_" で始まる



かつ



"{" を含む
sAMAccountName"CAS_" で始まる



かつ



"}" を含む
sAMAccountName"SUPPORT_388945a0" と同じ
sAMAccountName"MSOL_AD_Sync" と同じ
sAMAccountName存在しない
isCriticalSystemObject"True" に設定

  • ユーザー プリンシパル名 (UPN) は、初期同期後に変更されます。手動で更新が必要です。
  • 同期済ユーザーの Exchange Online Simple Mail Transfer Protocol (SMTP) アドレスは、Active Directory で正しく表示されません。

解決方法?

状況に応じて以下から適切な解決方法を用います。

解決方法 1: IdFix を実行してオブジェクトの重複、未設定の属性値、ルールの不適合を確認する

  • IdFix 実行後、エラー欄に "blank" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857349 : IdFix ツール実行後、オブジェクトのエラー欄に "Blank" と表示される
  • IdFix 実行後、エラー欄に "format” と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857351 : IdFix ツール実行後、オブジェクトのエラー欄に "Format" と表示される
  • IdFix 実行後、エラー欄に "character" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857352?: IdFix ツール実行後、オブジェクトのエラー欄に "Character" と表示される
  • IdFix 実行後、エラー欄に "duplicate" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857385 : IdFix ツール実行後、オブジェクトのエラー欄に "Duplicate" と表示される

解決方法 2:?Office 365 OnRamp ツールを使用する


Office 365 OnRamp ツールを使用して無効な属性値についての情報を取得するには、以下の手順に従います。?
  1. ドメインに参加したコンピューターで、以下のマイクロソフト Web サイトを開き、ページ上の指示に従います。
    https://onramp.office365.com/OnRamp/
  2. レポートの [users and groups] (ユーザーとグループ) セクションで、同期にエラーを引き起こす属性値の問題詳細を確認します。以下の例は、レポート内に表示される [environmental checks] (環境チェック) セクションのスクリーン ショットです。

    元に戻す画像を拡大する
    2867437

解決方法 3: Microsoft Online Services Diagnostics and Logging (MOSDAL) サポート ツールキットを使用する


MOSDAL サポート ツールキットを使用して無効な属性値についての情報を取得するには、以下の手順に従います。?
  1. 以下の Microsoft ダウンロード センターから MOSDAL サポート ツールキットをインストールします。
    MOSDAL (Microsoft Online Services Diagnostics and Logging) サポート ツールキット
  2. MOSDAL サポート ツールキットを実行し、[シングルサインオン] を選択し [次へ] をクリックします。
  3. 資格情報の入力画面に、ユーザー ID を入力して [次へ] をクリックします。パスワードは認証試行および結果の記録のみに使用され、保存はされません。
  4. [問題を再現します] 画面で [次へ] をクリックします。
  5. 再現が終了したら、Documents\MOSDAL ライブラリで MOSDALREPORT.zip ファイルを特定します。無効な属性値の情報が含まれるレポートは、以下のファイルに格納されます。
    MOSDALREPORT\Admin_Applications\Directory_Synchronization_Tool\DirSyncObjects.xml
ディレクトリ同期により Azure AD 内に生成されていないオブジェクトに起因する属性値の重複を特定する

管理ツールにより作成されたオブジェクト (ディレクトリ同期により Azure AD には作成されていません) に起因する属性値の競合を特定するには、以下の手順に従います。
?
  1. 以下の手順に従い、Windows サポート ツールキットをインストール済みのコンピューターで、オンプレミス AD DS ユーザー アカウントの一意の属性値を特定します。
    1. [スタート]、[ファイル名を指定して実行] を順にクリックし、「ldp.exe」と入力して [OK] をクリックします。
    2. [接続]、[接続] を順にクリックし、AD DS ドメイン コントローラーのコンピューター名を入力し、[OK] をクリックします。
    3. [接続]、[バインド]、[OK] を順にクリックします。
    4. [ビュー]、[ツリー ビュー] を順にクリックし、[BaseDN] ドロップダウンから AD DS ドメインを選択し、[OK] をクリックします。
    5. メニューから、正常に同期されないオブジェクトを特定し、ダブルクリックします。画面右側の詳細欄に、すべてのオブジェクト属性値が表示されます。以下の例は、オブジェクト属性値を示しています。
      元に戻す画像を拡大する
      2867455
    6. userPrincipalName 属性値および proxyAddresses 属性値 (複数値) の各 SMTP アドレスを記録します。これらの値は後の手順で必要となります。

      元に戻す全体を表示する
      属性値名備考
      proxyAddresses?proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;???§??(属性値ラベルに隣接した)?カッコ内に表示されている数字は、複数値の属性値のプロキシ?アドレス数を示しています。?

      §??各プロキシ?アドレスは、セミコロン?(;)?で区切られています。?

      §??プライマリ?SMTP?プロキシ?アドレス値には、先頭に?"SMTP:"?が付きます。
      userPrincipalName?7628376@contoso.com?
    7. 注: Ldp.exe は、Windows Server 2008 および Windows Server 2003 サポート ツールに含まれています。Windows Server 2003 サポート ツールは、Windows Server 2003 インストール メディアに含まれます。また、このサポート ツールは、以下のマイクロソフト Web サイトからも取得できます。
  2. 以下の手順に従い、Windows PowerShell 用 Azure Active Directory モジュールを使用して接続します。
    1. [スタート]、[すべてのプログラム]、[Windows Azure Active Directory]、[Windows PowerShell 用 Windows Azure Active Directory モジュール] を順にクリックします。
    2. 以下のコマンドを表示されている順序で入力し、各コマンド入力後に Enter キーを押します。
      • $cred = get-credential
        注: 資格情報の入力画面に管理者の資格情報を入力します。?
      • Connect-MSOLService ?credential $cred
      次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
  3. 競合する?userPrincipalName 属性値を確認します。

    手順 2 で開いたコンソールで、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押します。
    • $userUPN = "<search UPN>"
      注: コマンド中、"<search UPN>" には、手順 1F で確認した UserPrincipalName 属性値を指定します。
    • get-MSOLUser ?UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
      次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
  4. 次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri?https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirectionhttps://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud
  5. 手順 1F で確認した各プロキシ アドレスについては、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押します。
    • $proxyAddress = "<search proxyAddress>"
      注: コマンド中、"<search proxyAddress>" には、手順 1F で確認した proxyAddresses 属性値を指定します。
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
手順 3 および 4 の実行結果には、ディレクトリ同期により作成されなかったユーザー オブジェクト、および同期が正常に行われていないオブジェクトと競合する属性値を持つユーザー オブジェクトが表示されます。

解決法 4: AD DS 属性を更新して重複やルール違反、除外範囲を取り除く

以下の情報を基に、同期を妨げている属性を特定します。
  • 管理電子メールメッセージ?
  • Office 365 Deployment Readiness Tool が出力したレポート
  • 既定のディレクトリ同期範囲ルールとカスタム ルール

属性値を特定したら、Active Directory の [ユーザーとコンピューター] ツールを使用して、その属性値を編集します。以下の手順に従ってください。
  1. Active Directory [ユーザーとコンピューター] を開き、AD DS ドメインのルート ノードを選択します。
  2. [表示] をクリックし、[拡張機能] オプションを選択するようにしてください。
  3. 左ナビゲーション ペインにある [Users] フォルダーをクリックし、右ペインからユーザーを探し、右クリックして [プロパティ] をクリックします。
  4. [属性エディタ] タブで、属性を探し、[編集] をクリックします。属性値を希望の値に修正します。
  5. [OK] を 2 度クリックします。

または、Active Directory Service Interfaces (ADSI) Edit を使用して、AD DS のオブジェクト属性値を更新します。Windows Server Toolkit の一部として ADSI Edit をインストールすることが出来ます。 次の手順に従い、ADSI Edit を使用して属性値を編集すします。
  1. [スタート] をクリックし、[ファイル名を指定して実行]ADSIEdit.mscと入力して [OK] をクリックします。
  2. ナビゲーション ペーンにある [ADSI Edit] を右クリックします。[Connect to](接続先) をクリックし、[OK] をクリックしてドメイン区分を読み込み (ロード) します。
  3. ユーザーを右クリックし、[Properties](プロパティ) をクリックします。
  4. [Attributes] (属性) のリストから、目的の属性を探し、[Edit](編集) をクリックします。その後、希望の値に属性値を修正します。
  5. [OK] を2度クリックし、ADSI Edit を終了します。

解決法 5: SMTP の一致機能を使用して、オンプレミスのユーザーオブジェクトを既存のユーザー オブジェクトに同期する

Microsoft Knowledge Baseにある次の資料を参照してください。

2641663 「SMTP一致機能を使用して、オンプレミスユーザーアカウントとOffice 365ユーザーアカウントをディレクトリ同期で一致させる方法」

解決法 6:?ユーザーアカウントのUPNを手動で更新する

以下の手順に従い、最初のディレクトリ同期後にライセンスが割当てられたユーザー アカウントの UPN を更新します。

  1. [スタート][すべてのプログラム]、[Windows Azure Active Directory]、[Windows PowerShell 用Windows Azure Active Directory モジュール] の順にクリックします 。
  2. PowerShell プロンプトで次のコマンドレットを実行します。
    1. $cred = set-credential

      注 資格情報の入力を求められたら、管理者の資格情報を入力します。
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

解決法 7: オンプレミスの Active Directory 属性値を使用してユーザーの SMTP アドレスを更新する

SMTP 属性値が Exchange Online に正常に同期されると、オンプレミスの AD 属性値の更新が必要となる場合があります。 Exchange Online で電子メール アドレスを正しく表示するために、オンプレミスの Active Directory 属性値を更新するには、「解決法 2」を用いて属性値を操作します。(下記表参照)

元に戻す全体を表示する
オンプレミスActive Directory 属性名オンプレミス Active Directory 属性値の例Exchange Online 電子メールアドレスの例
proxyAddressesSMTP:user1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
proxyAddressessmtp:user1@contoso.comPrimary SMTP: user1@contoso.onmicrosoft.com Secondary SMTP: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
Primary SMTP: user1@contoso.com
Secondary SMTP: user1@sub.contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
mailUser1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
UserPrinicpalNameUser1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
規定ドメイン (例: user1@contoso.onmicrosoft.com) と紐づく Microsoft Online Email Routing Address (MOERA) は、ユーザー アカウントのエイリアスを基に認識される値です。この電子メール アドレスは、各 Exchange Online 受信者と密接に紐づいています。いかなる受信者に対しても管理や削除、追加 MOERA アドレスの作成は出来ません。 しかし、MOERA アドレスは、オンプレミスの AD ユーザー オブジェクトを使用して、プライマリ SMTP アドレスとして設定できます。

注 proxyAddresses 属性値のデータは、Exchange Online 電子メール アドレス表示を目的とした mail 属性値の隠れデータです。

注 proxyAddresses 属性値のデータや mail 属性値のデータ、またはその両方は、Exchange Online 電子メール アドレス表示を目的とした UserPrincipalName データです。電子メール アドレスを管理するために UPN を使用することは可能です。しかし、管理者は 電子メール アドレスと UPN を別々に選択します (proxyAddresses 属性値または mail 属性値を表示)。

同期済ユーザーの Exchange Online 電子メール アドレスを管理する際は、これらいずれかの属性値を使用することをお勧めします。

追加情報?

本資料に記載されている Windows PowerShell コマンドの使用には、Windows PowerShell 用Azure Active Directory モジュールが必要です。Windows PowerShell 用Azure Active Directory モジュールの詳細は、以下の?Microsoft web サイトを参照してください。

??Windows PowerShell コマンドレットを使用して Azure AD テナントを管理する

ディレクトリ同期の属性によるフィルタリングに関する詳細は、Microsoft Knowledgeにある次の資料を参照してください。
2256198?: Azure Active Directory に同期される属性のリスト
その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。

プロパティ

文書番号: 2643629 - 最終更新日: 2014年6月26日 - リビジョン: 24.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Azure
  • Microsoft Azure Recovery Services
  • CRM Online via Office 365 E Plans
  • Microsoft Office 365
  • Office 365 Identity Management
キーワード:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m KB2643629
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com