Azure AD Connect を使用する場合、オブジェクトの削除がMicrosoft Entra IDに同期されない
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2709902
現象
次のような状況で問題が発生します。
- オンプレミスの Active Directory オブジェクトがあります。
- ディレクトリ同期は、Active Directory オブジェクトをMicrosoft Entra IDに同期するために使用されます。 リンクされたオブジェクトが作成されます。
- オンプレミスの Active Directory オブジェクトを削除します。
このシナリオでは、リンクされたオブジェクトはMicrosoft Entra IDから削除されません。
原因
この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。
- ディレクトリ同期がまだ発生していません。
- ディレクトリ同期が予期せず、特定のクラウド オブジェクトを削除できませんでした。その結果、Microsoft Entra オブジェクトが孤立します。
解決方法
この問題を解決するには、次の手順を実行します。
PowerShell 用に ADSyncTools モジュールがインストールされていることを確認します。 詳細については、「Microsoft Entra接続: ADSyncTools PowerShell リファレンス」を参照してください。
次の ADSync コマンドを実行して、ディレクトリ同期を強制します。
Start-ADSyncSyncCycle -PolicyType Initial
同期が正しく機能していても Active Directory オブジェクトの削除がまだMicrosoft Entra IDに反映されない場合は、孤立したオブジェクトを手動で削除します。 これを行うには、Windows PowerShellに Azure Active Directory モジュールで次のいずれかのコマンドレットを使用します。
Remove-MsolContact
Remove-MsolGroup
Remove-MsolUser
注:
Azure AD Powershell は、2024 年 3 月 30 日に非推奨となる予定です。 詳細については、 非推奨の更新プログラムに関するページを参照してください。
Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 Microsoft Graph PowerShell では、すべての Microsoft Graph API へのアクセスが許可され、PowerShell 7 で利用できます。 一般的な移行クエリに対する回答については、「 移行に関する FAQ」を参照してください。
たとえば、ディレクトリ同期を使用して最初に作成された孤立したユーザー ID を
john.smith@contoso.com
手動で削除するには、次のコマンドレットを実行します。Remove-MsolUser -UserPrincipalName John.Smith@Contoso.com
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
https://aka.ms/ContentUserFeedback。
近日公開予定: 2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub イシューを段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、以下を参照してください:フィードバックの送信と表示