ディレクトリ同期レポートにエラーが表示される: この会社は、同期できるオブジェクトの数を超えています

この記事では、Office 365、Azure、または Microsoft Intune 環境でのディレクトリ同期の Active Directory ディレクトリ サービス クォータを増やす方法について説明します。

元の製品バージョン: Cloud Services (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ユーザーとドメインの管理
元の KB 番号: 2812409

現象

次のエラー メッセージ MSOnlineServicesTeam@MicrosoftOnline.com を含む電子メール メッセージが表示されます。

エラー 016: 同期が停止しました。 この会社は、同期できるオブジェクトの数を超えています。 Microsoft Online Services サポートにお問い合わせください。

原因

この問題は、Microsoft Entra IDで作成したオブジェクトの数がディレクトリ サービスの制限を超えているために発生します。 Microsoft Entra IDでは、各organizationで作成できるオブジェクトの数が制限されます。 Microsoft Entra organization内のグループ、連絡先、ユーザー オブジェクトは、organizationのディレクトリ使用量の一部としてカウントされます。

既定のディレクトリ サービス クォータは、次のガイドラインに従って計算されます。

• 検証済みドメインがない場合、Microsoft Entra IDの現在のディレクトリ サービス クォータは 50,000 オブジェクトです。

  1. organizationが 2011 年 10 月 5 日より前に作成された場合、既定のディレクトリ サービス クォータは 10,000 オブジェクトです。
  2. organizationが 2011 年 10 月 5 日以降、2012 年 5 月より前に作成された場合、既定のディレクトリ サービス クォータは 20,000 オブジェクトです。
  3. organizationが 2012 年 5 月以降に作成された場合、既定のディレクトリ サービス クォータは 50,000 オブジェクトです。

• 少なくとも 1 つの検証済みドメインがある場合、Microsoft Entra IDの既定のディレクトリ サービス クォータは 300,000 オブジェクトです。

解決方法

オンプレミスの Active Directory内のグループ、連絡先、ユーザー オブジェクトの数がディレクトリ サービス クォータを超える場合は、会社のディレクトリ サービス クォータ制限の引き上げを要求できます。 この増加により、ディレクトリ同期を使用するときに、現在の既定の制限よりも多くのオブジェクトを同期できます。

引き続きorganizationでオブジェクトを作成するには、ドメインを追加するか、ディレクトリ サービス クォータの引き上げを要求する必要があります。 これを行うには、次のメソッドを使用します。

方法 1

確認済みドメインがない場合は、クォータ制限を 300,000 オブジェクトに増やすドメインを追加する必要があります。 詳細については、「 ドメインの追加」を参照してください。

方法 2

オンプレミスの Active Directory ディレクトリ サービスに 300,000 を超えるオブジェクトがある場合は、300,000 を超えて同期できるオブジェクトの数を増やすには、Microsoft サポートにお問い合わせください。

詳細

ディレクトリ サービス クォータは、クラウド サービスをメソッドとして使用して実装され、1 つのセキュリティ プリンシパルによって作成および所有できるオブジェクトの最大数を制限します。 会社へのディレクトリ同期を使用して同期されるすべてのオブジェクトには、作成者/所有者の値がその会社の既定の管理者グループに設定されています。 たとえば、管理者グループは 次のように設定されます admins@contoso1.microsoftonline.com。 したがって、この構成により、ディレクトリ同期を使用してユーザーが無制限の数のオブジェクトを作成できなくなります。 会社がディレクトリ サービス クォータの制限を超えて同期する正当な必要がある場合は、テクニカル サポートにサービス要求を送信します。

よく寄せられる質問

質問 1: クラウド サービス ポータルまたはクラウド サービス API (Exchange Online powerShell など) を介して手動で追加されたオブジェクトは、オンライン会社のクォータに対してカウントされますか。

回答 1: はい。

質問 2: 削除されたオブジェクトは、オンライン会社のクォータに対してカウントされますか?

回答 2: はい。 クラウド サービスのお客様がオンライン企業からオブジェクトを削除すると、削除されたオブジェクトはディレクトリ サービスの削除済みオブジェクト コンテナーに格納されます。 オブジェクトは、廃棄ストーンの有効期間が切れるまで、削除されたオブジェクト コンテナーに残ります。 有効期限は現在 30 日に設定されています。

たとえば、次のようなシナリオについて考えてみます。 オンライン企業は、非運用環境のオンプレミスの Active Directory環境を使用してクラウド サービスを評価しています。 クラウド サービス organizationは 2011 年 10 月 5 日より前に作成され、既定の同期制限は 10,000 オブジェクトです。 会社では、ディレクトリ同期ツールを使用して、8,000 個のグループ オブジェクトと連絡先オブジェクトの一括同期を実行します。 その後、オンライン会社は次のことを行うことにしました。

1. これらのグループ オブジェクトと連絡先オブジェクトを、会社のオンプレミスの非運用環境 Active Directory DS 環境から削除します。
2. オンプレミスの非運用環境 Active Directory DS 環境に 8,000 個のユーザー オブジェクトを追加します。
3. 更新プログラムをオンライン会社に同期します。

8,000 個のグループ オブジェクトと連絡先オブジェクトは、ディレクトリ サービス内の削除されたオブジェクト コンテナーに移動されます。 また、これらのオブジェクトは、30 日間の廃棄期間の後に完全に削除されるまで、オンライン企業クォータの最大 25% を消費し続けます。 (この割合は 2,000 個のオブジェクト、または 8,000 × 25% に等しくなります)。したがって、5,000 個の新しいユーザー オブジェクトを同期した後、オンライン会社は、使用可能な Active Directory クォータの 10,000 個のオブジェクト、削除されたオブジェクトから 2,000 個、新しいユーザー オブジェクトから 8,000 個を消費します。 30 日間の廃棄期間 (この期間はオンライン会社の評価期間と一致する場合があります)、オンライン企業はディレクトリ同期を使用してオブジェクトを追加できない場合があります。 この条件は、オンライン会社のディレクトリ サービス クォータに達したために発生します。

このシナリオでは、クラウド サービスの評価を実行しているオンライン企業は、製品評価を完了するために、非運用環境オンプレミスの Active Directory DS 環境のオブジェクトの数を減らす必要があります。 ただし、オンライン会社がオブジェクトの数を減らすことができない場合、会社はディレクトリ サービス クォータの引き上げを要求する必要があります。

質問 3: 複数の検証済みドメインがあるということは、300,000 個を超えるオブジェクトのクォータを持つことができますか?

回答 3: いいえ。 1 つ以上の検証済みドメインがある場合は、300,000 個のオブジェクトのディレクトリ クォータが付与されます。 登録した検証済みドメイン ごとに 300,000 個のオブジェクトのクォータは付与されません。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。