Azure Active Directory 同期ツールを使用して同期されたオブジェクトを管理または削除できません
この記事では、ディレクトリ同期によって作成されたオブジェクトをMicrosoft Entra IDから管理または削除できない問題について説明します。 さまざまな理由に応じて、この問題に対して 2 つの解決策が提供されます。
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2619062
現象
ディレクトリ同期によって作成されたオブジェクトを、Microsoft Entra IDから手動で管理または削除しようとするとします。
たとえば、オンプレミスの Active Directory Domain Services (AD DS) からMicrosoft Entra IDに同期された孤立したユーザー アカウントを削除します。
このシナリオでは、Office 365、Azure、またはMicrosoft Intuneの Microsoft クラウド サービス ポータルを使用するか、Windows PowerShellを使用して、孤立したユーザー アカウントを削除することはできません。
原因
この問題は、次の条件の 1 つ以上が当てはまる場合に発生する可能性があります。
- オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除することはできません。
- オンプレミスの AD DS からオブジェクトを削除しました。 ただし、オブジェクトはクラウド サービス organizationから削除されませんでした。 この動作は予期しないものです。
解決方法
オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除することはできません
Office 365、Azure、またはIntuneでオブジェクトを管理する必要があり、ディレクトリ同期を使用する必要がなくなりました。
注:
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
Windows 10を実行中でない場合は、Microsoft Online Services サインイン アシスタントの 64 ビット版をインストールします: IT プロフェッショナル用 Microsoft Online Services サインイン アシスタント RTW。
Windows PowerShellのMicrosoft Azure Active Directory モジュールをインストールします。
- 管理者特権で Windows PowerShell コマンド プロンプトを開きます (Windows PowerShell を管理者として実行)。
Install-Module MSOnlineコマンドを実行します。
次のコマンドを実行して、ディレクトリ同期を無効にします。
Set-MsolDirSyncEnabled -EnableDirSync $falseWindows PowerShellを使用して、ディレクトリ同期が完全に無効になっていることを確認します。 これを行うには、次のコマンドを定期的に実行します。
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabledこのコマンドは True または False を返します。 False が返されるまで、このコマンドを定期的に実行し続け、次の手順に進みます。
非アクティブ化が完了するには 72 時間かかる場合があります。 時間は、クラウド サービス サブスクリプション アカウント内のオブジェクトの数によって異なります。
Windows PowerShellを使用するか、クラウド サービス ポータルを使用して、オブジェクトを更新してみてください。
手順 4 が完了するまでにしばらく時間がかかる場合があります。 クラウド サービス環境には、属性値を計算するプロセスがあります。 Windows PowerShellを使用するか、クラウド サービス ポータルを使用してオブジェクトを変更する前に、プロセスを完了する必要があります。
オブジェクトは、オンプレミスの AD DS から削除します。 ただし、オブジェクトはクラウド サービス サブスクリプション アカウントから削除されません
この記事の手順を使用してディレクトリ同期を強制する: Scheduler を起動する
一部の更新と削除が反映されていても、一部の削除がクラウド サービスに同期されない場合は、一般的なディレクトリ同期のトラブルシューティング手順に従ってください。
すべての更新と削除がクラウド サービスに同期されない場合は、サポートにお問い合わせください。
注:
このシナリオの別の解決策として、クラウド サービスでオブジェクトを手動で削除できます。 ただし、クラウド サービスではオブジェクトを更新できません。 この問題を解決する方法の詳細については、次の Microsoft サポート技術情報の記事を参照してください。Azure Active Directory 同期ツールを使用する場合、オブジェクトの削除はMicrosoft Entra IDに同期されません。
詳細
ディレクトリ同期を再度有効にするには、次のコマンドを実行します。
Set-MsolDirSyncEnabled -EnableDirSync $true
ディレクトリ同期を再度有効にする場合は、慎重に計画することが重要です。 クラウド サービス ポータルまたはWindows PowerShellを使用して、もともとオンプレミス AD DS から同期されたオブジェクトに直接変更を加えた場合、ディレクトリ同期が再有効化された後に同期が初めて行われると、変更はオンプレミスの属性と設定によって上書きされます。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示