オンプレミス Active Directory Domain Services から Azure AD に同期したオブジェクトを管理、削除できない

適用対象: Azure Active DirectoryCloud Services (Web roles/Worker roles)Azure Backup

現象 


ディレクトリ同期で作成したオブジェクトを Microsoft Azure Active Directory (Azure AD) から手動で管理、または削除するシナリオを考慮します。例えば、オンプレミスActive Directory Domain Services (AD DS) から Azure AD に同期した、関連付けのないユーザーアカウントを削除するとします。しかし、Office 365 ポータルや Windows PowerShell を使用しても、そのユーザー アカウントが削除されません。

原因 


この問題は、次の条件に該当する場合に発生します。
  • 原因 1: オンプレミス AD DS が利用できなくなっている。そのため、オンプレミス環境からオブジェクトを管理、または削除できない
  • 原因 2: オンプレミス Active Directoryからオブジェクトを削除したが、Office 365 テナントからそのオブジェクトが削除されていない。これは、予想外の動作である。

解決方法 


原因 1 の解決方法: 今後、ディレクトリ同期は使用せず、Office 365 でオブジェクトを管理します。
  1. 以下の Microsoft Web サイトを参照し、Windows PowerShell 用 Azure Active Directory モジュールをインストールします。
  2. Windows PowerShell から、Azure Active Directory (Azure AD) に接続します。この詳細方法については、以下のマイクロソフト Web サイトを参照してください。
  3. ディレクトリ同期を無効化します (以下のコマンドを入力後、Enter キーを押す)。
    Set-MsolDirSyncEnabled –EnableDirSync $false
  4.  Windows PowerShell を使用して、ディレクトリ同期が完全に無効化されたことを確認します。次のコマンドを定期的に実行します 

    (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    このコマンドにより、True または False 値のいずれかが返されます。False 値が返されるまで繰り返しこのコマンドを実行し、次の手順に移ります。

    注: アカウントが無効化されるまで、72 時間ほどかかる場合があります。処理に要する時間は、Office 365 サブスクリプション アカウントにあるオブジェクト数により異なります。
  5. Windows PowerShell または Office 365 ポータルを使用してオブジェクトを更新します。

注:

  • Microsoft Office 365 環境での属性値を計算する処理が行われるため、手順 4 が完了するまで時間がかかる場合があります。Windows PowerShell や Office 365 ポータルを使用してオブジェクトを変更する場合は、この処理が完了してから操作をしてください。


原因 2 の解決方法: オンプレミス AD DS からオブジェクトを削除しますが、Office 365 サブスクリプション アカウントからそのオブジェクトが削除されません。

以下の Microsoft Web  サイトの手順を用いてディレクトリ同期を強制実行します。  
スケジューラの開始

  • 更新や削除を伝播後も、幾つかの削除オブジェクトが Office 365 に同期されていない場合は、ディレクトリ同期の通常のトラブルシューティング処理を行います
  • 更新や削除がすべて Office 365 に同期されていない場合は、Office 365テクニカル サポートに連絡してください。
: このようなシナリオのその他解決方法として、Office 365 でオブジェクトを手動で削除する方法もありますが、この方法では Office 365 でオブジェクトを更新することはできません。この問題を解決するには、以下の Microsoft Knowledge Base の資料番号をクリックし、手順を参照してください。
2709902: オンプレミス Active Directory から削除されたオブジェクトが、ディレクトリ同期により Microsoft Online Services から削除されていない

追加情報 


ディレクトリ同期を再度有効化するには、次のコマンドを実行します。

Set-MsolDirSyncEnabled –EnableDirSync $true
警告: ディレクトリ同期を再有効化する際は、詳細な計画をたてることが重要です。Office 365 ポータルまたは Windows PowerShell を使用し、オンプレミス AD DS で最初に同期済みのオブジェクトに直接変更を加える場合、この変更は、ディレクトリ同期の再有効後、最初に行われる同期の際、オンプレミスの属性値および設定の変更が反映されます。

その他トピックは、Microsoft コミュニティ Web サイトまたは Azure Active Directory フォーラム Web サイトを参照してください。