Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない

現象

個々の Active Directory ドメイン サービス (AD DS) オブジェクトが、正常に Microsoft Azure Active Directory (Azure AD) に同期しません。ディレクトリ同期を実行すると、オブジェクトは同期されず、以下のいずれかの現象が発生します。
  • 重複した属性値を示すエラーメッセージが表示される。
  • 1 つ以上の属性が フォーマット要件 (例: 文字列、文字数) に違反していることを示すエラー メッセージが表示されます。
  • エラー メッセージは表示されず、ディレクトリ同期も完了したように見えるが、一部のオブジェクト (属性) が正常に更新されていない。
エラー メッセージの例は以下のとおりです。

  • "A synchronized object with the same proxy address already exists in your Microsoft Online Services directory.”
    (同じプロキシ アドレスを持つ同期済みオブジェクトが Microsoft Online Services のディレクトリに既に存在します。)
  • "Unable to update this object because the user ID is not found.”
    (ユーザー ID が見つからないため、このオブジェクトを更新できません。)

  • "Unable to update this object in Microsoft Online Services because the following attributes associated with this object have values that may already be associated with another object in your local directory.”
    (Microsoft Online Services でこのオブジェクトを更新できません。このオブジェクトに関連付けられた以下の属性には、ローカル ディレクトリで既に別のオブジェクトに関連付けられた値があります。)

原因

この問題は、以下のいずれかの条件に該当する場合に発生します。
  • Active Directory の属性で使用されるドメインの値が確認されていない。
  • 一意の値が必要とされるオブジェクト属性で、1 つ以上が重複した属性値を示している (例: proxyAddresses 属性と User PrincipalName 属性)。
  • 1 つ以上のオブジェクト属性がフォーマット要件 (属性値の文字や文字数の制限) に違反している。
  • 1 つ以上のオブジェクト属性が、ディレクトリ同期の除外ルールに該当している。

次の表は、既定の同期範囲ルールを示しています。
オブジェクトの種類属性名属性が以下の場合は、同期されない
連絡先DisplayName"MSOL" を含む
msExchHideFromAddressLists"True" に設定
セキュリティが有効なグループisCriticalSystemObject"True" に設定
メールが有効なグループ (セキュリティ グループまたは配布リスト)proxyAddresses

および

mail
"SMTP:" を持たないアドレス

かつ

存在しない
メールが有効な連絡先proxyAddresses

および

mail
"SMTP:" を持たないアドレス

かつ

存在しない
iNetOrgPersonsAMAccountName存在しない
isCriticalSystemObject存在する
ユーザーmailNickName"SystemMailbox" で始まる
mailNickName"CAS_" で始まる



かつ



"{" を含む
sAMAccountName"CAS_" で始まる



かつ



"}" を含む
sAMAccountName"SUPPORT_388945a0" と同じ
sAMAccountName"MSOL_AD_Sync" と同じ
sAMAccountName存在しない
isCriticalSystemObject"True" に設定

  • ユーザー プリンシパル名 (UPN) は、初期同期後に変更されます。手動で更新が必要です。
  • 同期済ユーザーの Exchange Online での Simple Mail Transfer Protocol (SMTP) アドレスは、オンプレミス Active Directory のスキーマで正しく表示されません。

解決方法

この問題を解決するには、状況に応じて以下のいずれかの解決方法を使用します。

解決方法 1: IdFix を実行してオブジェクトの重複、未設定の属性値、ルールの不適合を確認する

IdFix DirSync Error Remediation Tool (英語) を使用し、Azure AD の同期を妨げているオブジェクトおよびエラーを特定します。


  • IdFix 実行後、エラー欄に "Blank" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857349: IdFix ツールを実行後、オブジェクトのエラー欄に "Blank" と表示される
  • IdFix 実行後、エラー欄に "Format” と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857351: IdFix ツールの実行後、エラー欄に "Format" と表示される
  • IdFix 実行後、エラー欄に "Character" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857352: IdFix ツール実行後、オブジェクトのエラー欄に "Character" と表示される
  • IdFix 実行後、エラー欄に "Duplicate" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857385: IdFix ツール実行後、エラー欄に "Duplicate" と表示される

解決方法 2: ディレクトリ同期により Azure AD 内に生成されていないオブジェクトに起因する属性値の重複を特定する

管理ツールにより作成されたオブジェクト (ディレクトリ同期により Azure AD には作成されていません) に起因する属性値の競合を特定するには、以下の手順に従います。
  1. 以下の手順に従い、Windows サポート ツールキットをインストール済みのコンピューターで、オンプレミス AD DS ユーザー アカウントの一意の属性値を特定します。
    1. スタート アイコンを右クリックし、[ファイル名を指定して実行] をクリックして「ldp.exe」と入力し、[OK] をクリックします。
    2. [接続]、[接続] を順にクリックし、AD DS ドメイン コントローラーのコンピューター名を入力し、[OK] をクリックします。
    3. [接続]、[バインド]、[OK] を順にクリックします。
    4. [表示]、[ツリー] を順にクリックし、[ベース DN] ドロップダウンから AD DS ドメインを選択し、[OK] をクリックします。
    5. メニューから、正常に同期されないオブジェクトを特定し、ダブルクリックします。画面右側の詳細欄に、すべてのオブジェクト属性値が表示されます。以下の例は、オブジェクト属性値を示しています。
    6. userPrincipalName 属性値および proxyAddresses 属性値 (複数値) の各 SMTP アドレスを記録します。これらの値は後の手順で必要となります。

      属性値名備考
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      • (属性値ラベルに隣接した) カッコ内に表示されている数字は、複数値の属性値のプロキシ アドレス数を示しています。
      • 各プロキシ アドレスは、セミコロン (;) で区切られています。
      • プライマリ SMTP プロキシ アドレス値には、先頭に "SMTP:" が付きます。
      UserPrincipalName7628376@contoso.com
      注: Ldp.exe は、Windows Server 2008 および Windows Server 2003 サポート ツールに含まれています。Windows Server 2003 サポート ツールは、Windows Server 2003 インストール メディアに含まれます。また、このサポート ツールは、以下の Microsoft Web サイトからも取得できます。
  2. 以下の手順に従い、Windows PowerShell 用 Azure Active Directory モジュールを使用して接続します。詳細については、「AzureADHelp」を参照してください。

    次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
  3. 重複する UerPrincipalName 属性値を確認します。

    手順 2 で開いたコンソールで、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押下します。

    • $userUPN = "<search UPN>" 
      注: コマンド中、"<search UPN>" には、手順 1F で確認した UserPrincipalName 属性値を指定します。
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
  4. 重複する proxyAddresses 属性値を確認します。手順 2 で開いたコンソールで、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押下します。
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection 
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. 手順 1F で確認した各プロキシ アドレスについては、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押下します。
    • $proxyAddress = "<search proxyAddress>" 
      注: コマンド中、"<search proxyAddress>" には、手順 1F で確認した proxyAddresses 属性値を指定します。
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
手順 3 および 4 の実行結果には、ディレクトリ同期により作成されなかったユーザー オブジェクト、および同期が正常に行われていないオブジェクトと競合する属性値を持つユーザー オブジェクトが表示されます。

解決方法 3: AD DS 属性を更新して重複やルール違反、除外範囲を取り除く

以下の情報をもとに、同期を妨げている属性を特定します。
  • 管理電子メールメッセージ
  • Office 365 Deployment Readiness Tool が出力したレポート
  • 既定のディレクトリ同期範囲ルールとカスタム ルール

属性値を特定したら、Active Directory の [ユーザーとコンピューター] ツールを使用して、その属性値を編集します。以下の手順に従ってください。
  1. Active Directory ユーザーとコンピューターを開き、AD DS ドメインのルート ノードを選択します。
  2. [表示] をクリックし、[拡張機能] オプションが選択されていることを確認します。
  3. 左側のナビゲーション ペインで [Users] フォルダーをクリックし、右ペインからユーザーを探し、右クリックして [プロパティ] をクリックします。
  4. [属性エディター] タブで属性を探し、[編集] をクリックします。属性値を希望の値に修正します。
  5. [OK] を 2 度クリックします。

あるいは、Active Directory Service Interfaces (ADSI) エディターを使用して、AD DS のオブジェクト属性値を更新します。Windows Server Toolkit の一部として ADSI エディターをインストールすることが出来ます。 次の手順に従い、ADSI エディターを使用して属性値を編集します。

警告: 本手順を実行するには ADSI エディターが必要です。ADSI エディターを誤って変更すると、重大な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。Microsoft は、ADSI エディターの誤使用により発生した問題に関しては、一切責任を負わないものとします。ADSI エディターは、自己の責任において使用してください。
  1. スタート アイコンを右クリックし、[ファイル名を指定して実行] で「ADSIEdit.msc」と入力し、[OK] をクリックします。
  2. ナビゲーション ペインにある [ADSI エディター] を右クリックします。[接続] をクリックし、[OK] をクリックしてドメイン区分を読み込み (ロード) します。
  3. ユーザーを右クリックし、[プロパティ] をクリックします。
  4. [属性] リストから目的の属性を探し、[編集] をクリックします。その後、希望の値に属性値を修正します。
  5. [OK] を2度クリックし、ADSI エディターを終了します。

解決方法 4: 新しいグループを作成し、同期済みでない組み込みグループに追加する

一部の組み込みグループ (Domain Users グループなど) が同期されていないという問題を解決するには、当該組み込みグループの適切なメンバーおよびアクセス許可を含む新しいグループを作成します。次に、新しいグループのメンバーをまだ同期済みでない組み込みグループに追加します。当該組み込みグループの代わりに新しいグループを使用してメンバーを管理します。これにより、依然として 1 つのグループのみを管理できます。

想定外の動作につながる可能性があるため、組み込みグループの属性を変更すること、または ID 同期用アプライアンスの問題切り分け用ルールを変更して重要なシステム オブジェクトの同期を許可することは控えてください。



解決方法 5: SMTP の一致機能を使用して、オンプレミスのユーザーオブジェクトを既存のユーザー オブジェクトと同期する

以下の Microsoft Knowledge Base 資料を参照してください。

2641663: SMTP がディレクトリ同期でオンプレミスのユーザーアカウントを Office 365 ユーザーアカウントと一致させる方法

解決方法 6: ユーザー アカウントの UPN を手動で更新する

以下の手順に従い、最初のディレクトリ同期後にライセンスが割当てられたユーザー アカウントの UPN を更新します。

  1. スタート アイコン、[すべてのアプリ]、[Windows Azure Active Directory]、[Windows PowerShell 用 Windows Azure Active Directory モジュール] を順にクリックします。
  2. PowerShell プロンプトで次のコマンドレットを実行します。
    1. $cred = get-credential 

      注: 資格情報の入力を求められたら、管理者の資格情報を入力します。
    2. Connect-MSOLService 
    3. Set-AzureADUser -ObjectId [CurrentUPN] -NewUserPrincipalName [NewUPN] 

解決方法 7: オンプレミスの Active Directory 属性値を使用してユーザーの SMTP アドレスを更新する

SMTP 属性値が Exchange Online に正常に同期されると、オンプレミスの AD 属性値の更新が必要となる場合があります。Exchange Online で電子メール アドレスを正しく表示するために、オンプレミスの Active Directory 属性値を更新するには、「解決方法 2」を用いて属性値を操作します。(下記表参照)

オンプレミス Active Directory 属性名オンプレミス Active Directory 属性値の例Exchange Online 電子メールアドレスの例
proxyAddressesSMTP:user1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
proxyAddressessmtp:user1@contoso.comPrimary SMTP: user1@contoso.onmicrosoft.com Secondary SMTP: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
Primary SMTP: user1@contoso.com
Secondary SMTP: user1@sub.contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
mailUser1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
UserPrinicpalNameUser1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com


既定ドメイン (例: user1@contoso.onmicrosoft.com) と紐付く Microsoft Online Email Routing Address (MOERA) は、ユーザー アカウントのエイリアスをもとに認識される値です。この電子メール アドレスは、各 Exchange Online 受信者と密接に紐付いています。いかなる受信者に対しても追加 MOERA アドレスの管理、削除、作成は出来ません。しかし、MOERA アドレスは、オンプレミスの AD ユーザー オブジェクトの属性値を使用して、プライマリ SMTP アドレスとして置き換えることができます。

注: proxyAddresses 属性値のデータにより、Exchange Online 電子メール アドレス用の mail 属性値のデータでは隠されています。

注: proxyAddresses 属性値のデータや、mail 属性値のデータ、またはその両方により、Exchange Online 電子メール アドレス用の UserPrincipalName データでは隠されています。電子メール アドレスを管理するために UPN を使用することは可能です。しかし、管理者は 電子メール アドレスと UPN を別々に選択します (proxyAddresses 属性値または mail 属性値を表示)。

同期済ユーザーの Exchange Online 電子メール アドレスを管理する際は、これらいずれかの属性値を使用することをお勧めします。

追加情報

本資料に記載されている Windows PowerShell コマンドの使用には、Windows PowerShell 用 Azure Active Directory モジュールが必要です。Windows PowerShell 用 Azure Active Directory モジュールの詳細ついては、以下の Microsoft Web サイトを参照してください。

AzureADHelp

ディレクトリ同期の属性によるフィルタリングの詳細については、以下の Microsoft Knowledge 資料を参照してください。
2256198: Azure Active Directory に同期した属性値のリスト
その他トピックは、Microsoft コミュニティ Web サイトまたは Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2643629 - 最終更新日: 2017/02/12 - リビジョン: 10

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, CRM Online via Office 365 E Plans, Office 365, Office 365 Identity Management

フィードバック