Office 365 で "会社の同期可能なオブジェクト数を超えました。" というエラー メッセージを受け取った場合に、ディレクトリ サービスの割当値を拡張する方法

適用対象: Azure Active DirectoryAzure BackupMicrosoft Intune 詳細

現象


MSOnlineServicesTeam@MicrosoftOnline.com から、以下のエラー メッセージを含む電子メール メッセージを受け取ります。
“エラー 016: 同期が停止されました。会社の同期可能なオブジェクト数を超えました。Microsoft Online Services サポートに連絡してください。"
注: 本資料は、Office 365 で許容される数以上のオブジェクトを使用する予定であり、Active Directory 同期を使用しない状況でディレクトリ サービスのクォータ値の引き上げをリクエストする場合にも使用できます。Microsoft Azure Active Directory (Azure AD) のディレクトリ サービス クォータ値 (既定) は、50,000 オブジェクトです。

原因


Azure AD では、各組織で作成可能なオブジェクト数に制限があります。この問題は、Windows Auzre AD で作成したオブジェクト数が、ディレクトリ サービスの制限値を超えたために発生します。Azure AD 組織内のグループ、連絡先、ユーザーといったオブジェクト数は、組織のディレクトリ使用量によって合計数が算出されます。
  • 認証ドメインを保有していない場合

    Azure AD 内のディレクトリ サービスのクォータ値 (既定) は 50,000 オブジェクトです。
    • 2011 年 10 月 5 日より前に組織を作成した場合、既定によるディレクトリ サービスのクォータ値は 10,000 オブジェクトです。
    • 2011 年 10 月 5 日から 2012 年 5 月までの間に組織を作成した場合、既定によるディレクトリ サービスのクォータ値 は 20,000 オブジェクトです。
    • 2012 年 5 月以降に組織を作成した場合、既定によるディレクトリ サービスのクォータ値は 50,000 オブジェクトです。
  • 1 つ以上の認証ドメインを保有している場合

    Azure AD 内のディレクトリ サービスのクォータ値 (既定) は 300,000 オブジェクトです。

解決方法


オンプレミスの Active Directory に、ディレクトリ サービスの割り当て上限値以上のオブジェクト (グループ、連絡先、ユーザーを含む) がある場合、管理者は、会社のディレクトリ サービスのクォータ値の拡張をリクエストできます。ディレクトリ サービスの容量を拡張することで、ディレクトリ同期によるオブジェクトの同期数を現在の既定値から増加することができます。

組織で、上限値以上のオブジェクトを引き続き作成する場合は、ドメインを追加するか、ディレクトリ サービスのクォータ値拡張をリクエストする必要があります。

方法 1: 認証ドメインを保有していない場合

ドメインを追加し、クォータ値を 300,000 オブジェクトに拡張します。詳細情報については、以下のマイクロソフト Web サイトを参照してください。

方法 2: オンプレミス Active Directory 300,000 超のオブジェクトがある場合

同期可能なオブジェクト数を 300,000 よりも拡張するには、Office 365 サポートに問い合わせてください。


詳細


ディレクトリ サービスの割り当て容量は、1 つのセキュリティ プリンシパルでのみ作成および所有が可能なオブジェクトの最大数を制限する方法として、Office 365 を使用することで実装されます。ディレクトリ同期を使用して会社に同期するすべてのオブジェクトは、creator/owner の値が既定の管理者グループに設定されます。例えば、管理者グループは以下のように設定されます。
admins@contoso1.microsoftonline.com

この構成により、ユーザーがディレクトリ同期を使用して無制限のオブジェクトを作成するのを防止します。ディレクトリ サービスの割り当て制限以上の同期を必要とする正当な理由が会社にある場合、Office 365 テクニカル サポートにサービス リクエストを送信してください。

FAQ

Q1. Office 365 ポータルまたは Office 365 API (: Exchange Online PowerShell) を使用して手動で追加したオブジェクトは、オンライン会社に割り当てられた容量に加算されますか?

A1. はい。

Q2. 削除されたオブジェクトは、オンライン会社に割り当てられた容量から計算されますか?

A2. はい。Office 365 のお客様がオンライン会社からオブジェクトを削除すると、このオブジェクトは Office 365 ディレクトリ サービスの削除済みオブジェクト コンテナに移動されます。削除済みオブジェクト コンテナに移動されたオブジェクトは、有効期間中このコンテナに置かれます。現在、Microsoft Online Services に設定されている有効期限は 30 日間です。

例として、以下のシナリオを検討します。オンライン会社は非運用のオンプレミス Active Directory 環境を使用して Office 365 に割り当てられた容量を計算します。この会社の Office 365 テナントは、2011 年 10 月 5 日よりも前に作成されているため、同期の既定制限は 10,000 オブジェクトです。会社はディレクトリ同期ツールを使用して 8,000 のグループ オブジェクトと連絡先オブジェクトを一括同期します。その後、オンライン会社は以下を実行します。
  1. 会社のオンプレミス非運用 Active Directory DS 環境から同期済みのグループ オブジェクトと連絡先オブジェクトを削除する。
  2. オンプレミス非運用 Active Directory DS 環境に 8,000 のユーザー オブジェクトを追加する。
  3. オンライン会社に更新を同期する。
8,000 のグループ オブジェクトと連絡先オブジェクトは Office 365 ディレクトリ サービス (DS) の削除済みオブジェクト コンテナに移動されます。削除済みオブジェクト コンテナに移動されたオブジェクトは、30 日間が経過し完全に消去されるまで、オンライン会社に割り当てられた容量の 25 % (8,000 × 25 % = 2,000 オブジェクト) までを使用します。そのため、新たに 8,000 の新規ユーザー オブジェクトを同期した場合、オンライン会社は Active Directory の 7,000 オブジェクト分を消費します (2,000 の削除済みオブジェクト + 5,000 の新規ユーザー オブジェクト)。事前に定義された 30 日の間 (この期間はオンライン会社の評価期間と一致します)、オンライン会社はディレクトリ同期を使用してさらにオブジェクトを追加することはできません。この状況は、オンライン会社のディレクトリ サービスに割り当てられた容量制限に達したために発生します。

このシナリオでは、Office 365 に割り当てられた容量を計算するオンライン会社は、オンプレミスの非運用 Active Directory DS 環境でオブジェクト数を減らし、運用する容量を査定する必要があります。オンライン会社がオブジェクト数を削減できない場合は、Office 365 ディレクトリ サービスの割り当て容量を追加するリクエストが必要です。

2011 年 10 月 5 日以降に作成されたテナントについても同じ原則が適用されますが、Office 365 テナントに自動的に割り当てられる既定容量は 20,000 オブジェクトになることに注意してください。

Q3. 複数の認証ドメインを保有する場合、300,000 超のオブジェクトを使用できますか?

A3. いいえ。複数の認証ドメインを保有する場合も、割り当てられるディレクトリ クォータ値は 300,000 となります。登録する認証ドメインごとに 300,000 オブジェクトのクォータが割り当てられるわけではありません。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。