オンプレミス Active Directory Domain Services から Azure AD に同期したオブジェクトを管理、削除できない

現象 
ディレクトリ同期で作成したオブジェクトを Microsoft Azure Active Directory (Azure AD) から手動で管理、または削除するシナリオを考慮します。例えば、オンプレミスActive Directory Domain Services (AD DS) から Azure AD に同期した、関連付けのないユーザーアカウントを削除するとします。しかし、Office 365 ポータルや Windows PowerShell を使用しても、そのユーザー アカウントが削除されません。
原因 
この問題は、次の条件に該当する場合に発生します。
  • 原因 1: オンプレミス AD DS が利用できなくなっている。そのため、オンプレミス環境からオブジェクトを管理、または削除できない
  • 原因 2: オンプレミスActive Directoryからオブジェクトを削除したが、Office 365 テナントからそのオブジェクトが削除されていない。これは、予想外の動作である。
解決方法 
原因 1 の解決方法: 今後、ディレクトリ同期は使用せず、Office 365 でオブジェクトを管理します。
  1. 以下の Microsoft Web サイトを参照し、Windows PowerShell 用 Azure Active Directory モジュールをインストールします。
  2. Windows PowerShell から、Azure Active Directory (Azure AD) に接続します。この詳細方法については、以下のマイクロソフト Web サイトを参照してください。
  3. ディレクトリ同期を無効化します (以下のコマンドを入力後、Enter キーを押す)。
    Set-MsolDirSyncEnabled –EnableDirSync $false
  4. Windows PowerShellを使用して、ディレクトリ同期が完全に無効化されたことを確認します。次のコマンドを定期的に実行します 
    (Get-CompanyInformation).DirectorySynchronizationEnabled
    このコマンドにより、True またはFalse 値のいずれかが返されます。False 値が返されるまで繰り返しこのコマンドを実行し、次の手順に移ります。

    注: アカウントが無効化されるまで、72 時間ほどかかる場合があります。処理に要する時間は、Office 365 サブスクリプション アカウントにあるオブジェクト数により異なります。
  5. Windows PowerShell または Office 365 ポータルを使用してオブジェクトを更新します。
注: Microsoft Office 365 環境での属性値を計算する処理が行われるため、手順 4 が完了するまで時間がかかる場合があります。Windows PowerShell やOffice 365 ポータルを使用してオブジェクトを変更する場合は、この処理が完了してから操作をしてください。

原因 2 の解決方法: オンプレミス AD DS からオブジェクトを削除しますが、Office 365 サブスクリプション アカウントからそのオブジェクトが削除されません。

以下のマイクロソフト Web  サイトの手順を用いてディレクトリ同期を強制実行します。  

ディレクトリ同期を強制実行する
  • 更新や削除を伝播後も、幾つかの削除オブジェクトが Office 365 に同期されていない場合は、ディレクトリ同期の通常のトラブルシューティング処理を行います
  • 更新や削除がすべて Office 365 に同期されていない場合は、Office 365テクニカル サポートに連絡してください。
: このようなシナリオのその他解決方法として、Office 365 でオブジェクトを手動で削除する方法もありますが、この方法では Office 365 でオブジェクトを更新することはできません。この問題を解決するには、以下の Microsoft Knowledge Base の資料番号をクリックし、手順を参照してください。
2709902: オンプレミス Active Directory から削除されたオブジェクトが、ディレクトリ同期により Microsoft Online Services から削除されていない

追加情報 
ディレクトリ同期を再度有効化するには、次のコマンドを実行します。

Set-MsolDirSyncEnabled –EnableDirSync $true
警告: ディレクトリ同期を再有効化する際は、詳細な計画をたてることが重要です。Office 365 ポータルまたは Windows PowerShell を使用し、オンプレミス AD DS で最初に同期済みのオブジェクトに直接変更を加える場合、この変更は、ディレクトリ同期の再有効後、最初に行われる同期の際、オンプレミスの属性値および設定の変更が反映されます。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2619062 - 最終更新日: 12/18/2014 09:28:00 - リビジョン: 26.0

Microsoft Azure Active Directory, Microsoft Azure cloud services, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m KB2619062
フィードバック