現在オフラインです。再接続するためにインターネットの接続を待っています

Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない

現象
個々の Active Directory ドメイン サービス (AD DS) オブジェクトが、正常に Microsoft Azure Active Directory (Azure AD) に同期しません。ディレクトリ同期を実行すると、オブジェクトは同期されず、以下のいずれかの現象が発生します。
  • 重複した属性値を示すエラーメッセージが表示される。
  • 1 つ以上の属性が フォーマット要件 (例: 文字列、文字数) に違反していることを示すエラー メッセージが表示されます。
  • エラー メッセージは表示されず、ディレクトリ同期も完了したように見えるが、一部のオブジェクト (属性) が正常に更新されていない。
エラー メッセージの例は以下のとおりです。

  • "By doing this, you still manage one group for domain admins. A synchronized object with the same proxy address already exists in your Microsoft Online Services directory”

    (これにより、1 つのグループでドメイン管理者を依然として管理することができます。同じプロキシ アドレスを持つ同期済みオブジェクトが Microsoft Online Services のディレクトリに既に存在します。)
  • "Unable to update this object because the user ID is not found.”

    (ユーザー ID が見つからないため、このオブジェクトを更新できません。)

  • "Unable to update this object in Microsoft Online Services because the following attributes associated with this object have values that may already be associated with another object in your local directory.”

    (Microsoft Online Services でこのオブジェクトを更新できません。このオブジェクトに関連付けられた以下の属性には、ローカル ディレクトリで既に別のオブジェクトに関連付けられた値があります。)

原因
以下の条件に該当する場合にこの問題が発生します。
  • Active Directoryの属性で使用されるドメインの値が確認されていない。
  • 一意の値が必要とされるオブジェクト属性で、1 つ以上が重複した属性値を示している (例:proxyAddresses 属性と User PrincipalName 属性)。
  • 1 つ以上のオブジェクト属性がフォーマット要件 (属性値の文字や文字数を制限) に違反している。
  • 1 つ以上のオブジェクト属性が、ディレクトリ同期の除外ルールに該当している。

次の表は、既定の同期範囲ルールを示しています。
オブジェクトの種類属性名属性が以下の場合は、同期されない
連絡先DisplayName"MSOL" を含む
msExchHideFromAddressLists"True" に設定
セキュリティが有効なグループisCriticalSystemObject"True" に設定
メールが設定されたグループ (セキュリティ グループまたは配布リスト)proxyAddresses

および

mail
"SMTP:" を持たないアドレス

かつ

存在しない
メールが設定された連絡先proxyAddresses

および

mail
"SMTP:" を持たないアドレス

かつ

存在しない
iNetOrgPersonsAMAccountName存在しない
isCriticalSystemObject存在する
ユーザーmailNickName"SystemMailbox" で始まる
mailNickName"CAS_" で始まる



かつ



"{" を含む
sAMAccountName"CAS_" で始まる



かつ



"}" を含む
sAMAccountName"SUPPORT_388945a0" と同じ
sAMAccountName"MSOL_AD_Sync" と同じ
sAMAccountName存在しない
isCriticalSystemObject"True" に設定

  • ユーザー プリンシパル名 (UPN) は、初期同期後に変更されます。手動で更新が必要です。
  • 同期済ユーザーの Exchange Online での Simple Mail Transfer Protocol (SMTP) アドレスは、オンプレミス Active Directory のスキーマで正しく表示されません。
解決方法
状況に応じて以下から適切な解決方法を用います。

解決方法 1: IdFix を実行してオブジェクトの重複、未設定の属性値、ルールの不適合を確認する

IdFix DirSync Error Remediation Tool (英語) を使用し、Azure AD の同期を妨げているオブジェクトおよびエラーを特定します。


  • IdFix 実行後、エラー欄に "Blank" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857349: IdFix ツールを実行後、オブジェクトのエラー欄に "Blank" と表示される
  • IdFix 実行後、エラー欄に "Format” と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857351: IdFix ツールの実行後、エラー欄に "Format" と表示される
  • IdFix 実行後、エラー欄に "Character" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857352: IdFix ツール実行後、オブジェクトのエラー欄に "Character" と表示される
  • IdFix 実行後、エラー欄に "Duplicate" と表示される場合は、以下の Microsoft Knowledge Base 資料を参照してください。
    2857385: IdFix ツール実行後、エラー欄に "Duplicate" と表示される

解決方法 2: ディレクトリ同期により Azure AD 内に生成されていないオブジェクトに起因する属性値の重複を特定する

管理ツールにより作成されたオブジェクト (ディレクトリ同期により Azure AD には作成されていません) に起因する属性値の競合を特定するには、以下の手順に従います。
  1. 以下の手順に従い、Windows サポート ツールキットをインストール済みのコンピューターで、オンプレミス AD DS ユーザー アカウントの一意の属性値を特定します。
    1. [スタート]、[ファイル名を指定して実行] を順にクリックし、「ldp.exe」と入力して [OK] をクリックします。
    2. [接続]、[接続] を順にクリックし、AD DS ドメイン コントローラーのコンピューター名を入力し、[OK] をクリックします。
    3. [接続]、[バインド]、[OK] を順にクリックします。
    4. [ビュー]、[ツリー ビュー] を順にクリックし、[BaseDN] ドロップダウンから AD DS ドメインを選択し、[OK] をクリックします。
    5. メニューから、正常に同期されないオブジェクトを特定し、ダブルクリックします。画面右側の詳細欄に、すべてのオブジェクト属性値が表示されます。以下の例は、オブジェクト属性値を示しています。
    6. userPrincipalName 属性値および proxyAddresses 属性値 (複数値) の各 SMTP アドレスを記録します。これらの値は後の手順で必要となります。

      属性値名備考
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      • (属性値ラベルに隣接した) カッコ内に表示されている数字は、複数値の属性値のプロキシ アドレス数を示しています。
      • 各プロキシ アドレスは、セミコロン (;) で区切られています。
      • プライマリ SMTP プロキシ アドレス値には、先頭に "SMTP:" が付きます。
      UserPrincipalName7628376@contoso.com
      注: Ldp.exe は、Windows Server 2008 および Windows Server 2003 サポート ツールに含まれています。Windows Server 2003 サポート ツールは、Windows Server 2003 インストール メディアに含まれます。また、このサポート ツールは、以下のマイクロソフト Web サイトからも取得できます。
  2. 以下の手順に従い、Windows PowerShell 用 Azure Active Directory モジュールを使用して接続します。詳細については、「Windows PowerShell による Azure AD の管理」を参照してください。

    次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
  3. 重複する UerPrincipalName 属性値を確認します。

    手順 2 で開いたコンソールで、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押下します。
    • $userUPN = "<search UPN>"
      注: コマンド中、"<search UPN>" には、手順 1F で確認した UserPrincipalName 属性値を指定します。
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
    次の手順でも必要となるため、コンソール ウィンドウを開いた状態にします。
  4. 重複する proxyAddresses 属性値を確認します。手順 2 で開いたコンソールで、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押下します。
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud
  5. 手順 1F で確認した各プロキシ アドレスについては、以下のコマンドを表示順どおりに入力し、各コマンドの入力後に Enter キーを押下します。
    • $proxyAddress = "<search proxyAddress>"
      注: コマンド中、"<search proxyAddress>" には、手順 1F で確認した proxyAddresses 属性値を指定します。
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind>
手順 3 および 4 の実行結果には、ディレクトリ同期により作成されなかったユーザー オブジェクト、および同期が正常に行われていないオブジェクトと競合する属性値を持つユーザー オブジェクトが表示されます。

解決方法 3: AD DS 属性を更新して重複やルール違反、除外範囲を取り除く

以下の情報をもとに、同期を妨げている属性を特定します。
  • 管理電子メールメッセージ
  • Office 365 Deployment Readiness Tool が出力したレポート
  • 既定のディレクトリ同期範囲ルールとカスタム ルール

属性値を特定したら、Active Directory の [ユーザーとコンピューター] ツールを使用して、その属性値を編集します。以下の手順に従ってください。
  1. Active Directory [ユーザーとコンピューター] を開き、AD DS ドメインのルート ノードを選択します。
  2. [表示]をクリックし、[拡張機能]オプションを選択するようにしてください。
  3. 左側のナビゲーション ペインにある [Users] フォルダーをクリックし、右ペインからユーザーを探し、右クリックして [プロパティ]をクリックします。
  4. [属性エディター]タブで、属性を探し、[編集]をクリックします。属性値を希望の値に修正します。
  5. [OK] を 2 度クリックします。

または、Active Directory Service Interfaces (ADSI) Edit を使用して、AD DS のオブジェクト属性値を更新します。Windows Server Toolkit の一部として ADSI Edit をインストールすることが出来ます。 次の手順に従い、ADSI Edit を使用して属性値を編集します。

警告: この手順を実行するには ADSI Edit が必要です。ADSI Edit を誤って変更すると、重大な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、ADSI Edit の誤使用により発生した問題に関しては、一切責任を負わないものとします。ADSI Edit は、自己の責任において使用してください。
  1. [スタート] をクリックし、[ファイル名を指定して実行] に「ADSIEdit.msc」と入力して [OK] をクリックします。
  2. ナビゲーション ペインにある [ADSI Edit] を右クリックします。[Connect to] (接続先)をクリックし、[OK] をクリックしてドメイン区分を読み込み (ロード) します。
  3. ユーザーを右クリックし、[Properties] (プロパティ)をクリックします。
  4. [Attributes] (属性)のリストから、目的の属性を探し、[Edit] (編集) をクリックします。その後、希望の値に属性値を修正します。
  5. [OK] を2度クリックし、ADSI Edit を終了します。

解決方法 4: 新しいグループを作成し、同期済みでない組み込みグループに追加する

一部の組み込みグループ (Domain Users グループなど) が同期されていないという問題を解決するには、当該組み込みグループの適切なメンバーおよびアクセス許可を含む新しいグループを作成します。次に、新しいグループのメンバーをまだ同期済みでない組み込みグループに追加します。当該組み込みグループの代わりに新しいグループを使用してメンバーを管理します。これにより、依然として 1 つのグループのみを管理できます。

想定外の動作につながる可能性があるため、組み込みグループの属性を変更すること、または ID 同期用アプライアンスの問題切り分け用ルールを変更して重要なシステム オブジェクトの同期を許可することは控えてください。

解決方法 5: SMTP の一致機能を使用して、オンプレミスのユーザーオブジェクトを既存のユーザー オブジェクトと同期する

以下の Microsoft Knowledge Base 資料を参照してください。

2641663: SMTP一致機能を使用して、オンプレミス ユーザー アカウントと Office 365 ユーザー アカウントをディレクトリ同期で一致させる方法

解決方法 6: ユーザー アカウントの UPN を手動で更新する

以下の手順に従い、最初のディレクトリ同期後にライセンスが割当てられたユーザー アカウントの UPN を更新します。

  1. [スタート]、[すべてのプログラム]、[Windows Azure Active Directory]、[Windows PowerShell 用 Windows Azure Active Directory モジュール] の順にクリックします 。
  2. PowerShell プロンプトで次のコマンドレットを実行します。
    1. $cred = get-credential

      注: 資格情報の入力を求められたら、管理者の資格情報を入力します。
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

解決方法 7: オンプレミスの Active Directory 属性値を使用してユーザーの SMTP アドレスを更新する

SMTP 属性値が Exchange Online に正常に同期されると、オンプレミスの AD 属性値の更新が必要となる場合があります。Exchange Online で電子メール アドレスを正しく表示するために、オンプレミスの Active Directory 属性値を更新するには、「解決方法 2」を用いて属性値を操作します。(下記表参照)

オンプレミス Active Directory 属性名オンプレミス Active Directory 属性値の例Exchange Online 電子メールアドレスの例
proxyAddressesSMTP:user1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
proxyAddressessmtp:user1@contoso.comPrimary SMTP: user1@contoso.onmicrosoft.com Secondary SMTP: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
Primary SMTP: user1@contoso.com
Secondary SMTP: user1@sub.contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
mailUser1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com
UserPrinicpalNameUser1@contoso.comPrimary SMTP: user1@contoso.com
Secondary SMTP: user1@contoso.onmicrosoft.com


既定ドメイン (例: user1@contoso.onmicrosoft.com) と紐付く Microsoft Online Email Routing Address (MOERA) は、ユーザー アカウントのエイリアスをもとに認識される値です。この電子メール アドレスは、各 Exchange Online 受信者と密接に紐付いています。いかなる受信者に対しても追加 MOERA アドレスの管理、削除、作成は出来ません。しかし、MOERA アドレスは、オンプレミスの AD ユーザー オブジェクトの属性値を使用して、プライマリ SMTP アドレスとして置き換えることができます。

注: proxyAddresses 属性値のデータにより、Exchange Online 電子メール アドレス用の mail 属性値のデータでは隠されています。

注: proxyAddresses 属性値のデータや、mail 属性値のデータ、またはその両方により、Exchange Online 電子メール アドレス用の UserPrincipalName データでは隠されています。電子メール アドレスを管理するために UPN を使用することは可能です。しかし、管理者は 電子メール アドレスと UPN を別々に選択します (proxyAddresses 属性値または mail 属性値を表示)。

同期済ユーザーの Exchange Online 電子メール アドレスを管理する際は、これらいずれかの属性値を使用することをお勧めします。
追加情報
本資料に記載されている Windows PowerShell コマンドの使用には、Windows PowerShell 用 Azure Active Directory モジュールが必要です。Windows PowerShell 用 Azure Active Directory モジュールの詳細ついては、以下の Microsoft Web サイトを参照してください。

Windows PowerShell による Azure AD の管理

ディレクトリ同期の属性によるフィルタリングの詳細については、以下の Microsoft Knowledge 資料を参照してください。
2256198: Azure Active Directory に同期した属性値のリスト
その他トピックは、Office 365 コミュニティ Web サイトまたは Azure Active Directory フォーラムを参照してください。
プロパティ

文書番号:2643629 - 最終更新日: 11/19/2015 04:16:00 - リビジョン: 30.0

  • Microsoft Azure Cloud Services
  • Microsoft Azure Active Directory
  • Microsoft Azure Recovery Services
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Office 365
  • Office 365 Identity Management
  • o365 o365a o365e o365022013 o365m kbgraphic kbgraphxlink KB2643629
フィードバック