Office 365、Azure、または Intune における ID 同期に UPN 一致処理を使用する方法

はじめに
Microsoft が提供しているクラウド サービス (以下 Microsoft クラウド サービス) の管理ツールによってアカウントが作成されていた際に、ユーザー アカウントの権限ソースの転送が必要となる場合があります。Office 365 管理ポータル、Windows PowerShell 用 Microsoft Azure Active Directory モジュール、Azure 管理ポータル、Intune ポータルなどが、Microsoft クラウド サービス管理ツールの対象となります。権限ソースを転送することにより、Azure Active Directory (Azure AD) で ID 同期を実行した際に、任意のアカウントをローカルのディレクトリ サービスで管理できるようになります。

本資料には、"UPN 一致処理" と呼ばれる処理によって権限ソースを転送する方法について記載されています。本処理では、オンプレミスのユーザー アカウントと、Azure AD における職場または学校アカウントとの一致処理を行う際に、ユーザー プリンシパル名 (UPN) を使用します。
詳細情報

UPN 一致処理の制限

UPN 一致処理には、以下の技術的制限があります。
  • UPN 一致処理は、SMTP 一致処理に失敗した場合にのみ実行できます。SMTP 一致処理の詳細については、以下の Microsoft Knowledge Base 資料を参照してください。
    2641663: SMTP がディレクトリ同期でオンプレミスのユーザーアカウントを Office 365 ユーザーアカウントと一致させる方法
    オンプレミスのユーザー アカウントと Azure AD のユーザー アカウント間で同一のプライマリ SMTP アドレスが存在していると、UPN 一致処理を確実に実行できない場合がありますのでご注意ください。
  • UPN 一致処理は、Office 365 管理ツールによって作成されたユーザー アカウントに対して、一度のみ実行できます。その後は UPN ではなく、匿名 ID 値によって職場または学校アカウントがオンプレミスのユーザーにバインドされます。
  • UPN 一致処理の実行中に、クラウド ユーザーの UPN が更新されることはありません。これは、UPN がオンプレミス ユーザーとクラウド ユーザーを関連付けるために使用される値であるためです。
  • UPN は一意の値です。複数のユーザーが同一の UPN を所有することはできません。二者間で同一の UPN 値を所有している場合は同期に失敗し、以下のようなエラーメッセージが表示されます。
    "Unable to update this object in Microsoft Online Services because the user principal name that is associated with this object in the local Active Directory is already associated with another object. To resolve this error, remove the associated object in your local Active Directory."

    (Microsoft Online Services でこのオブジェクトを更新できません。このオブジェクトに関連付けられたユーザー プリンシパル名は、ローカルの Active Directory にある別のオブジェクトに既に関連付けられています。ローカルの Active Directory から関連するオブジェクトを削除し、この問題を解決してください。)

UPN 一致処理を使用して、オンプレミスのユーザーをクラウド ID と一致させる方法   

UPN 一致処理を開始するには、以下の手順に従ってください。
  1. 2016 年 3 月 30 日以前に Azure AD への同期を開始した場合は、以下の Azure AD PowerShell コマンドレットを実行し、UPN あいまい一致を組織に対してのみ有効にします。
    Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $True  
    注: 2016 年 3 月 30 日またはそれ以降に Azure AD への同期を開始した組織に対しては、UPN あいまい一致が自動的に有効化されています。
  2. 以下のいずれかの方法に従い、Azure AD のユーザー アカウントから UPN を取得します。
    方法 1: Office 365 管理センターを使用する
    1. Office 365 ポータル (https://portal.office.com) へ全体管理者としてサインインします。
    2. ユーザー管理画面を開きます。
    3. 対象のユーザーを見つけだしクリックします。
    4. ユーザー名を控えます。これが UPN となります。
    方法 2: Azure 管理者ポータルを使用する
    1. Azure 管理ポータル (https://manage.windowsazure.com) へ全体管理者としてサインインします。
    2. [Azure Directory extension] (Azure Directory の拡張) をクリックし、該当するディレクトリを選択します。
    3. ユーザーの管理画面を開きます。
    4. 対象のユーザーを見つけだしクリックします。
    5. ユーザー名を控えます。これが UPN となります。
  3. リモート サーバー管理ツール (RSAT) がインストールされているドメイン コントローラーまたはコンピューターにおいて、Active Directory ユーザーとコンピューターを開きます。Azure において、該当するユーザー アカウントに対し、ユーザー プリンシパル名または UPN 一致を使用し、新しいユーザー アカウントの作成、または既存のユーザー アカウントを更新します。

    この方法の詳細については、「[Active Directory ユーザーとコンピューター] にユーザー アカウントを作成する」を参照してください。
  4. ディレクトリ同期を強制する方法の詳細については、「Azure AD Connect 同期: スケジューラ」を参照してください。
関連資料
UPN あいまい一致の詳細については、「Azure AD Connect 同期サービスの機能」を参照してください。

その他トピックは、Office 365 コミュニティ Web サイトまたは Azure Active Directory フォーラムを参照してください。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:3164442 - 最終更新日: 05/31/2016 07:41:00 - リビジョン: 1.0

Microsoft Office 365, Microsoft Azure Active Directory, Microsoft Azure Cloud Services, Microsoft Intune

  • o365 o365e o365m o365022013 o365a KB3164442
フィードバック