Microsoft Entra Connect の使用方法に関するほとんどのトピックでは、新しい Microsoft Entra テナントから開始し、そこにユーザーやその他のオブジェクトがないことを前提としています。 ただし、Microsoft Entra テナントを使い始めて、ユーザーやその他のオブジェクトを設定し、Connect を使用する場合は、このトピックが適しています。
基本的なこと
Microsoft Entra ID のオブジェクトは、クラウドまたはオンプレミスで管理されます。 1 つのオブジェクトの場合、一部の属性をオンプレミスで管理したり、Microsoft Entra ID で他の属性を管理したりすることはできません。 各オブジェクトには、オブジェクトが管理されている場所を示すフラグがあります。
オンプレミスのユーザーとクラウド内の他のユーザーを管理できます。 この構成の一般的なシナリオは、会計担当者と営業員が混在する組織です。 会計担当者はオンプレミスの AD アカウントを持っていますが、セールス ワーカーはアカウントを持っていませんが、どちらも Microsoft Entra ID のアカウントを持っています。 一部のユーザーはオンプレミスで管理し、一部は Microsoft Entra ID で管理します。
オンプレミスにも存在する Microsoft Entra ID でユーザーを管理し始め、後で Microsoft Entra Connect を使用する場合は、考慮する必要がある追加の懸念事項がいくつかあります。
Microsoft Entra ID で既存のユーザーと同期する
Microsoft Entra Connect との同期を開始すると、Microsoft Entra サービス API は新しい受信オブジェクトをすべてチェックし、一致する既存のオブジェクトを見つけようとします。 このプロセスには、 userPrincipalName、 proxyAddresses、 sourceAnchor/immutableID の 3 つの属性が使用されます。 userPrincipalName または proxyAddresses での一致は、"ソフト マッチ" と呼ばれます。sourceAnchor での一致は"ハードマッチ" と呼ばれます。proxyAddresses 属性の場合、プライマリ 電子メール アドレスである SMTP: の値のみが評価に使用されます。
一致は、オンプレミスの AD から送られてくる新しいオブジェクトについてのみ評価されます。 これらの属性のいずれかに一致するように既存のオブジェクトを変更すると、代わりにエラーが表示されます。
Microsoft Entra ID が、属性値が Microsoft Entra Connect からの新しい受信オブジェクトと同じオブジェクトを見つけた場合、Microsoft Entra ID のオブジェクトを引き継ぎ、以前にクラウドで管理されていたオブジェクトがオンプレミスのマネージド オブジェクトに変換されます。 オンプレミス AD の値を持つ Microsoft Entra ID のすべての属性は、それぞれのオンプレミス値で上書きされます。
警告
Microsoft Entra ID のすべての属性はオンプレミスの値によって上書きされるため、オンプレミスに適切なデータがあることを確認してください。 たとえば、Microsoft 365 で管理されているメール アドレスのみを持ち、オンプレミスの AD DS で更新を保持していない場合、AD DS に存在しない Microsoft Entra ID / Microsoft 365 の値は失われます。
重要
Express インストールで常に有効になっているパスワード ハッシュ同期を使用する場合、Microsoft Entra ID のパスワード ハッシュはオンプレミス AD のパスワード ハッシュで上書きされます。 ユーザーが別のパスワードの管理に慣れている場合は、オンプレミスの AD パスワードを使用する必要があることをユーザーに通知する必要があります。
前のセクションと警告は、計画で考慮する必要があります。 オンプレミスの AD DS に反映されていない Microsoft Entra ID に多くの変更を加えた場合、データ損失を防ぐために、オブジェクトを Microsoft Entra Connect と同期する前に、Microsoft Entra ID の更新された値を AD DS に設定する方法を計画する必要があります。
オブジェクトをソフトマッチと一致させた場合は、後でハードマッチを使用できるように 、sourceAnchor が Microsoft Entra ID のオブジェクトに追加されます。
重要
Microsoft は、Microsoft Entra ID で既存の管理アカウントとオンプレミス アカウントを同期しないことを強くお勧めします。
ハードマッチとソフトマッチ
既定では、オブジェクトの SourceAnchor 値 ("abcdefghijklmnopqrstuv==" など) は、オンプレミスの Active Directory オブジェクトからの mS-Ds-ConsistencyGUID 属性 (または構成に応じて ObjectGUID) の Base64 文字列表現です。 この値は、Microsoft Entra ID の対応する ImmutableId として設定されます。
Microsoft Entra Connect または Cloud Sync が新しいオブジェクトを追加すると、Microsoft Entra ID サービスは、Microsoft Entra ID の存在するオブジェクトの ImmutableId 属性に対応する sourceAnchor 値を使用して、受信オブジェクトの照合を試みます。 一致する場合、Microsoft Entra Connect はそのオブジェクトのソースまたは機関 (SoA) を引き継ぎ、受信オンプレミスの Active Directory オブジェクトのプロパティで更新します (これは "ハードマッチ" と呼ばれます)。 Microsoft Entra ID は、SourceAnchor 値に一致する ImmutableId を持つオブジェクトを見つけられない場合、受信オブジェクトの userPrincipalName またはプライマリ SMTP アドレスを使用して、"ソフトマッチ" と呼ばれる一致を見つけようとします。
ハードマッチとソフトマッチの両方で、Microsoft Entra ID で既に存在および管理されているオブジェクトと、同じオンプレミス エンティティを表す新しい受信オブジェクトとの照合が試行されます。 Microsoft Entra ID は、受信オブジェクトの ハードマッチ または ソフトマッチ を見つけることができない場合、Microsoft Entra ID ディレクトリに新しいオブジェクトをプロビジョニングします。
Microsoft Entra ID が、既存のオブジェクトとプライマリ SMTP アドレスに基づいて新しい受信オブジェクトを "ソフトマッチ" できる場合でも、この新しいオブジェクトが異なる sourceAnchor 値を持っていると、新しいオブジェクトをプロビジョニングしようとした結果、通常は Microsoft Entra ID で新しいオブジェクトを作成できないという競合が発生します。 この競合は、次のような状況で発生します。
既に Entra ID に同期されている元のオンプレミス AD ユーザーで、
mS-Ds-ConsistencyGuid属性に別の sourceAnchor 値が設定されました。同じ UPN とプライマリ SMTP アドレスを使用して新しいオンプレミス AD ユーザーが作成されましたが、sourceAnchor と SID が異なります。
このような場合、Microsoft Entra Connect または Cloud Sync で AttributeValueMustBeUnique エクスポート エラーがスローされます。受信ユーザー プロパティによっては、このエラーが次のいずれかの属性の競合を参照する場合があります。
AttributeConflictName = OnPremiseSecurityIdentifier: 新しい受信オブジェクトには異なる sourceAnchor がありますが、Entra ID ディレクトリ内の存在するユーザーと同じ OnPremiseSecurityIdentifier (SID) とプライマリ SMTP アドレスがあります。
AttributeConflictName = ProxyAddresses: 新しい受信オブジェクトの sourceAnchor と SID は異なりますが、Entra ID ディレクトリ内の存在するユーザーと同じプライマリ SMTP アドレスを持ちます。
注
まれな状況では、オンプレミスの AD RID プール (バックアップから復旧されたドメイン コントローラーなど) に問題があるため、 OnPremiseSecurityIdentifier の競合が発生します。この場合、同じ SID を持つ新しいユーザーが生成される可能性があります。 そのような場合、ユーザーをプロビジョニングしようとすると、"あいまい一致" を試みたためではなく、AttributeValueMustBeUnique は Entra ID ディレクトリ内で一意でなければならないために、 エラーがスローされます。OnPremiseSecurityIdentifier
通常、これらのシナリオは、同じユーザーを再プロビジョニングしようとしていることを意味します。 競合を解決するには、オンプレミス ユーザーの mS-Ds-ConsistencyGuid 属性を、存在するクラウド ユーザーの ImmutableID と同じ値に一致するように更新する必要があります。 この変更により、Microsoft Entra ID で正しい "ハードマッチ" を行うことができます。
Microsoft Entra ID でハードマッチをブロックする
Microsoft Entra ID でハード マッチング機能を無効にする構成オプションを追加しました。 クラウド専用アカウントを引き継ぐ必要がない限り、ハード マッチングを無効にすることをお勧めします。
ハード マッチングを無効にするには、 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell コマンドレットを使用します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Microsoft Entra ID であいまい一致をブロックする
同様に、Microsoft Entra ID でソフト マッチング オプションを無効にする構成オプションを追加しました。 クラウド専用アカウントを引き継ぐ必要がない限り、ソフト マッチングを無効にすることをお勧めします。
ソフト マッチングを無効にするには、 Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell コマンドレットを使用します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
注
テナントに対して有効になっている場合、BlockCloudObjectTakeoverThroughHardMatchEnabled と BlockSoftMatchEnabled は、すべてのオブジェクトの照合をブロックするために使用されます。 お客様には、その賃貸契約のために一致プロセスが必要となる期間中のみに、これらの機能を無効にすることをお勧めします。 このフラグは、一致が完了し、不要になった後、再度 True に 設定する必要があります。
ユーザー以外のオブジェクト
メールが有効なグループと連絡先の場合は、proxyAddresses に基づいて論理的に一致させることができます。 ユーザーに対してのみ sourceAnchor/immutableID (PowerShell を使用) のみを更新できるため、ハード マッチは適用されません。 メールが有効になっていないグループの場合、現在、ソフトマッチまたはハードマッチはサポートされていません。
管理者ロールに関する考慮事項
信頼されていないオンプレミス ユーザーから保護するために、Microsoft Entra ID は、管理者ロールを持つクラウド ユーザーを持つオンプレミス ユーザーと一致しません。 この動作は既定で行われます。 これを回避するには、次の手順を実行します。
クラウド専用ユーザー オブジェクトからディレクトリ ロールを削除します。
クラウドで作成された新しい検疫済みオブジェクトをハード削除します。
新しい同期サイクルをトリガーします。
必要に応じて、照合が完了したら、クラウドのユーザー オブジェクトにディレクトリ ロールを追加し直します。
Microsoft Entra ID のデータから新しいオンプレミス Active Directory を作成する
一部のお客様は、Microsoft Entra ID を使用したクラウド専用ソリューションから始めて、オンプレミスの AD を持っていません。 その後、オンプレミスのリソースを使用し、Microsoft Entra データに基づいてオンプレミス AD を構築したいと考えています。 Microsoft Entra Connect は、このシナリオに役立つことはありません。 オンプレミスでユーザーを作成するわけではなく、オンプレミスのパスワードを Microsoft Entra ID と同じに設定する機能はありません。
オンプレミス AD を追加する唯一の理由が LOB (基幹業務アプリ) をサポートする場合は、代わりに Microsoft Entra Domain Services を使用することを検討する必要があります。
次のステップ
オンプレミス ID と Microsoft Entra ID の統合の詳細をご確認ください。