Microsoft Entra Connect の同期機能には 2 つのコンポーネントがあります。
- Microsoft Entra Connect Sync という名前のオンプレミスのコンポーネント (同期エンジンとも呼ばれます)。
- Microsoft Entra ID に存在するサービス (Microsoft Entra Connect Sync サービスとも呼ばれます)。
このトピックでは、Microsoft Entra Connect Sync サービスの以下の機能のしくみと、Windows PowerShell を使用してそれらを構成する方法について説明します。
Graph PowerShell を使用して Microsoft Entra ディレクトリの構成を確認するには、次のコマンドを使用します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
結果は次のような出力になります。
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
注
2016 年 8 月 24 日以降、重複属性の回復性 機能は、新しい Microsoft Entra ディレクトリに対して既定で有効になっています。 この機能はロールアウトされ、この日付より前に作成されたディレクトリでも有効になります。 お使いのディレクトリでこの機能が有効になるときに電子メール通知を受け取ります。
Microsoft Entra Connect では、以下の設定が構成されます。
| DirSyncFeature | コメント |
|---|---|
| SoftMatchOnUpn | プライマリ SMTP アドレスに加えて userPrincipalName でオブジェクトを結合できます。 |
| UPNを管理対象のユーザーと同期 | 同期エンジンに、管理対象ユーザー/ライセンス ユーザー (非フェデレーション ユーザー) の userPrincipalName 属性の更新を許可します。 |
| DeviceWriteback | Microsoft Entra Connect: デバイス ライトバックの有効化 |
| ディレクトリ拡張子 | Microsoft Entra Connect Sync: ディレクトリ拡張機能 |
| 重複プロキシアドレスの回復力 DuplicateUPNResiliency |
エクスポー中に別のオブジェクトとの重複がある場合、オブジェクト全体が失敗するのではなく、属性を検疫状態にすることができます。 |
| パスワード ハッシュの同期 | Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期の実装 |
| パスワード ライトバック | サポートされていません。 このサービス機能は提供終了しました。 パスワード ライトバックを構成するには、「Microsoft Entra Connect でパスワード ライトバックを有効にする」をご覧ください。 |
| パススルー認証 | Microsoft Entra パススルー認証を使用したユーザー サインイン |
| 統合グループ書き戻し | グループの書き戻し |
| UserWriteback | 現在サポートされていません。 |
重複属性の回復性
UPN や proxyAddress が重複している場合、そのオブジェクトのプロビジョニングが失敗するのではなく、重複している属性を検疫状態にし、一時的な値を割り当てます。 競合が解決されると、一時的な UPN は自動的に適切な値に変更されます。 詳細については、「ID 同期と重複属性の回復性」をご覧ください。
UserPrincipalName のあいまい一致
この機能を有効にすると、プライマリ SMTP アドレスに加えて UPN にもあいまい一致が有効になります。プライマリ SMTP アドレスでは、あいまい一致が常に有効になっています。 あいまい一致は、Microsoft Entra ID 内の既存のクラウド ユーザーをオンプレミスのユーザーと照合するために使用されます。
オンプレミスの AD アカウントを、クラウドで作成された既存のアカウントと照合する必要がある場合で、Exchange Online を使用していない場合に、この機能は役立ちます。 このような状況では、通常、クラウドで SMTP 属性を設定する理由がありません。
新たに作成される Microsoft Entra ディレクトリでは、この機能が既定で有効になっています。 この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
この機能が Microsoft Entra ディレクトリに対して有効になっていない場合は、次のコマンドレットを実行して有効にすることができます。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
この機能が有効になっていると、あいまい一致機能はブロックされます。 お客様は、この機能を有効にし、テナントにソフト一致機能が再度必要になるまでは有効にしたままにすることをお勧めします。 このフラグは、ソフト一致が完了し、不要になった後で、再度有効にする必要があります。
例 - テナント内でのあいまい一致のブロック:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
注
BlockSoftMatch が有効になっている場合、新しいハイブリッド参加済みデバイスでは、ソフト マッチの試行中に InvalidSoftMatch エラーが発生します。 これは、オンプレミスの Active Directory (AD) から Entra に同期されたコンピューター オブジェクトが、クラウドに登録されている新しいデバイスとマージされるときに発生します。 この問題を解決するには、管理者は BlockSoftMatch を一時的に無効にして、ハイブリッド参加を続行できるようにする必要があります。
userPrincipalName の更新の同期
これまで、次の 2 つの条件が両方とも当てはまらない限り、オンプレミスから同期サービスを使用して UserPrincipalName 属性を更新することはできませんでした。
- 管理対象ユーザー (非フェデレーション)。
- ユーザーにライセンスが割り当てられていない。
注
2019 年 3 月から、フェデレーション ユーザー アカウントでの UPN 変更の同期が許可されています。
この機能を有効にすると、userPrincipalName がオンプレミスで変更されたときに、パスワード ハッシュ同期またはパススルー認証を使用している場合は、同期エンジンによって userPrincipalName が更新されます。
新たに作成される Microsoft Entra ディレクトリでは、この機能が既定で有効になっています。 この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
この機能が Microsoft Entra ディレクトリに対して有効になっていない場合は、次のコマンドレットを実行して有効にすることができます。
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
この機能を有効にすると、既存の userPrincipalName の値は as-isのままです。 次に userPrincipalName 属性をオンプレミスで変更したときに、ユーザーに関する通常の差分同期によって UPN が更新されます。 この機能を一度有効にすると、無効にすることはできません。
パスワード ハッシュの同期
この機能により、同期エンジンはパスワード ハッシュ同期を使用でき、同期クライアントによって自動的に有効になります。
この機能が有効になっているかどうかを確認するには、次のコマンドレットを実行します。
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
# Retrieve DirSync service features
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.PasswordSyncEnabled
たとえば、オンプレミスの Active Directory からの同期を使用停止した後など、パスワード ハッシュ同期が不要になった場合は、次を使用して無効にすることができます。
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
# Disable Password Hash Sync
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.PasswordSyncEnabled = $false
Update-MgDirectoryOnPremiseSynchronization -Features $DirectorySync.Features -OnPremisesDirectorySynchronizationId $DirectorySync.Id
パスワード ライトバック
このプロパティは、Microsoft Entra ID からオンプレミス Active Directory へのパスワード ライトバックが有効かどうかを示します。
Von Bedeutung
このプロパティは使用されなくなり、更新はサポートされていません。