Microsoft Entra Connect 同期: Microsoft 365 リソースの優先データの場所を構成する
このトピックの目的は、Microsoft Entra Connect 同期で、優先されるデータの場所の属性を構成する方法について説明することです。Microsoft 365 で Multi-Geo 機能を使用するときに、この属性を使用して、ユーザーの Microsoft 365 データの地理的な場所を指定します。 ("リージョン" と geo という用語は、同じ意味で使用されています。)
サポートされている Multi-Geo の場所
Microsoft Entra Connect でサポートされているすべての地域の一覧については、「Microsoft 365 Multi-Geo の可用性」を参照してください
優先されるデータの場所の同期の有効化
既定では、ユーザーの Microsoft 365 リソースは、Microsoft Entra テナントと同じ geo にあります。 たとえば、"テナント" が北米にある場合、ユーザーの Exchange メールボックスも北米にあります。 多国籍組織にとっては、これが最適でないことがあります。
preferredDataLocation 属性を設定することで、ユーザーの geo を定義できます。 ユーザーの Microsoft 365 リソース (メールボックスや OneDrive など) をユーザーと同じ geo に配置しながら、組織全体で 1 つのテナントを維持できます。
重要
2023 年 6 月 1 日以降、CSP パートナーが顧客の合計 Microsoft 365 サブスクリプション シート数の少なくとも 5% を購入するのに、Multi-Geo が使用できます。
Multi-Geo は、有効なマイクロソフト エンタープライズ契約を保有しているお客様も利用できます。 詳細については、Microsoft 担当者にお問い合わせください。
Microsoft Entra Connect でサポートされているすべての地域の一覧については、「Microsoft 365 Multi-Geo の可用性」を参照してください。
同期の Microsoft Entra Connect のサポート
バージョン 1.1.524.0 以降の Microsoft Entra Connect には、ユーザー オブジェクトの PreferredDataLocation 属性を同期する機能が備わっています。 具体的には、次のように使用します。
- Microsoft Entra コネクタで、オブジェクト タイプユーザー のスキーマがpreferredDataLocation 属性を含むように拡張されました。 属性の型は単一値の文字列です。
- メタバースで、Person オブジェクト タイプのスキーマが拡張され、preferredDataLocation 属性が追加されました。 属性の型は単一値の文字列です。
既定では、preferredDataLocation 属性は、同期に対して有効になっていません。 この機能は大規模組織に向けられたものです。 Windows Server 2019 の Active Directory スキーマには、この目的で使用する必要がある属性 msDS-preferredDataLocation があります。 Active Directory スキーマを更新しておらず、それを実行できない場合は、ユーザーの Microsoft 365 geo を保持する属性を指定する必要があります。 これは、組織ごとに異なります。
重要
Microsoft Entra ID では、クラウドのユーザー オブジェクトの preferredDataLocation 属性を、Microsoft Graph PowerShell を使用して直接構成できます。 同期されたユーザー オブジェクトの preferredDataLocation 属性を構成するには、Microsoft Entra Connect を使用する必要があります。
同期を有効にする前に、以下の操作を実行します。
Active Directory スキーマを 2019 にアップグレードしていない場合は、基になる属性として使用するオンプレミスの Active Directory 属性を決定します。 属性の型は、単一値の文字列である必要があります。
Microsoft Entra ID の既存の同期されているユーザー オブジェクトに対し、Microsoft Graph PowerShell を使用して preferredDataLocation 属性を構成したことがある場合、その属性値を、オンプレミスの Active Directory 内の対応するユーザー オブジェクトにバックポートする必要があります。
重要
これらの値をバックポートしなかった場合、preferredDataLocation 属性の同期を有効にすると、Microsoft Entra Connect によって Microsoft Entra IDの既存の属性値が削除されます。
ここで、少なくとも 2 つのオンプレミスの Active Directory ユーザー オブジェクトに対するソース属性を構成します。 これは後で検証のために使用できます。
以下のセクションでは、preferredDataLocation 属性の同期を有効にする手順について説明します。
Note
手順の説明では、単一フォレスト トポロジの Microsoft Entra デプロイを想定しており、また、カスタム同期規則は使用しません。 複数フォレスト トポロジを使用していて、カスタム同期規則が構成されているか、またはステージング サーバーが存在する場合は、適宜これらの手順を調整する必要があります。
手順 1:同期スケジューラを無効にし、進行中の同期がないことを確認する
意図しない変更が Microsoft Entra ID にエクスポートされるのを回避するために、同期規則の更新中は、同期が実行されないようにします。 組み込みスケジューラを無効にするには、以下のようにします。
- Microsoft Entra Connect サーバーで PowerShell セッションを開始します。
Set-ADSyncScheduler -SyncCycleEnabled $false
コマンドレットを実行することで、スケジュールされた同期を無効にします。- [スタート]>[Synchronization Service] の順に移動して、Sychronization Service Manager を起動します。
- [操作] タブを選択し、状態が "進行中" になっている操作がないことを確認します。
手順 2:Active Directory のスキーマを更新する
スキーマ拡張の前に、Active Directory スキーマを 2019 に更新済みで、Connect がインストールされていた場合、Connect スキーマのキャッシュに更新されたスキーマは含まれていません。 この場合、UI に表示するには、ウィザードからスキーマを更新する必要があります。
- デスクトップから Microsoft Entra Connect ウィザードを起動します。
- [ディレクトリ スキーマの更新] オプションを選択し、 [次へ] をクリックします。
- Microsoft Entra 資格情報を入力し、次へ をクリックします。
- [ディレクトリ スキーマの更新] ページで、すべてのフォレストが選択されていることを確認し、 [次へ] をクリックします。
- 完了したら、ウィザードを閉じます。
手順 3:オンプレミスの Active Directory コネクタのスキーマにソース属性を追加する
この手順は、Connect バージョン 1.3.21 以前を実行している場合にのみ必要です。 1.4.18 以降を使用している場合は、手順 5 に進みます。
オンプレミスの Active Directory コネクタ スペースには、すべての Microsoft Entra 属性がインポートされるわけではありません。 既定で同期されない属性を使用するように選択した場合、その属性をインポートする必要があります。 インポート対象の属性のリストにソース属性を追加するには、次の手順を実行します。
- Synchronization Service Manager の [コネクタ] タブを選択します。
- オンプレミスの Active Directory コネクタを右クリックし、 [プロパティ] を選択します。
- ポップアップ ダイアログ ボックスで [属性の選択] タブに移動します。
- 属性の一覧で、使用することを選択したソース属性のチェック ボックスがオンになっていることを確認します。 属性が表示されない場合は、 [すべて表示] チェックボックスを選択します。
- 保存するには、 [OK] を選択します。
手順 4: Azure AD コネクタのスキーマに preferredDataLocation を追加する
この手順は、Connect バージョン 1.3.21 以前を実行している場合にのみ必要です。 1.4.18 以降を使用している場合は、手順 5 に進みます。
既定では、Microsoft Entra のコネクタ スペースに preferredDataLocation 属性がインポートされません。 これをインポート対象の属性の一覧に追加するには、以下の操作を実行します。
- Synchronization Service Manager の [コネクタ] タブを選択します。
- Microsoft Entra コネクタを右クリックし、[プロパティ] を選択します。
- ポップアップ ダイアログ ボックスで [属性の選択] タブに移動します。
- 一覧で preferredDataLocation 属性を選択します。
- 保存するには、 [OK] を選択します。
手順 5:受信方向の同期規則を作成する
受信方向の同期規則によって、オンプレミスの Active Directory のソース属性からメタバースに属性値が流れるのを許可します。
[スタート]>[Synchronization Rules Editor] の順に移動して、Synchronization Rules Editor を起動します。
検索フィルターの [方向] を [受信] に設定します。
受信方向の規則を新規作成するには、 [新しいルールの追加] を選択します。
[説明] タブで次の構成を指定します。
属性 値 詳細 名前 名前を入力します 例: "In from AD – User preferredDataLocation" 説明 "ユーザー設定の説明を入力します" 接続先システム "オンプレミスの Active Directory コネクタを選択します" 接続先システム オブジェクトの種類 User メタバース オブジェクトの種類 Person リンクの種類 Join 優先順位 1 ~ 99 の範囲の数値を選択します 1 ~ 99 は、カスタム同期規則用に予約されています。 他の同期規則で使用されている値は選択しないでください。 すべてのオブジェクトを含めるために、 [スコープ フィルター] は空のままにします。 スコープ フィルターは、実際の Microsoft Entra Connect のデプロイに応じて調整が必要となる場合があります。
[変換] タブに移動し、次の変換規則を実装します。
フローの種類 ターゲット属性 source 1 度だけ適用する マージの種類 直接 preferredDataLocation ソース属性を選択します オフ 更新 受信方向の規則を作成するには、 [追加] を選択します。
手順 6:送信方向の同期規則を作成する
送信方向の同期規則によって、属性値をメタバースから Microsoft Entra ID の preferredDataLocation 属性に誘導することができます:
Synchronization Rules Editor に移動します。
検索フィルターの [方向] を [送信] に設定します。
[新しいルールの追加] を選択します。
[説明] タブで次の構成を指定します。
属性 値 詳細 名前 名前を入力します たとえば、「Out to Microsoft Entra ID – User preferredDataLocation」 説明 説明を入力します 接続先システム Microsoft Entra コネクタを選択する 接続先システム オブジェクトの種類 User メタバース オブジェクトの種類 Person リンクの種類 Join 優先順位 1 ~ 99 の範囲の数値を選択します 1 ~ 99 は、カスタム同期規則用に予約されています。 他の同期規則で使用されている値は選択しないでください。 [スコープ フィルター] タブに移動し、次の 2 つの句を使用して単一のスコープ フィルター グループを追加します。
属性 オペレーター 値 sourceObjectType EQUAL User cloudMastered NOTEQUAL 正しい この送信方向の同期規則がどの Microsoft Entra オブジェクトに適用されるかは、スコープ フィルターによって決まります。 この例で使用しているスコープ フィルターは、「Out to Azure AD - User Identity」 OOB (out-of-box) 同期規則と同じものです。 そうすることで、オンプレミスの Active Directory から同期されていないユーザー オブジェクトに、同期規則が適用されることを回避します。 スコープ フィルターは、実際の Microsoft Entra Connect のデプロイに応じて調整が必要となる場合があります。
[変換] タブに移動し、次の変換規則を実装します。
フローの種類 ターゲット属性 source 1 度だけ適用する マージの種類 直接 preferredDataLocation preferredDataLocation オフ 更新 [追加] をクリックして送信方向の規則を作成します。
手順 7:完全同期サイクルを実行する
一般に、完全同期サイクルは必須です。 これは、Active Directory と Microsoft Entra コネクタのスキーマの両方に新しい属性を追加し、カスタム同期規則を導入したためです。 Microsoft Entra ID にエクスポートする前に変更を確認します。 完全同期サイクルを手動で構成しながら、次の手順に従って変更を検証することができます。
オンプレミスの Active Directory コネクタで、フル インポートを実行します。
Synchronization Service Manager の [コネクタ] タブに進みます。
オンプレミスの Active Directory コネクタを右クリックし、 [実行] を選択します。
ダイアログ ボックスで [フル インポート] を選択し、 [OK] を選択します。
操作の完了を待ちます。
注意
インポート対象の属性の一覧にソース属性が既に含まれている場合は、オンプレミスの Active Directory コネクタでのフル インポートは省略できます。 つまり、この記事の前半の手順 2 で、何も変更する必要がなかった場合です。
Microsoft Entra コネクタでの完全インポートを実行する:
- Microsoft Entra コネクタを右クリックし、実行を選択します。
- ダイアログ ボックスで [フル インポート] を選択し、 [OK] を選択します。
- 操作の完了を待ちます。
既存のユーザー オブジェクトに対する同期規則の変更を検証します。
オンプレミスの Active Directory からのソース属性と、Microsoft Entra ID からの preferredDataLocation が、それぞれのコネクタ スペースにインポートされています。 完全同期の手順を進める前に、オンプレミスの Active Directory のコネクタ スペースにおける既存のユーザー オブジェクトで、プレビューを実行します。 選択したオブジェクトのソース属性に値が設定されている必要があります。 プレビューが成功し、preferredDataLocation がメタバースで設定されていれば、同期規則が正しく構成されていると考えられます。 プレビューを実行する方法については、「変更を確認する」を参照してください。
オンプレミスの Active Directory コネクタで、完全同期を実行します。
- オンプレミスの Active Directory コネクタを右クリックし、 [実行] を選択します。
- ダイアログ ボックスで [完全同期] を選択し、 [OK] を選択します。
- 操作の完了を待ちます。
Microsoft Entra ID への保留中のエクスポートを確認します:
Microsoft Entra コネクタを右クリックし、[コネクタ スペースの検索] を選択します。
[コネクタ スペースの検索] ダイアログ ボックスで、次の手順を実行します。
a. [スコープ] を [Pending Export](保留中のエクスポート) に設定します。
b. [追加]、[変更]、[削除] を含む、3 つのすべてのチェック ボックスを選択します。
c. 変更がエクスポートされるオブジェクトを一覧表示するには、 [検索] を選択します。 指定したオブジェクトの変更を検証するには、オブジェクトをダブルクリックします。
d. 変更が正しいことを確認します。
Microsoft Entra コネクタでの完全インポートの実行
- Microsoft Entra コネクタを右クリックし、実行を選択します。
- [コネクタの実行] ダイアログ ボックスで、 [エクスポート] を選択し、 [OK] を選択します。
- 操作の完了を待ちます。
Note
この手順には、Microsoft Entra コネクタでの完全同期の手順、または Active Directory コネクタでのエクスポートの手順が含まれていません。 属性値の流れが、オンプレミスの Active Directory からMicrosoft Entraのみの一方向であるため、これらの手順は必要ありません。
手順 8:同期スケジューラを再度有効にする
次の手順で組み込みの同期スケジューラを再度有効にします。
- PowerShell セッションを開始します。
Set-ADSyncScheduler -SyncCycleEnabled $true
コマンドレットを実行することで、スケジュールされた同期を再度有効にします。
手順 9:結果を確認する
次に、構成を確認し、ユーザーに対して有効にします。
- ユーザーに対して選択した属性に geo を追加します。 使用できる geo の一覧については、こちらの表を参照してください。
- 属性が Microsoft Entra ID に同期されるまで待ちます。
- Exchange Online PowerShell を使用して、メールボックスのリージョンが適切に設定されていることを確認します。
テナントがこの機能を使用できるように設定されていることを前提として、メールボックスが適切な geo に移動されます。 これは、メールボックスが配置されているサーバー名を調べることで確認できます。
次のステップ
Microsoft 365 での Multi-Geo の詳細:
同期エンジンの構成モデルの詳細:
- この構成モデルについて詳しくは、「 Understanding Declarative Provisioning (宣言型のプロビジョニングについて)」をご覧ください。
- 式言語について詳しくは、「 宣言型のプロビジョニングの式について」をご覧ください。
概要トピック: