Microsoft Entra テナントの BypassDirSyncOverridesEnabled 機能を使用する方法。

この記事では、BypassDirSyncOverridesEnabled 機能と、Mobile 属性とその他のMobile 属性の同期を Microsoft Entra ID からオンプレミスの Active Directory に復元する方法について説明します。

一般に、Azure または Microsoft 365 管理ポータルからも、Microsoft Entra ID または Microsoft Graph PowerShell のモジュールを使う PowerShell からも、同期されたユーザーを変更できません。 これに対する例外は、MobilePhone と AlternateMobilePhonesと呼ばれる Microsoft Entra ユーザーの属性です。 これらの属性は、それぞれオンプレミスの Active Directory の属性 mobile と otherMobile から同期されますが、エンド ユーザーはプロファイル ページを使用して Microsoft Entra ID の MobilePhone 属性で自分の電話番号を更新できます。 管理者は、Microsoft Graph PowerShell モジュールを使用して、同期されたユーザーの MobilePhone と AlternateMobilePhones 値を Microsoft Entra ID で更新することもできます。

ユーザーと管理者に Microsoft Entra ID で電話番号を直接更新する機能を提供することで、企業はローカル Active Directory でユーザーの電話番号を管理する際の管理オーバーヘッドを減らすことができます。これにより、変更頻度が高くなります。

ただし、同期されたユーザーの MobilePhone または AlternateMobilePhones 番号 が管理ポータルまたは PowerShell を使用して更新されると、同期 API はオンプレミスの Active Directory から送信されたときに、これらの属性の更新を受け入れなくなります。 これは一般に、"DirSyncOverrides" 機能と呼ばれます。 管理者は、Active Directory において Mobile 属性や他の Mobile 属性を更新しても、Microsoft Entra ID で対応するユーザーの MobilePhone や AlternateMobilePhone が適切に更新されないことに気づくでしょう。これは、Microsoft Entra Connect のエンジンを通じてオブジェクトが正常に同期されているにもかかわらず発生します。

異なるモバイルおよびその他のモバイルの値を持つユーザーを識別する

ADSyncTools PowerShell モジュールから "Compare-ADSyncToolsDirSyncOverrides" を使用して、Active Directory と Microsoft Entra ID の間で異なる Mobile やその他のMobile 値を持つユーザーの一覧をエクスポートできます。 これにより、オンプレミスの Active Directory と Microsoft Entra ID の間で異なるユーザーとそれぞれの値を特定できます。 BypassDirSyncOverridesEnabled 機能を有効にすると、Microsoft Entra ID のすべての異なる値がオンプレミスの Active Directory からの値で上書きされるため、これは重要です。

Compare-ADSyncToolsDirSyncOverrides の使用

前提条件として、Microsoft Entra Connect バージョン 2 以降を実行し、次のコマンドを使用して PowerShell ギャラリーから最新の ADSyncTools モジュールをインストールする必要があります。

Install-Module ADSyncTools 

同期されたすべてのユーザーの Mobile と OtherMobile の値を比較するには、次のコマンドを実行します。

Compare-ADSyncToolsDirSyncOverrides -Credential $(Get-Credential) 

手記

この機能で使用されるターゲット API は、認証ユーザーの操作を処理しません。 MFA または条件付きポリシーによって認証がブロックされます。 資格情報の入力を求められたら、MFA が有効になっていないグローバル管理者アカウントまたは条件付きアクセス ポリシーが適用されていないアカウントを使用してください。 最後の手段として、BypassDirSyncOverridees 機能を使用して目的の操作を完了した後に削除できる、MFA または条件付きアクセスのない一時的なグローバル管理者ユーザー アカウントを作成してください。

この関数は、オンプレミス Active Directory の Mobile または OtherMobile の値が Microsoft Entra ID の MobilePhone または AlternateMobilePhone と異なるユーザーの一覧を含む CSV ファイルをエクスポートします。

この段階では、このデータを使用して、オンプレミスの Active Directory の Mobile プロパティや otherMobile プロパティの値を、Microsoft Entra ID に存在する値にリセットすることができます。 これにより、BypassDirSyncOverridesEnabled 機能を有効にする前に、Microsoft Entra ID から最新の電話番号を取り込み、このデータをオンプレミスの Active Directory に保持できます。 これを行うには、結果の CSV ファイルからデータをインポートし、ADSyncTools モジュールから 'Set-ADSyncToolsDirSyncOverrides' を使用して、オンプレミスの Active Directory に値を保持します。

たとえば、CSV ファイルからデータをインポートし、特定の UserPrincipalName の Microsoft Entra ID の値を抽出するには、次のコマンドを使用します。

$upn = '<UserPrincipalName>' 
$user = Import-Csv 'ADSyncTools-DirSyncOverrides_yyyyMMMdd-HHmmss.csv' | 
where UserPrincipalName -eq $upn | 
select UserPrincipalName,*InAAD  
Set-ADSyncToolsDirSyncOverridesUser -Identity $upn -MobileInAD $user.MobileInAAD

BypassDirSyncOverridesEnabled 機能の有効化

既定では、BypassDirSyncOverridesEnabled 機能はオフになっています。 BypassDirSyncOverridesEnabled を有効にすると、テナントは、ユーザーまたは管理者が Microsoft Entra ID で直接行った MobilePhone または AlternateMobilePhones の変更を無視し、常にオンプレミスの Active Directory Mobile または OtherMobileに存在する値を優先することができます。

エンド ユーザーが自分の携帯電話番号を更新したくない場合、または管理者が PowerShell を使用してモバイルまたは代替の携帯電話番号を更新する必要がない場合は、BypassDirSyncOverridesEnabled 機能をテナントで有効のままに する必要があります。

この機能を有効にすると、エンド ユーザーまたは管理者が Microsoft Entra ID の MobilePhone または AlternateMobilePhones を更新した場合でも、オンプレミスの Active Directory から同期された値は次の同期サイクルで保持されます。 つまり、これらの値の更新は、オンプレミスの Active Directory で更新が実行され、Microsoft Entra ID に同期された場合にのみ保持されます。

BypassDirSyncOverridesEnabled 機能を有効にします。

BypassDirSyncOverridesEnabled 機能を有効にするには、Microsoft Graph PowerShell モジュールを使用します。

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$true}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

この機能が有効になったら、次のコマンドを使用して、Microsoft Entra Connect で完全同期サイクルを開始します。

Start-ADSyncSyncCycle -PolicyType Initial

手記

オンプレミスの Active Directory とは異なる MobilePhone または AlternateMobilePhones 値を持つオブジェクトのみが更新されます。

BypassDirSyncOverridesEnabled 機能の状態を確認します。

(Get-MgDirectoryOnPremiseSynchronization).Features.BypassDirSyncOverridesEnabled

BypassDirSyncOverridesEnabled 機能の無効化

ポータルまたは PowerShell から携帯電話番号を更新する機能を復元する場合は、次の Microsoft Graph PowerShell モジュール コマンドを使用して、BypassDirSyncOverridesEnabled 機能 無効にすることができます。

$directorySynchronization = Get-MgDirectoryOnPremiseSynchronization
$features = @{BypassDirSyncOverridesEnabled=$false}

Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $directorySynchronization.Id -Features $features

この機能をオフにすると、ユーザーまたは管理者が Microsoft Entra ID で直接 MobilePhone または alternateMobilePhones を更新するたびに、DirSyncOverrides が作成され、オンプレミスの Active Directory からこれらの属性が今後更新されなくなります。 この時点から、ユーザーまたは管理者は、オンプレミスの Mobile または OtherMobile からの新しい更新プログラムが無視されるため、Microsoft Entra ID からのこれらの属性のみを管理できます。

Microsoft Entra ID とオンプレミス Active Directory での携帯電話番号の管理

ユーザーの電話番号を管理するために、管理者は ADSyncTools モジュール 次の一連の関数を使用して、Microsoft Entra ID またはオンプレミス Active Directory の値の読み取り、書き込み、クリアを行うことができます。

オンプレミスの Active Directory から Mobile と OtherMobile プロパティを取得します。

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAD

Microsoft Entra ID から MobilePhone と AlternateMobilePhones のプロパティを取得します。

Get-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -FromAzureAD

Microsoft Entra ID で MobilePhone と AlternateMobilePhones のプロパティを設定します。

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD '999888777' -AlternateMobilePhonesInAAD '0987654','1234567'

オンプレミスの Active Directoryで Mobile と otherMobile プロパティを設定します。

Set-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD '999888777' -OtherMobileInAD '0987654','1234567'

Microsoft Entra ID 中の MobilePhone と AlternateMobilePhones プロパティを消去する。

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobilePhoneInAAD -AlternateMobilePhonesInAAD

オンプレミスの Active Directory で Mobile と otherMobile のプロパティをクリアします。

Clear-ADSyncToolsDirSyncOverridesUser 'User1@Contoso.com' -MobileInAD -OtherMobileInAD

次の手順

Microsoft Entra Connect: ADSyncTools PowerShell モジュール の詳細を確認する