次の方法で共有

Microsoft Entra ID と同期していないオブジェクトのトラブルシューティング

  • [アーティクル]

オブジェクトが Microsoft Entra ID と想定どおりに同期していない場合は、いくつかの理由が考えられます。 Microsoft Entra ID からエラーメールを受け取った場合、または Microsoft Entra Connect Health でエラーが表示された場合は、「同期中のエラーのトラブルシューティング」 読んでください。 ただし、オブジェクトが Microsoft Entra ID にない問題のトラブルシューティングを行う場合は、この記事が役立ちます。 ここでは、オンプレミス コンポーネントの Microsoft Entra Connect 同期でエラーを見つける方法について説明します。

重要

バージョン 1.1.749.0 以降の Microsoft Entra Connect の展開では、ウィザードの トラブルシューティング タスク を使用して、オブジェクト同期の問題をトラブルシューティングします。

同期プロセス

同期の問題を調査する前に、Microsoft Entra Connect の同期プロセスを理解しましょう。

Microsoft Entra Connect 同期プロセス の

用語

  • CS: コネクタ スペース。データベース内のテーブル
  • MV: Metaverse(データベース内のテーブル)

同期の手順

同期プロセスには、次の手順が含まれます。

  1. AD からのインポート: Active Directory オブジェクト Active Directory CS に取り込まれます。

  2. Microsoft Entra ID からインポートする: Microsoft Entra オブジェクトが Microsoft Entra CS に取り込まれます。

  3. 同期: 受信同期規則と送信同期規則は、優先順位の低い順に実行されます。 同期規則を表示するには、デスクトップ アプリケーションから同期規則エディターに移動します。 受信同期規則は、CS から MV にデータを取り込みます。 送信同期規則は、MV から CS にデータを移動します。

  4. AD へのエクスポート: 同期後、オブジェクトは Active Directory CS から Active Directory にエクスポートされます。

  5. Microsoft Entra ID へのエクスポート: 同期後、オブジェクトは Microsoft Entra CS から Microsoft Entra ID にエクスポートされます。

トラブルシューティング

エラーを見つけるには、次の順序で、いくつかの異なる場所を確認します。

  1. インポートと同期中に同期エンジンによって特定されたエラーを探す場合は操作ログ
  2. 不足しているオブジェクトと同期エラーを探す場合はコネクタ スペース
  3. メタバースは、データ関連の問題を見つけるための です。

これらの手順を開始する前に、Synchronization Service Manager を起動します。

オペレーションズ

Synchronization Service Manager の [操作] タブで、トラブルシューティングを開始する必要があります。 このタブには、最新の操作の結果が表示されます。

[操作] タブが選択されている Synchronization Service Manager のスクリーンショット

[操作] タブの上半分には、すべての実行が時系列で表示されます。 既定では、操作ログには過去 7 日間の情報が保持されますが、この設定は スケジューラで変更できます。 success の状態を示していない実行を探します。 ヘッダーを選択することで、並べ替えを変更できます。

状態 列には、最も重要な情報が含まれており、実行に関する最も重大な問題が表示されます。 調査の優先順位の順に最も一般的な状態の簡単な概要を次に示します (*は、考えられるいくつかのエラー文字列を示します)。

地位 コメント
stopped-* 実行を完了できませんでした。 これは、たとえば、リモート システムがダウンしていて、接続できない場合に発生する可能性があります。
stopped-error-limit 5,000 を超えるエラーがあります。 多数のエラーが発生したため、実行は自動的に停止されました。
completed-*-errors 実行は完了しましたが、調査する必要があるエラー (5,000 未満) があります。
completed-*-warnings 実行は完了しましたが、一部のデータが予期した状態ではありません。 エラーが発生した場合、このメッセージは症状にすぎません。 エラーに対処するまで、警告を調査しないでください。
success 問題はありません。

行を選択すると、操作 タブの下部が更新され、その実行の詳細が表示されます。 この領域の左端には、ステップ #というタイトルのリストが表示されることがあります。 この一覧は、フォレスト内に複数のドメインがあり、各ドメインが 1 つのステップで表されている場合にのみ表示されます。 ドメイン名は、パーティション見出しの下にあります。 同期統計 見出しの下には、処理された変更の数に関する詳細情報が表示されます。 リンクを選択して、変更されたオブジェクトの一覧を取得します。 エラーのあるオブジェクトがある場合、それらのエラーは 同期エラー 見出しの下に表示されます。

[操作] タブのエラー

エラーがある場合、Synchronization Service Manager では、エラーのオブジェクトとエラー自体の両方が、詳細情報を提供するリンクとして表示されます。

Synchronization Service Manager のエラーのスクリーンショット
まず、エラー文字列を選択します。 (前の図では、エラー文字列は sync-rule-error-function-triggered です)。まず、オブジェクトの概要が表示されます。 実際のエラーを表示するには、スタック トレース選択します。 このトレースは、エラーのデバッグ レベルの情報を提供します。

[コール スタック情報] ボックスを右クリックして [すべて選択] を選択し、[コピー] を選択します。 次に、スタックをコピーし、メモ帳などのお気に入りのエディターでエラーを確認します。

エラーが SyncRulesEngineの場合、呼び出し履歴情報には、最初にオブジェクトのすべての属性が一覧表示されます。 InnerException =見出しが表示されるまで下にスクロールします。

同期サービス マネージャーのスクリーンショット。InnerException => という見出しの下にエラー情報が表示されています

見出しの後の行にエラーが表示されます。 前の図では、エラーは Fabrikam によって作成されたカスタム同期規則に由来しています。

エラーによって十分な情報が得られない場合は、データ自体を確認します。 オブジェクト識別子を含むリンクを選択し、インポートされた コネクタ スペースのオブジェクトのトラブルシューティングを続行します。

コネクタ スペース オブジェクトのプロパティ

[操作] タブにエラーが表示されない場合は、Active Directory からメタバースから Microsoft Entra ID までのコネクタ スペース オブジェクトに従います。 このパスでは、問題がどこにあるかを見つける必要があります。

CS でオブジェクトを検索する

Synchronization Service Manager で、コネクタを選択し、Active Directory コネクタを選択し、コネクタ スペースを検索を選択します。

[スコープ] ボックスで、CN 属性で検索する場合 RDN を選択するか、distinguishedName 属性で検索する場合は DN またはアンカー 選択します。 値を入力して、を検索し、を選択します。

コネクタ スペース検索のスクリーンショット

探しているオブジェクトが見つからない場合は、ドメインベースのフィルター処理 または OU ベースのフィルター処理でフィルター処理されている可能性があります。 フィルター処理が期待どおりに構成されていることを確認するには、「Microsoft Entra Connect Sync: フィルター処理を構成する」参照してください。

Microsoft Entra コネクタを選択すると、別の便利な検索を実行できます。 [スコープ] ボックスで、[保留中のインポート] を選択し、[追加] チェック ボックスをオンにします。 この検索では、オンプレミス オブジェクトに関連付けることができない Microsoft Entra ID 内のすべての同期されたオブジェクトが表示されます。

コネクタ スペース検索の孤立オブジェクトのスクリーンショット

これらのオブジェクトは、別の同期エンジンまたは別のフィルター構成の同期エンジンによって作成されました。 これらの孤立したオブジェクトは管理されなくなりました。 この一覧を確認し、Microsoft Graph PowerShell コマンドレットを使用して、これらのオブジェクトを削除することを検討してください。

CS インポート

CS オブジェクトを開くと、上部にいくつかのタブがあります。 インポート タブには、インポート後にステージングされるデータが表示されます。

[コネクタ スペース オブジェクトのプロパティ] ウィンドウのスクリーンショット。[インポート] タブが選択

古い値 列には、現在 Connect に格納されているものが表示されます。 [新しい値] 列には、ソース システムから受信されたものが表示され、まだ適用されていません。 オブジェクトにエラーがある場合、変更は処理されません。

同期エラー タブは、オブジェクトに問題がある場合にのみ、コネクタ スペース オブジェクトのプロパティ ウィンドウに表示されます。 詳細については、操作 タブで、同期エラーのトラブルシューティング方法を 確認してください。

[コネクタ スペース オブジェクトのプロパティ] ウィンドウの [同期エラー] タブの スクリーンショット

CS 系列

[コネクタ スペース オブジェクトのプロパティ] ウィンドウの [系列] タブには、コネクタ スペース オブジェクトとメタバース オブジェクトの関係が示されます。 コネクタが最後に接続されたシステムからの変更をインポートした日時と、メタバース内のデータを設定するために適用されたルールを確認できます。

コネクタ スペースオブジェクトのプロパティウィンドウにある「系譜」タブを示すスクリーンショット

前の図で、[アクション] 列には、[プロビジョニング] アクションの受信同期規則が表示されています。 これは、このコネクタ スペース オブジェクトが存在する限り、メタバース オブジェクトが残っていることを示します。 同期規則の一覧に、プロビジョニング アクションを含む送信同期規則が表示されている場合、メタバース オブジェクトが削除されると、このオブジェクトが削除されます。

[コネクタ スペース オブジェクトのプロパティ] ウィンドウの [系列] タブの系列ウィンドウを示すスクリーンショット

前の図では、PasswordSync 列で、1つの同期規則の値が Trueであるため、受信コネクタスペースからパスワードに変更が加えられることがわかります。 このパスワードは、送信規則を通じて Microsoft Entra ID に送信されます。

系列 タブから、メタバースオブジェクトプロパティ選択してメタバースにアクセスできます。

プレビュー

[コネクタ スペース オブジェクトのプロパティ] ウィンドウの左下隅には、[プレビュー] ボタンがあります。 このボタンを選択すると、プレビュー ページが開き、1 つのオブジェクトを同期できます。 このページは、カスタム同期規則のトラブルシューティングを行い、1 つのオブジェクトに対する変更の影響を確認する場合に便利です。 完全同期 または 差分同期を選択できます。[プレビューの生成]を選択することもできます。これは、メモリ内の変更のみを保持します。 または コミット プレビューを選択すると、メタバースが更新され、すべての変更がターゲット コネクタ スペースにステージングされます。

プレビュー ページのスクリーンショットで、[プレビューの開始] が選択されています

プレビューでは、オブジェクトを検査し、特定の属性フローに適用されたルールを確認できます。

属性フローのインポート を示す [プレビュー] ページのスクリーンショット

ログ

[プレビュー] ボタンの横にある [ログ] ボタンを選択して、[ログ] ページを開きます。 ここでは、パスワード同期の状態と履歴を確認できます。 詳細については、「Microsoft Entra Connect Syncを使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください。

メタバース オブジェクトのプロパティ

ソース Active Directory コネクタ スペースから検索を開始することをお勧めします。 ただし、メタバースから検索を開始することもできます。

MV でオブジェクトを検索する

次の図に示すように、Synchronization Service Manager Metaverse Searchを選択します。 ユーザーが見つかることがわかっているクエリを作成します。 accountName (sAMAccountName) や userPrincipalNameなどの一般的な属性を検索します。 詳細については、「Sync Service Manager メタバース検索」を参照してください。

[Metaverse Search] タブが選択されている Synchronization Service Manager のスクリーンショット

検索結果 ウィンドウで、オブジェクトを選択します。

オブジェクトが見つからなかった場合は、メタバースに到達していません。 引き続き Active Directory コネクタ スペース内のオブジェクトを検索します。 Active Directory コネクタ スペース内にオブジェクトが見つかると、同期エラーが発生し、オブジェクトがメタバースに送信されるのをブロックしている可能性があります。 または、同期規則のスコープ フィルターが適用される場合があります。

MV にオブジェクトが見つかりません

オブジェクトが Active Directory CS にあり、MV には存在しない場合は、スコープ フィルターが適用されます。 スコープ フィルターを確認するには、デスクトップ アプリケーション メニューに移動し、同期規則エディターの選択します。 以下のフィルターを調整して、オブジェクトに適用できるルールをフィルター処理します。

受信同期規則の検索 を示す同期規則エディターのスクリーンショット

上から一覧の各ルールを表示し、スコープ フィルターを確認します。 次のスコープ フィルターでは、isCriticalSystemObject 値が null または FALSE または空の場合、スコープ内にあります。

受信同期規則検索でのスコープ フィルターのスクリーンショット

CS Import 属性リストに移動し、オブジェクトが MV に移動するのをブロックしているフィルターを確認します。 コネクタ スペースの 属性の一覧には、null 以外の属性と空でない属性のみが表示されます。 たとえば、isCriticalSystemObject が一覧に表示されない場合、この属性の値は null または空です。

Microsoft Entra CS にオブジェクトが見つかりません

オブジェクトが Microsoft Entra ID のコネクタ スペースに存在せず、MV に存在する場合は、対応するコネクタ スペースの送信規則のスコープ フィルターを確認します。 MV 属性 条件を満たしていないために、オブジェクトがフィルターで除外されているかどうかを判断します。

送信スコープ フィルターを確認するには、次のフィルターを調整して、オブジェクトに適用できる規則を選択します。 各ルールを表示し、対応する MV 属性 値を確認します。

同期規則エディターでの送信同期規則の検索のスクリーンショット

MV 属性

[属性] タブでは、値と、それに寄与したコネクタを確認できます。

[メタバース オブジェクトのプロパティ] ウィンドウのスクリーンショット。[属性] タブが選択

オブジェクトが同期していない場合は、メタバースの属性の状態について次の質問をします。

  • 属性 cloudFiltered が存在しており、True に設定されていますか。 その場合は、属性ベースのフィルター処理 の手順に従ってフィルター処理されます。
  • 属性 sourceAnchor 存在しますか? 存在しない場合、アカウント リソース フォレスト トポロジはありますか。 オブジェクトがリンクされたメールボックスとして識別されている場合 (属性 msExchRecipientTypeDetails の値が 2)、sourceAnchor は、有効な Active Directory アカウントを含むフォレストによって提供されます。 マスター アカウントがインポートされ、正しく同期されていることを確認します。 マスター アカウントは、オブジェクトに コネクタの中に一覧表示されている必要があります。

MV コネクタ

[コネクタ] タブには、オブジェクトの表現を持つすべてのコネクタ スペースが表示されます。

[コネクタ] タブが選択されている [メタバース オブジェクトのプロパティ] ウィンドウのスクリーンショット

次のものに対するコネクタが必要です。

  • ユーザーが表現される各 Active Directory フォレスト。 この表現には、foreignSecurityPrincipals オブジェクトと Contact オブジェクトを含めることができます。
  • Microsoft Entra ID のコネクタ。

Microsoft Entra ID へのコネクタがない場合は、MV 属性 のセクションを確認して、Microsoft Entra ID へのプロビジョニングの条件を確認してください。

コネクタ タブから、コネクタ スペース オブジェクトに移動することもできます。 行を選択し、プロパティを選択します。

次の手順