Microsoft Entra Connect Sync: ユーザー、グループ、および連絡先について
複数の Active Directory フォレストを使用することになる理由はさまざまあり、複数の異なるデプロイ トポロジがあります。 一般的なモデルとしては、アカウント リソース デプロイ、合併や買収の後で GAL 同期が行われたフォレストなどがあります。 ただし、純粋なモデルがある一方で、ハイブリッド モデルも一般的です。 Microsoft Entra Connect Sync の既定の構成では、特定のモデルは想定されていません。 ただし、インストール ガイドでユーザー マッチングがどのように選択されたかに応じて、さまざまな動作を確認できます。
この記事では、特定のトポロジでの既定の構成の動作について説明します。 構成の概要についてと、構成を確認するために使用できる同期ルール エディターについて取り上げます。
構成の前提となるいくつかの一般的なルールがあります。
- ソースの Active Directory からインポートする順序に関係なく、最終的な結果は常に同じになる必要があります。
- アクティブなアカウントは、
userPrincipalName や sourceAnchorなど、サインイン情報を提供します。 - アクティブなアカウントが見つからない場合は、無効なアカウントを使用すると userPrincipalName と sourceAnchor が指定されますが、このアカウントが、リンクされたメールボックスでない場合に限ります。
- リンクされたメールボックスを持つアカウントは、userPrincipalName と sourceAnchor には使用されません。 アクティブなアカウントは後で見つかることが前提です。
- 連絡先オブジェクトは、Microsoft Entra ID に対して連絡先またはユーザーとしてプロビジョニングされます。 すべてのソース Active Directory フォレストが処理されるまで、実際にはわかりません。
グループ
Note
別のフォレストからグループにユーザーを追加すると、そのグループが特定の OU 内に存在する Active Directory にアンカーが作成されることに留意してください。 このアンカーは外部セキュリティ プリンシパルであり、OU 'ForeignSecurityPrincipals' 内に格納されます。 この OU を同期しない場合、ユーザーはグループ メンバーシップから削除されます。
Active Directory から Microsoft Entra ID へグループを同期する場合に留意する重要なポイントを以下に示します。
Microsoft Entra Connect は、組み込みのセキュリティ グループをディレクトリ同期から除外します。
Microsoft Entra Connect は、プライマリ グループ メンバーシップの Microsoft Entra ID への同期をサポートしていません。
Microsoft Entra Connect は、動的配布グループ メンバーシップの Microsoft Entra ID への同期をサポートしていません。
Active Directory グループをメール対応のグループとして Microsoft Entra ID に同期するには、次の条件に従います。
グループの proxyAddress 属性が空である場合、そのグループの mail 属性には値が必要です。
グループの proxyAddress 属性が空ではない場合、少なくとも 1 つの SMTP プロキシ アドレス値を含める必要があります。 次に例をいくつか示します。
proxyAddress 属性の値が {"X500:/0=contoso.com/ou=users/cn=testgroup"} の Active Directory グループは、Microsoft Entra ID ではメール対応しません。 SMTP アドレスを含みません。
proxyAddress 属性の値が {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} の Active Directory グループは、Microsoft Entra ID ではメール対応します。
proxyAddress 属性の値が {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} の Active Directory グループは、Microsoft Entra ID ではメール対応します。
連絡先
合併や買収の後、連絡先は異なるフォレストのユーザーを表しているのが一般的です。そこでは、GALSync ソリューションが 2 つ以上の Exchange フォレストをつないでいます。 連絡先オブジェクトは、メール属性を使用してコネクタ スペースからメタバースを常に結合しています。 同じメール アドレスの連絡先オブジェクトまたはユーザー オブジェクトが既にある場合、これらのオブジェクトは一緒に結合されます。 これは、In from AD – Contact Join というルールで構成されます。 また、定数が Contact であるメタバース属性 sourceObjectType への属性フローを使用する In from AD – Contact Common というルールもあります。 このルールは優先順位が低いので、いずれかのユーザー オブジェクトが同じメタバース オブジェクトに参加している場合は、AD から In - User Common
Microsoft Entra ID にオブジェクトをプロビジョニングする場合、メタバース属性 sourceObjectType が Contactに設定されていると、送信規則 Out to Microsoft Entra ID – Contact Join によって連絡先オブジェクトが作成されます。 この属性が [ユーザー
たとえば、GALSync トポロジでは、最初のフォレストをインポートするときに、2 番目のフォレストですべてのユーザーの連絡先オブジェクトを見つけます。 これにより、Microsoft Entra コネクタに新しい連絡先オブジェクトがステージングされます。 後で 2 番目のフォレストをインポートして同期するときに、実際のユーザーを見つけ、既存のメタバース オブジェクトに結合します。 その後、Microsoft Entra ID の連絡先オブジェクトを削除し、代わりに新しいユーザー オブジェクトを作成します。
ユーザーが連絡先として表されるトポロジを使用する場合は、インストール ガイドでメール属性のユーザーに一致するように選択する必要があります。 別のオプションを選択した場合は、順序に依存する構成を使います。 連絡先オブジェクトは常にメール属性に参加しますが、ユーザー オブジェクトは、インストール ガイドでこのオプションが選択されている場合にのみメール属性に参加します。 そうすると、ユーザー オブジェクトより前に連絡先オブジェクトがインポートされた場合、メタバース内の 2 つの異なるオブジェクトが同じメール属性を使用することになる可能性があります。 Microsoft Entra ID へのエクスポート中にエラーが表示されます。 この動作は仕様であり、不適切なデータを示すか、インストール中にトポロジが正しく識別されなかったことを示します。
無効なアカウント
無効なアカウントは、Microsoft Entra ID にも同期されます。 無効なアカウントは、会議室などの Exchange のリソースを表すことが一般的です。 例外は、リンクされたメールボックスを持つユーザーです。前述のように、Microsoft Entra ID にアカウントをプロビジョニングすることはありません。
無効なユーザー アカウントが見つかった場合、後で別のアクティブなアカウントが見つからないことが前提です。 オブジェクトは、userPrincipalName と sourceAnchor が見つかった Microsoft Entra ID にプロビジョニングされます。 別のアクティブなアカウントが同じメタバース オブジェクトに参加している場合は、その userPrincipalName と sourceAnchor が使用されます。
sourceAnchor の変更
オブジェクトが Microsoft Entra ID にエクスポートされると、sourceAnchor の変更は許可されなくなります。 オブジェクトがエクスポートされると、cloudSourceAnchor