Microsoft Entra Connect Sync: Active Directory のごみ箱を有効にする

Microsoft Entra ID に同期される Active Directory (AD) のオンプレミス インスタンスに対して、Active Directory のごみ箱機能を有効にすることをお勧めします。

オンプレミスの AD ユーザー オブジェクトを誤って削除し、その機能を使用して復元した場合、Microsoft Entra ID は対応する Microsoft Entra ユーザー オブジェクトを復元します。 Active Directory オブジェクトの復元の詳細については、「削除された Active Directory オブジェクトを復元するためのシナリオの概要」を参照してください。

Active Directory のごみ箱機能を有効にする方法については、「Active Directory 管理センターの機能強化を参照してください。

AD のごみ箱を有効にする利点

この機能は、次の手順を実行して Microsoft Entra ユーザー オブジェクトを復元するのに役立ちます。

• オンプレミスの AD ユーザー オブジェクトを誤って削除した場合、対応する Microsoft Entra ユーザー オブジェクトは次の同期サイクルで削除されます。 既定では、Microsoft Entra ID は削除された Microsoft Entra ユーザー オブジェクトを論理的に削除された状態で 30 日間保持します。

• オンプレミスの AD ごみ箱機能を有効にしている場合は、ソース アンカーの値を変更せずに、削除されたオンプレミス AD ユーザー オブジェクトを復元できます。 回復されたオンプレミスの AD ユーザー オブジェクトが Microsoft Entra ID に同期されると、Microsoft Entra ID は、対応する論理的に削除された Microsoft Entra ユーザー オブジェクトを復元します。 ソース アンカー属性の詳細については、「Microsoft Entra Connect: Design concepts」記事を参照してください。

• オンプレミスの AD ごみ箱機能を有効にしていない場合は、削除されたオブジェクトを置き換えるために AD ユーザー オブジェクトの作成が必要になる場合があります。 ソース アンカー属性にシステム生成 AD 属性 (ObjectGuid など) を使用するように Microsoft Entra Connect 同期サービスが構成されている場合、新しく作成された AD ユーザー オブジェクトは、削除された AD ユーザー オブジェクトと同じソース アンカー値を持ちません。 新しく作成された AD ユーザー オブジェクトが Microsoft Entra ID に同期されると、Microsoft Entra ID は、論理的に削除された Microsoft Entra ユーザー オブジェクトを復元するのではなく、新しい Microsoft Entra ユーザー オブジェクトを作成します。

手記

既定では、Microsoft Entra ID は、削除された Microsoft Entra ユーザー オブジェクトを完全に削除される前に、論理的に削除された状態で 30 日間保持します。 ただし、管理者はこのようなオブジェクトの削除を高速化できます。 オブジェクトが完全に削除されると、オンプレミスの AD ごみ箱機能が有効になっている場合でも、オブジェクトを回復できなくなります。

次の手順

概要トピック

• Microsoft Entra Connect 同期: 同期を理解してカスタマイズする

• オンプレミス ID と Microsoft Entra ID の統合