ディレクトリ同期用にオンプレミスの Active Directory を準備する

  • 5 分

Contoso の IT スタッフが Microsoft Entra Connect をデプロイする前に、オンプレミスの AD DS と関連するテクノロジで潜在的な問題を確認し、問題が検出された場合は修復することが不可欠です。 これは、Microsoft 365 の ID サービスとしてディレクトリ同期を実装する場合に特に重要です。

配置前チェック

配置前チェックには次のものが含まれます。

  • AD DS オブジェクト属性で無効な文字が使用されていないか、および不適切なユーザー プリンシパル名 (UPN) がないかのオンプレミス環境での分析。
  • ドメインの電子メール検出とユーザー カウントの実行。
  • ドメインの機能レベルとスキーマ拡張の識別、および使用されているカスタム属性の識別。
  • Microsoft 365 のデプロイの一部として Microsoft Entra Connect をデプロイする場合は、Microsoft Exchange または Skype for Business に使用されるプロキシ サーバーの識別。
  • Microsoft 365 のデプロイの一部として Microsoft Entra Connect をデプロイする場合は、Microsoft SharePoint ドメインの識別。
  • クライアントの SSO 準備状態の評価。
  • ネットワーク ポートの使用、および Office 365 に関連する DNS レコードの記録 (Office 365 のデプロイの一部として Microsoft Entra Connect をデプロイする場合)。

これらのチェックを完了した後の主な修復タスクには次のものが含まれます。

  • 重複する proxyAddress 属性および userPrincipalName 属性の削除。
  • 空および無効な userPrincipalName 属性の更新と、有効な userPrincipalName 属性での置き換え。
  • 次の属性に含まれる無効な文字の削除: givenNamesurname (sn)sAMAccountNamedisplayNamemailproxyAddressesmailNickname、および userPrincipalName

SSO に使用される UPN には、文字、数字、ピリオド、ダッシュ、およびアンダースコアを含めることができます。他の文字の種類は許可されません。

Microsoft 365 をデプロイしていて、デプロイに SSO の計画が含まれている場合は、SSO が展開される前に UPN 名がこの要件を満たしていることを確認する必要があります。SSO およびディレクトリ同期に使用するドメインは、ルーティング可能である必要があります。つまり、ローカル ドメイン名 (たとえば、Contoso.local) を使用することはできません。

Active Directory の正常性チェック ツール

ディレクトリ同期が適切に機能するには、オンプレミスの Active Directory が適切に準備されていて、エラーがないことを確認する必要があります。 次の AD DS 正常性チェック ツールを使用して、問題の特定と修復を行うことができます。

IdFix ツール

Microsoft 365 IdFix ツールを使用すると、Active Directory のオブジェクトの同期エラーの大部分を特定し、修復することができます。これには、重複や形式に誤りがある proxyAddressesuserPrincipalName などの一般的な問題が含まれます。

IdFix で確認する OU を選択すると、ツールの中で一般的なエラーを修正することができます。 一般的なエラーには、スクリプト化されたユーザー インポート中に発生した可能性のある、proxyAddressesmailNickname などの属性に含まれる無効な文字といった問題が含まれる場合があります。

形式や重複のエラーが含まれている識別名の場合、IdFix は自動修復を提案できない可能性があります。 このようなエラーは、IdFix の外部で修正するか、IdFix 内で手動で修復することができます。

ADModify.NET ツール

形式の問題などのエラーの場合、ADSIEdit または Active Directory ユーザーとコンピューターの詳細モードのいずれかを使用して、オブジェクトごとに特定の属性を変更できます。 ただし、複数のオブジェクトに対して属性を変更するには、ADModify.NET ツールを使用することをお勧めします。 これは、ADModify.NET によって提供されるバッチ モード操作が、OU またはドメインをまたぐ UPN などの属性を変更する場合に特に役立つためです。

追加の参考資料

さらに学習するには、次のドキュメントを参照してください。