Office 365 のディレクトリ同期の計画

概要   :Office 365 との同期、Active Directory のクリーンアップ、Azure Active Directory Connect ツールについて説明します。

Office 365 に移行する企業のお客様が、ビジネス ニーズ、技術的な要件、またはその両方に応じてプロビジョニング方法を決める場合、最も一般的な選択肢はディレクトリ同期です。ディレクトリ同期を使用すると、ID をオンプレミス Active Directory で管理し、その ID に対するすべての更新を Office 365 に同期できます。

ディレクトリ同期の実装を計画するときには、ディレクトリの準備、Azure Active Directory の必要条件と機能などのいくつかのことに注意する必要があります。 ディレクトリの準備では、多くの領域が対象となります。 これには、属性の更新、監査、ドメイン コントローラーの配置の計画が含まれます。 必要条件と機能の計画には、必要なアクセス許可の決定、マルチフォレスト/ディレクトリ シナリオの計画、容量計画、双方向同期が含まれます。

Office 365 の ID モデル

Office 365 では、クラウド ID、同期 ID、およびフェデレーション ID の 3 つの主なID モデルを使用します。同期 ID とフェデレーション ID は、ディレクトリ同期を使用します。

ActiveDirectory のクリーンアップ

同期を使用した Office 365 へのシームレスな移行を確実に行うために、Office 365 ディレクトリ同期の展開を開始する前に、Active Directory フォレストを準備することをお勧めします。

Office 365 でディレクトリ同期をセットアップする場合、手順の 1 つが IdFix ツールをダウンロードして実行することです。IdFix ツールを使用すると、ディレクトリのクリーンアップに役立ちます。

ディレクトリのクリーンアップでは、次のタスクに重点を置く必要があります。

  • 重複した proxyAddress 属性および userPrincipalName 属性を削除します。

  • 空白および無効な userPrincipalName 属性を有効な userPrincipalName 属性で更新します。

  • givenName、surname (sn)、sAMAccountName、displayName、mail、proxyAddresses、mailNickname、userPrincipalName 属性から無効な文字や判別できない文字を削除します。 属性の準備の詳細については、「Azure Active Directory 同期ツールにより同期される属性の一覧 (英語)」を参照してください。

    注: これらは Azure AD Connect が同期する同じ属性です。

マルチフォレストの展開に関する考慮事項

複数のフォレストおよび SSO のオプションについては、「Azure AD Connect のカスタム インストール」を参照してください。

組織に認証用の複数のフォレスト (ログオン フォレスト) がある場合、次を実行することを強くお勧めします。

  • フォレストの統合を評価します。   一般的に、複数のフォレストの管理にはより多くのオーバーヘッドが必要になります。複数の個別のフォレストが必要になるようなセキュリティ上の制約が組織にある場合を除いて、オンプレミス環境の簡素化を検討してください。

  • プライマリ ログオン フォレストのみで使用します。   Office 365 の最初のロールアウトの場合は、Office 365 をプライマリ ログオン フォレストのみに展開することを検討します。

マルチフォレストの Active Directory の展開を統合できない場合、または他のディレクトリ サービスを使用して ID を管理している場合は、Microsoft またはパートナーのサポートを受けてそれらを同期できる場合があります。

詳細については、シングル サインオンによるマルチ フォレスト ディレクトリ同期のシナリオに関するページを参照してください。

ディレクトリ統合ツール

ディレクトリ同期は、オンプレミスの Active Directory 環境から Office 365 ディレクトリ インフラストラクチャへのディレクトリ オブジェクト (ユーザー、グループ、連絡先) の同期です。利用できるツールと機能の一覧については、「ディレクトリ統合ツール」を参照してください。推奨されるツールは Azure Active Directory Connect です。

ユーザー アカウントは、初めて Office 365 ディレクトリと同期されたとき、アクティブ化されていないとしてマークされます。これらのユーザー アカウントは、メールを送受信できず、サブスクリプション ライセンスを消費しません。特定のユーザーに Office 365 サブスクリプションを割り当てる準備ができたら、有効なライセンスの割り当てでユーザーを選んでアクティブにする必要があります。

次の機能を使用するにはディレクトリ同期が必要です。

  • SSO。

  • Lync の共存。

  • 次のものを含む Exchange のハイブリッド展開。

    • オンプレミスの Exchange 環境と Office 365 の間で完全に共有されたグローバル アドレス一覧 (GAL)。

    • 異なるメール システムからの GAL 情報の同期。

    • Office 365 サービスのユーザーを追加、削除する機能。 このためには、次のものが必要です。

      • ディレクトリ同期のセットアップ中に双方向同期が構成される必要があります。 既定では、ディレクトリ同期ツールはディレクトリ情報をクラウドにのみ書き込みます。 双方向同期を構成するときには、書き戻し機能を有効にして、制限された数のオブジェクトの属性がクラウドからコピーされ、その後でそれらがローカルの Active Directory に書き込まれるようにします。 書き戻しは、Exchange ハイブリッド モードとも呼ばれます。

      • オンプレミスの Exchange ハイブリッド展開

    • 他のユーザーのメールボックスをオンプレミスに保持しながら、一部のユーザーのメールボックスを Office 365 に移動する機能。

    • オンプレミスの差出人セーフリストと受信拒否リストが Office 365 に複製される。

    • 基本的な委任とメールの代理送信機能。

    • 統合されたオンプレミス スマート カードまたは多要素認証ソリューションがある。

  • 写真、サムネイル、会議室、セキュリティ グループの同期。

関連項目

Windows Azure Active Directory 同期 (DirSync) の Azure AD Connect へのアップグレード

Azure AD Connect リリース履歴

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×