Office 365 へのディレクトリ同期を通してユーザーをプロビジョニングするための準備

ディレクトリ同期でユーザーをプロビジョニングするには、Office 365 で職場や学校のアカウントを単純に直接管理するよりも多くの計画と準備が必要です。オンプレミスの Active Directory が適切に Azure Active Directory に同期されるようにするには、追加の計画、準備作業が必要です。組織に追加する利点は、次のとおりです。

  • 組織で管理プログラムが減ること

  • シングル サインオン シナリオを実現できること (オプション)

  • Office 365 でのアカウント変更を自動化できること

ディレクトリ同期を使用する利点の詳細については、「ディレクトリ同期のロードマップ」と「Office 365 ID と Azure Active Directory について」を参照してください。

組織のために最適なシナリオを特定するには、ディレクトリ統合ツールの比較を確認します。

ディレクトリのクリーンアップ作業

ディレクトリの同期を開始する前に、ディレクトリをクリーンアップする必要があります。

Azure AD Connect Sync: Azure Active Directory に同期される属性」も確認してください。

警告: 同期する前にディレクトリのクリーンアップを実行しなかった場合、展開プロセスへの大きな悪影響が発生することがあります。ディレクトリ同期、エラーの識別、再同期のサイクルを実行するには、数日または数週間かかることがあります。

オンプレミスのディレクトリでは、次のようなクリーンアップ作業を行ってください。

  • Office 365 サービスが割り当てられる各ユーザーに proxyAddresses 属性の有効で一意のメール アドレスがあることを確認します。

  • proxyAddresses 属性の重複する値を削除します。

  • 可能であれば、Office 365 サービスが割り当てられる各ユーザーについて、ユーザーの user オブジェクト内に userPrincipalName 属性の有効で一意の値があることを確認します。最高の同期エクスペリエンスのために、オンプレミスの Active Directory UPN がクラウド UPN と一致していることを確認します。ユーザーに userPrincipalName 属性の値がない場合、user オブジェクトは sAMAccountName 属性の有効で一意の値を格納している必要があります。userPrincipalName 属性の重複する値を削除します。

  • グローバル アドレス一覧 (GAL) を最適に使用できるように、次の属性にある情報が正しいことを確認します。

    • givenName

    • surname

    • displayName

    • 役職

    • 部署

    • 会社

    • 会社電話

    • 携帯電話

    • FAX 番号

    • 番地

    • 市区町村

    • 都道府県

    • 郵便番号

    • 国または地域

ディレクトリ オブジェクトと属性の準備

オンプレミスのディレクトリと Office 365 の間でディレクトリ同期を正常に行うには、オンプレミスのディレクトリ属性が正しく準備されている必要があります。たとえば、Office 365 環境と同期される一部の属性に特定の文字が使用されていないことを確認する必要があります。予期しない文字を使用すると、ディレクトリ同期が失敗するわけではありませんが、警告が返される場合があります。無効な文字を使用すると、ディレクトリ同期が失敗します。

一部の Active Directory ユーザーに重複する属性が 1 つ以上ある場合は、ディレクトリの同期も失敗します。各ユーザーに一意の属性がある必要があります。

準備に必要な属性をここに一覧表示します。

注: IdFix ツールを使用すると、このプロセスの実行が大幅に簡単になります。

  • displayName

    • 属性がユーザー オブジェクトに存在する場合、Office 365 と同期されます。

    • この属性がユーザー オブジェクトに存在する場合、属性に値がなければなりません。 つまり、属性を空白にすることはできません。

    • 最大文字数: 255 文字

  • givenName

    • 属性がユーザー オブジェクトに存在する場合、Office 365 と同期されますが、Office 365 では不要であり、使用されません。

    • 最大文字数: 63 文字

  • mail

    • 属性値は、ディレクトリ内で一意である必要があります。

      注: 重複する値がある場合、その値を持つ最初のユーザーが同期されます。以後のユーザーは Office 365 に表示されません。Office 365 で両方のユーザーが表示されるようにするために、Office 365 で値を変更するか、オンプレミスのディレクトリで両方の値を変更する必要があります。

  • mailNickname (Exchange エイリアス)

    • 属性値をピリオド (.) で始めることはできません。

    • 属性値は、ディレクトリ内で一意である必要があります。

  • proxyAddresses

    • 複数値の属性

    • 1 つの値あたりの最大文字数: 256

    • 属性値にスペースを使用することはできません。

    • 属性値は、ディレクトリ内で一意である必要があります。

    • 無効な文字: < > ( ) ; : , [ ] “

      重要: すべての簡易メール転送プロトコル (SMTP) アドレスは、メール メッセージングの標準に準拠する必要があります。 重複するアドレスや不要なアドレスが存在する場合は、ヘルプ トピック「Exchange で重複した不要なプロキシ アドレスを削除する」を参照してください。

  • sAMAccountName

    • 最大文字数: 20 文字

    • 属性値は、ディレクトリ内で一意である必要があります。

    • 無効な文字: [ \ “ | , / : < > + = ; ? * ]

    • ユーザーに無効な sAMAccountName 属性があっても、有効な userPrincipalName 属性がある場合、Office 365 にユーザー アカウントが作成されます。

    • sAMAccountNameuserPrincipalName の両方が無効である場合は、オンプレミスの Active DirectoryuserPrincipalName 属性を更新する必要があります。

  • sn (姓)

    • 属性がユーザー オブジェクトに存在する場合、Office 365 と同期されますが、Office 365 では不要であり、使用されません。

  • targetAddress

    ユーザーに事前設定されている targetAddress 属性 (たとえば、SMTP:tom@contoso.com) が Office 365 GAL に存在しなければならないことは必須です。サードパーティのメッセージング移行シナリオでは、この操作を行うには、オンプレミスのディレクトリ用の Office 365 スキーマ拡張が必要になります。Office 365 スキーマ拡張では、オンプレミスのディレクトリからディレクトリ同期ツールを使用して事前設定されている Office 365 オブジェクトを管理するための他の有用な属性も追加されます。たとえば、非表示のメールボックスや配布グループを管理するための msExchHideFromAddressLists 属性が追加されます。

    • 最大文字数: 255 文字

    • 属性値にスペースを使用することはできません。

    • 属性値は、ディレクトリ内で一意である必要があります。

    • 無効な文字: \ < > ( ) ; : , [ ] “

      すべての簡易メール転送プロトコル (SMTP) アドレスは、メール メッセージングの標準に準拠する必要があります。

  • userPrincipalName

    • userPrincipalName 属性は、ユーザー名に @ 記号とドメイン名が続く、インターネット形式のサインイン書式 (たとえば、user@contoso.com) でなければなりません。

      すべての簡易メール転送プロトコル (SMTP) アドレスは、メール メッセージングの標準に準拠する必要があります。

    • userPrincipalName 属性の最大文字数は 113 文字です。 @ 記号の前後には、次のように特定の文字数を使用できます。

      • @ 記号の前にあるユーザー名の最大文字数: 64 文字

      • @ 記号に続くドメイン名の最大文字数: 48 文字

    • 無効な文字: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      ウムラウトも無効な文字です。

    • userPrincipalName 値には @ 文字が必要です。

    • @ 文字を各 userPrincipalName 値の最初の文字にすることはできません。

    • ユーザー名はピリオド (.)、アンパサンド (&)、スペース、@ 記号のいずれでも終わることはできません。

    • ユーザー名にスペースは使用できません。

    • ルーティング可能なドメインを使用する必要があります。たとえば、ローカル ドメインや内部ドメインを使用することはできません。

    • Unicode はアンダースコア文字に変換されます。

    • userPrincipalName にディレクトリ内の重複する値を格納することはできません。

userPrincipalName 属性を準備する

Active Directory は、組織内のエンド ユーザーが sAMAccountNameuserPrincipalName を使用してディレクトリにサインインできるように設計されています。同様に、エンド ユーザーは自分の職場や学校のアカウントのユーザー プリンシパル名 (UPN) を使用して Office 365 にサインインできます。ディレクトリ同期では、オンプレミスのディレクトリにある同じ UPN を使用して Azure Active Directory に新しいユーザーを作成することが試みられます。UPN は、メール アドレスのように書式設定されます。Office 365 では、UPN はメール アドレスを生成するために使用される既定の属性です。(オンプレミスや Azure Active Directory 内の) userPrincipalNameproxyAddresses 内のプライマリ メール アドレスは、簡単に異なる値に設定することができます。これらを異なる値に設定すると、管理者とエンド ユーザーが混乱する場合があります。

混乱を減らすには、これらの属性を揃えることが最善です。 Active Directory フェデレーション サービス (AD FS) 2.0 でシングル サインオンの要件を満たすには、Azure Active Directory 内の UPN とオンプレミスの Active Directory が一致して、有効なドメイン名前空間を使用していることを確認する必要があります。

AD DS に代替の UPN サフィックスを追加する

ユーザーの会社の資格情報を Office 365 環境に関連付けるには、代替の UPN サフィックスを追加することが必要な場合があります。 UPN サフィックスは、UPN のうち、@ 文字の右側にある部分です。 シングル サインオンに使用される UPN には、英字、数字、ピリオド、ダッシュ、アンダースコアを使用できますが、その他の種類の文字は使用できません。

代替の UPN サフィックスを Active Directory に追加する方法の詳細については、「ディレクトリ同期を準備する」を参照してください。

オンプレミスの UPN を Office 365 の UPN と一致させる

ディレクトリ同期を既にセットアップしている場合、Office 365 用のユーザーの UPN が、オンプレミスのディレクトリ サービスで定義されているユーザーのオンプレミスの UPN と一致しないことがあります。 この問題は、ドメインが確認される前にユーザーにライセンスが割り当てられた場合に発生することがあります。 この問題を修正するには、PowerShell を使用して UPN の重複を修正して、Office 365 の UPN が会社のユーザー名とドメインに一致するようにユーザーの UPN を更新します。 オンプレミスのディレクトリ サービスで UPN を更新して、Azure Active Directory ID と同期する場合は、オンプレミスで変更を行う前に Office 365 でユーザーのライセンスを削除する必要があります。

ディレクトリ同期用に (.local ドメインなどの) 非ルーティング ドメインを準備する方法」も参照してください。

ディレクトリ統合ツール

ディレクトリ同期は、オンプレミスの Active Directory 環境から Office 365 のディレクトリ インフラストラクチャ (Azure Active Directory) へのディレクトリ オブジェクト (ユーザー、グループ、および連絡先) の同期です。利用できるツールと機能の一覧については、「ディレクトリ統合ツール」を参照してください。ツールとして Microsoft Azure Active Directory Connect を使用することをお勧めします。Azure Active Directory Connect の詳細については、「オンプレミスのディレクトリと Azure Active Directory の統合」を参照してください。

ユーザー アカウントは、初めて Office 365 ディレクトリと同期されたとき、アクティブ化されていないとしてマークされます。 これらのユーザー アカウントは、メールを送受信できず、サブスクリプション ライセンスを消費しません。 特定のユーザーに Office 365 サブスクリプションを割り当てる準備ができたら、有効なライセンスの割り当てでユーザーを選んでアクティブにする必要があります。

PowerShell を使用してライセンスを割り当てることもできます。 自動化されたソリューションについては、PowerShell を使用して Office 365 ユーザーにライセンスを割り当てる (英語) を参照してください。

LinkedIn ラーニングのショート アイコンです。 Office 365 を初めてお使いの場合は
、LinkedIn ラーニングによって提供された Office 365 管理者および IT プロフェッショナル向けの無料のビデオコースをご覧ください。

関連トピック

Office 365 とオンプレミス環境との統合
Office 365 のディレクトリ同期の問題を解決する

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×