エクスポート (0) 印刷
すべて展開

ディレクトリの同期

発行: 2012年6月

更新日: 2014年6月

適用対象: Azure, Office 365, Windows Intune

初めてディレクトリを同期すると、ローカルのユーザーおよびグループのコピーが Microsoft Azure Active Directory (Microsoft Azure AD) に書き込まれます。それ以降の Active Directory 同期では、ローカルの Active Directory が変更されているかどうかを確認し、その変更内容で Azure AD を更新します。

このトピックでは、Microsoft Azure Active Directory 同期ツールの構成ウィザードを実行して、ローカルの Active Directory にアカウントを作成し、ローカルの Active Directory から Azure AD に対して定期的に同期を実行するように構成します。また、同期はいつでも強制実行できます。

インストールしたディレクトリ同期ツールのバージョンに応じて、Microsoft Azure Active Directory 同期ツールの構成ウィザードでは、ルート ドメインの標準的なユーザー組織単位で、Active Directory フォレストの MSOL_AD_SYNC アカウントまたは AAD_xxxxxxxxxxxx (xxxxxxxxxxxx はインストールに固有の 12 文字の英数字) アカウントを作成します。ディレクトリ同期では、このサービス アカウントを使用し、ローカルの Active Directory の情報を読み取って同期します。また、構成ウィザードでは、3 時間ごとにローカルの Active Directory から Azure AD に同期するようにセットアップします。

Important重要
  • MSOL_AD_SYNC アカウントまたは AAD_xxxxxxxxxxxx アカウントは、移動、削除、または再許可しないでください。このアカウントを移動または削除すると、同期が失敗する可能性があります。

  • 特定のクラウド テナント組織に対してディレクトリ同期ツールを構成して同期した後は、他のクラウド テナントを取り込むように同じディレクトリ同期のインストールを構成することはできません。既にディレクトリ同期ツールをインストールして構成し、別の Azure AD テナント組織にサインアップした場合は、ディレクトリ同期ツールの新しいインスタンスをインストールする必要があります。

ディレクトリ同期を構成するには、次の手順に従います。

  1. 構成ウィザードを開始するには、次のいずれかを実行します。

    • ディレクトリ同期を初めてセットアップする場合は、Microsoft Azure Active Directory (Microsoft Azure AD) Sync のセットアップ ウィザードの最後のページで、[構成ウィザードを今すぐ開始する] チェック ボックスをオンにしてから、[完了] をクリックします。

    • ディレクトリ同期の構成を更新する場合は、[スタート] をクリックし、[すべてのプログラム][Microsoft Azure Active Directory (Microsoft Azure AD)][ディレクトリ同期][ディレクトリ同期の構成] の順にクリックします。ディレクトリ同期の構成の更新に関する詳細については、「ディレクトリ同期を管理する」を参照してください。

  2. [Microsoft Azure Active Directory (Microsoft Azure AD) の資格情報] ページで、クラウド管理者の資格情報を入力し、[次へ] をクリックします。

  3. [Active Directory の資格情報] ページで、[Active Directory Enterprise Admin の資格情報] に入力し、[次へ] をクリックします。

    noteメモ
    これらのエンタープライズ管理者資格情報は保存されません。サービス アカウントの作成後はコンピューターのメモリに残りません。

  4. Exchange Server 2010 SP1 をインストール済みの場合は、[Exchange ハイブリッド展開] ページで、Exchange ハイブリッド展開機能をアクティブ化できます。Exchange ハイブリッド展開機能をアクティブ化すると、ディレクトリ同期ツールは、オンプレミスの Active Directory に属性データを書き戻します。

    noteメモ
    最初の同期をすぐに開始する場合は、ウィザードの [終了] ページで [ディレクトリを今すぐ同期する] チェック ボックスをオンにしたままにします。

3 時間ごとの定期的な同期を待つことができない場合は、いつでもディレクトリ同期を強制実行できます。たとえば、従業員が解雇された場合、その従業員の Active Directory アカウントがクラウドで作成されているときはクラウドで、ローカルで作成されている場合はオンプレミスで、アカウントをすぐに無効にするか削除し、ディレクトリ同期を強制実行して、その従業員が会社の電子メール システムやネットワーク リソースにアクセスできないようにする必要があります。詳細については、ビデオ「How to force directory synchronization (ディレクトリ同期を強制実行する)」を参照してください。

ディレクトリ同期の Windows PowerShell コマンドレットを使用して、同期を強制実行できます。このコマンドレットは、ディレクトリ同期ツールをインストールするときにインストールされます。

  1. ディレクトリ同期ツールを実行しているコンピューターで、PowerShell を起動し、「Import-Module DirSync」と入力して Enter キーを押します。

  2. Start-OnlineCoexistenceSync」と入力して Enter キーを押します。

最初の同期またはそれ以降の更新で、ローカルの Active Directory のユーザーとグループが Azure AD と同期したことを確認する場合は、「ディレクトリ同期の検証」を参照してください。

関連項目

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました

コミュニティの追加

追加
表示:
© 2014 Microsoft