オンプレミスのActive Directory ドメインサービス(以下、AD DS)からMicrosoft 365へユーザーを同期する際に、既にMicrosoft 365側でユーザーを作成し利用してしまっていた場合、どう対処するのかについて今回ご説明します。
アカウントの同期とマッチング
ソフトマッチとは
ソフトマッチとは、proxyAdresses(プライマリSMTPアドレス)もしくはuserPrincipalName(UPN)でAD DS上のアカウントとMicrosoft 365上のアカウントを一致させる方法のことを言います。
例えば、proxyAdressesを用いる場合、AD DSのアカウントに登録されているプライマリSMTPアドレスと同じ値を、Microsoft 365の紐づけたいアカウントのプライマリSMTPアドレスに設定します。
この状態で同期を行うと、同じアカウントとして紐づけることができます。
ハードマッチとは
ハードマッチとは、アカウントに設定されているImmutable IDという一意のIDを紐づける方法です。しかし、Micrsooftとしては、基本的にはユーザーを紐づける必要がある場合には、ソフトマッチを利用することを推奨しています。
そのため、「紐づけたいアカウント同士に同じ紐づけたい値が設定されているか」をよく確認したうえで実施することが重要になります。
マッチング順位
アカウントのマッチングには、順位があります。Azure AD Connect では、同期処理を行う際、以下の流れでオンプレミス AD DS 側のアカウントと Microsoft 365側のアカウントのマッチングを確認します。
- ImmutableIDの値が同じアカウントのマッチング ⇒ ハードマッチ
- proxyAddresses/mail の値が同じアカウントのマッチング ⇒ SMTP ソフトマッチ
- UPN の値が同じアカウントのマッチング ⇒ UPN ソフトマッチ
上記の順でマッチングを行う際に、値が同じものがあった場合にはそのアカウントに対して同期が行われます。
値が同じオブジェクトが無い場合は、Microsoft 365側に新たにユーザーアカウントが作成されます。
注意点
まず、注意が必要な点として、一度アカウントの紐づけに失敗してしまうと、もうそのアカウントを紐づけることは出来なくなってしまうということです。そのため、ソフトマッチは初回の同期の際のみ実施することができます。
しかし、万が一失敗してしまった場合はハードマッチという方法で紐づけることができます。(ただしMicrosoftで推奨しているのはソフトマッチ)
2つ目は、マッチングの順位です。例えば、userPrincipalNameで紐づけを行おうとした際に、マッチングさせようとしたアカウントと別のアカウントで、同じSMTPアドレスを持っていた場合、そちらと紐づいてしまいます。そのため、メールアドレスを設定している場合はSMTPアドレスで紐づける方が安全です。
AD DSに登録されているアカウントの表示名とMicrosoft 365に登録されているアカウントの表示名が違った場合
ソフトマッチは、AD DSに登録されている値がMicrosoft 365に同期される動きになるため、アカウントの紐づけが完了した際に、Microsoft 365側のアカウントの表示名はAD DSの表示名に変わります。
まとめ
- ソフトマッチとはAD DS上のアカウントとMicrosoft 365上のアカウントを紐づける方法である
- ソフトマッチは一度失敗してしまうと紐づけをし直すことはできない
- ハードマッチというやり方もあるが、基本的にはソフトマッチで紐づけることが推奨されている
さいごに
以上、AD DSからMicrosoft365へユーザーを同期する際、既にMicrosoft365側でユーザーを作成して利用していた場合の紐づけ方法についてご説明しました。
先にMicrosoft 365を利用しオンプレミスの環境とは別々で利用されている環境もあるかと思いますので、そういった場合には本記事を参考にしていただければと思います。
最後までお読みいただきありがとうございます。
