none
オンプレADからAzureADへの初回同期の際に注意すべきことを知りたいです RRS feed

  • שאלה

  • 掲題の件について質問をさせてください。

    オンプレADサーバとAzureADのハイブリッド構成を検討していたのですがOffice365を契約していたため既に大量のユーザーがAzureADのユーザー一覧の画面に登録されていました。
    オンプレADとAzureADのドメイン名は同じなため、このまま同期をかけてしまうことに上書き的な意味合いで不安を感じています。

    以下の質問にご回答いただくことは可能でしょうか。
    お知恵を拝借できましたら幸いです。


    質問1
     オンプレAD側に「taro@abcde.com」がいてAzureAD側にOffice365のせいで既に同名の「taro@abcde.com」がいた場合

     

     これは上書きされてしまうか、若しくは、識別番号のようなものを裏で持っていて別物として判別されるのか
     挙動としてはどちらになるでしょうか?

    質問2
     仮に質問1でAzureADに自動的に登録されていたユーザーの情報が上書きされてしまうとなった場合Office365を利用しているユーザーに影響ありますでしょうか。
     Office365のコンソールで登録していたユーザーがAzureADのコンソールに出来ていたことから相互干渉があるのかが気になっています。

     若しくは仮に上書きされずに別ユーザーの扱いで登録されてしまった場合、
     Office365で使用している登録済のユーザーと同期により新規で登録されてきたユーザーを1つに統合することは出来るのでしょうか。

     また、それ以外に影響が考えられることがあればご教示いただきたいです。

    • נערך על-ידי bears_se יום חמישי 11 יולי 2019 08:12
    יום חמישי 11 יולי 2019 02:09

תשובות

כל התגובות

  • チャブーンです。

    この件ですが、結論からいうと「考えなしにAzure AD同期はしない方がいい」ということになると思います。

    Hybrid環境でAzure AD Connectの同期を行った場合、Azure AD側のアカウントと「ソフトマッチ」あるいは「ハードマッチ」すると、同一アカウントと見なされてオンプレActive Directoryアカウントの情報で「上書き」されてしまいます。これらのマッチに必要なuserPricipalNameとproxyAddresses、あるいはsourceAnchorのうち、userPrincipalName属性はオンプレ側には初期登録はされますが、最近の設定だとUPNだけでもソフトマッチは走るみたいですね(つまり上書き同期してしまう可能性が高いです)。詳細はしたのページを見てもらうといいと思います。

    https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-existing-tenant
    https://support.microsoft.com/en-us/help/3164442/how-to-use-upn-matching-for-identity-synchronization-in-office-365-azu

    アカウントの上書きが起こればですが、ユーザーのパスワード等情報変更が起きますので、もちろん影響があるでしょう。うえの話しの細かいしくみや、どうすれば問題を解決できるか、はしたのページを見ると書いてあります。したのページの"A user has an account in Office 365 but not in local Active Directory"にある方法で対応するとよいとおもいます(Exchange Onlineの対応も含めれば)。

    https://www.codetwo.com/admins-blog/how-to-merge-an-office-365-account-with-an-on-premises-ad-account-after-hybrid-configuration/

    残念ながら、うえを「簡単に行う」方法はないので、うえのページをみて理解に不安がある、という場合、この手の情報に長けたベンダー等に直接ご相談されることをお奨めします。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    שבת 13 יולי 2019 09:11
    מנחה דיון
  • フォーラムにご投稿くださいましてありがとうございます

     

    チャブーンさんから寄せられた投稿はお役に立ちましたか。

     

    後から検索で回答を探しやすくなるため、チャブーン さんの答えを「回答の候補」にしました。なかった場合は回答の候補の設定解除」も設定できます。

     

    ご不明な点がございましたら、お気軽にお問い合わせください。

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    יום שישי 19 יולי 2019 10:18
    מנחה דיון
  • ご回答ありがとうございます。

    上書きの恐れがあるとのこと理解しました。
    オンプレADから新たに同期を取るがOffice365を既に契約しており
    AzureADテナントに同ドメインのユーザーがいる場合ちょっと敷居が高くなりそうですね。
    この辺をすっきりしてくれる移行ツールとかあれば良いんでしょうけど
    そうそううまくはいかないんでしょうね。参考になりました。


    • נערך על-ידי bears_se יום שני 22 יולי 2019 04:44
    יום שני 22 יולי 2019 04:43