トップ回答者
オンプレADからAzureADへの初回同期の際に注意すべきことを知りたいです

質問
-
掲題の件について質問をさせてください。
オンプレADサーバとAzureADのハイブリッド構成を検討していたのですがOffice365を契約していたため既に大量のユーザーがAzureADのユーザー一覧の画面に登録されていました。
オンプレADとAzureADのドメイン名は同じなため、このまま同期をかけてしまうことに上書き的な意味合いで不安を感じています。
以下の質問にご回答いただくことは可能でしょうか。
お知恵を拝借できましたら幸いです。
質問1
オンプレAD側に「taro@abcde.com」がいてAzureAD側にOffice365のせいで既に同名の「taro@abcde.com」がいた場合これは上書きされてしまうか、若しくは、識別番号のようなものを裏で持っていて別物として判別されるのか
若しくは仮に上書きされずに別ユーザーの扱いで登録されてしまった場合、
挙動としてはどちらになるでしょうか?
質問2
仮に質問1でAzureADに自動的に登録されていたユーザーの情報が上書きされてしまうとなった場合Office365を利用しているユーザーに影響ありますでしょうか。
Office365のコンソールで登録していたユーザーがAzureADのコンソールに出来ていたことから相互干渉があるのかが気になっています。
Office365で使用している登録済のユーザーと同期により新規で登録されてきたユーザーを1つに統合することは出来るのでしょうか。また、それ以外に影響が考えられることがあればご教示いただきたいです。
- 編集済み bears_se 2019年7月11日 8:12
回答
-
チャブーンです。
この件ですが、結論からいうと「考えなしにAzure AD同期はしない方がいい」ということになると思います。
Hybrid環境でAzure AD Connectの同期を行った場合、Azure AD側のアカウントと「ソフトマッチ」あるいは「ハードマッチ」すると、同一アカウントと見なされてオンプレActive Directoryアカウントの情報で「上書き」されてしまいます。これらのマッチに必要なuserPricipalNameとproxyAddresses、あるいはsourceAnchorのうち、userPrincipalName属性はオンプレ側には初期登録はされますが、最近の設定だとUPNだけでもソフトマッチは走るみたいですね(つまり上書き同期してしまう可能性が高いです)。詳細はしたのページを見てもらうといいと思います。
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-existing-tenant
https://support.microsoft.com/en-us/help/3164442/how-to-use-upn-matching-for-identity-synchronization-in-office-365-azuアカウントの上書きが起こればですが、ユーザーのパスワード等情報変更が起きますので、もちろん影響があるでしょう。うえの話しの細かいしくみや、どうすれば問題を解決できるか、はしたのページを見ると書いてあります。したのページの"A user has an account in Office 365 but not in local Active Directory"にある方法で対応するとよいとおもいます(Exchange Onlineの対応も含めれば)。
残念ながら、うえを「簡単に行う」方法はないので、うえのページをみて理解に不安がある、という場合、この手の情報に長けたベンダー等に直接ご相談されることをお奨めします。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
- 編集済み チャブーンMVP, Moderator 2019年7月13日 17:54 内容の変更
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年7月19日 10:18
- 回答としてマーク bears_se 2019年7月22日 7:35
すべての返信
-
チャブーンです。
この件ですが、結論からいうと「考えなしにAzure AD同期はしない方がいい」ということになると思います。
Hybrid環境でAzure AD Connectの同期を行った場合、Azure AD側のアカウントと「ソフトマッチ」あるいは「ハードマッチ」すると、同一アカウントと見なされてオンプレActive Directoryアカウントの情報で「上書き」されてしまいます。これらのマッチに必要なuserPricipalNameとproxyAddresses、あるいはsourceAnchorのうち、userPrincipalName属性はオンプレ側には初期登録はされますが、最近の設定だとUPNだけでもソフトマッチは走るみたいですね(つまり上書き同期してしまう可能性が高いです)。詳細はしたのページを見てもらうといいと思います。
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-existing-tenant
https://support.microsoft.com/en-us/help/3164442/how-to-use-upn-matching-for-identity-synchronization-in-office-365-azuアカウントの上書きが起こればですが、ユーザーのパスワード等情報変更が起きますので、もちろん影響があるでしょう。うえの話しの細かいしくみや、どうすれば問題を解決できるか、はしたのページを見ると書いてあります。したのページの"A user has an account in Office 365 but not in local Active Directory"にある方法で対応するとよいとおもいます(Exchange Onlineの対応も含めれば)。
残念ながら、うえを「簡単に行う」方法はないので、うえのページをみて理解に不安がある、という場合、この手の情報に長けたベンダー等に直接ご相談されることをお奨めします。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
- 編集済み チャブーンMVP, Moderator 2019年7月13日 17:54 内容の変更
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年7月19日 10:18
- 回答としてマーク bears_se 2019年7月22日 7:35
-
フォーラムにご投稿くださいましてありがとうございます
チャブーンさんから寄せられた投稿はお役に立ちましたか。
後から検索で回答を探しやすくなるため、チャブーン さんの答えを「回答の候補」にしました。なかった場合は回答の候補の設定解除」も設定できます。
ご不明な点がございましたら、お気軽にお問い合わせください。
FAN
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com