オンプレミスのActive Directory(AD)とEntra ID(旧称Azure AD)を同期している環境では、ユーザー属性の大半がオンプレミスADをソースとして管理されます。そのため、表示名や部署、役職などをクラウド側の管理センターで変更しても、同期が実行されるとオンプレミスADの値で上書きされてしまいます。この現象は、同期済みユーザーの属性をクラウド側だけ修正しようとしたときに初めて気づくケースが多く、原因がオンプレミス側にあると知らずに戸惑う方も少なくありません。本記事では、そのような状況でオンプレミスADのどの属性を確認すればよいのか、具体的な手順や注意点を解説します。
【要点】この記事で確認すること
- 最初に見る場所: オンプレミスADのユーザーオブジェクト属性(特に displayName、department、title、proxyAddresses)
- 切り分けの軸: 属性変更がクラウド側に反映されない場合、オンプレミス側のソース属性か、同期構成(属性マッピング・フィルター)かを確認する
- 注意点: 会社PCでAD管理ツールをインストールする際は権限が必要であり、管理者に相談してから作業を実施する
ADVERTISEMENT
目次
1. なぜクラウド側だけでは直せないのか
Entra ID Connect(旧称Azure AD Connect)を使用したハイブリッド同期環境では、ユーザー属性の同期方向は基本的に「オンプレミスAD → Entra ID」の一方向です。クラウド側で変更を加えても、次回の同期サイクルでオンプレミスADの値が再適用されるため、変更は無効になります。この挙動は、特に displayName(表示名)や mail(メールアドレス)、proxyAddresses(プロキシアドレス)などの属性で顕著に現れます。同期の仕組みを理解せずにクラウド側だけで修正を試みると、無限に元に戻るループに陥るため、最初からオンプレミスADを編集することが解決への近道です。
2. オンプレミス属性を確認するための基本手順
オンプレミスADの属性を確認・修正する方法はいくつかあります。ここでは、初心者でも扱いやすいツールと手順を紹介します。なお、操作にはActive Directoryの管理者権限が必要です。組織のポリシーに従い、適切な権限を取得してください。
2-1. Active Directoryユーザーとコンピュータ(ADUC)を使用する
ADUCは最も一般的な管理ツールです。表示名や部署などの基本属性はこのツールで変更できます。ただし、proxyAddresses や extensionAttribute などの拡張属性はADUCの標準画面では編集できず、別のツールが必要になります。
2-2. ADSI Editを使用する
ADSI Editは、ADのすべての属性を直接編集できる強力なツールです。特に proxyAddresses や msExch* 属性を確認する際に有用です。ただし、誤った編集は同期トラブルや認証障害を引き起こす可能性があるため、作業前には必ずバックアップを取るか、テストユーザーで練習してください。
2-3. PowerShellを使用する
PowerShellはスクリプトによる一括操作や、特定の属性のみを確認するのに便利です。以下に、PowerShellを使用した属性確認と修正の手順を記載します。
- 管理者としてPowerShellを起動し、Active Directoryモジュールをインポートします。
Import-Module ActiveDirectory - 確認したいユーザーの属性を取得します。例:
Get-ADUser -Identity 'ユーザー名' -Properties * | Select-Object Name, DisplayName, Department, Title, ProxyAddresses, Mail - 属性を修正する場合は、
Set-ADUserコマンドを使用します。例:Set-ADUser -Identity 'ユーザー名' -DisplayName '新しい表示名' proxyAddressesはマルチバリュー属性のため、追加・削除には専用の構文が必要です。例:追加 →Set-ADUser -Identity 'ユーザー名' -Add @{ProxyAddresses='SMTP:new@contoso.com'}、削除 →Set-ADUser -Identity 'ユーザー名' -Remove @{ProxyAddresses='smtp:old@contoso.com'}- 修正後、即座に同期をトリガーするには、Entra ID Connectサーバーで
Start-ADSyncSyncCycle -PolicyType Deltaを実行します(管理者権限が必要)。
3. よくある失敗パターンとその対処
オンプレミス属性の編集にはいくつかの落とし穴があります。以下に代表的な失敗例と対処法をまとめます。
| 失敗パターン | 原因 | 対処法 |
|---|---|---|
| クラウド側で変更したはずの属性が元に戻る | オンプレミスADのソース属性を変更していない、または同期の待ち時間 | オンプレミスADで該当属性を編集し、同期が完了するまで待つか手動で同期を実行 |
| 属性が同期されない、または間違った値が反映される | 属性マッピングが正しく構成されていない、またはOUフィルターで除外されている | Entra ID Connectの同期ルールを確認し、必要に応じてマッピングを修正 |
エクスチェンス属性(proxyAddresses)を編集したがクラウドに反映されない |
SMTPアドレスの形式が正しくない、または重複している | 形式が SMTP:user@domain.com(大文字のSMTPはプライマリ)であることを確認し、重複がないかチェック |
ADVERTISEMENT
4. 状況別の比較表:属性変更方法の違い
同期環境で属性を変更する際、どの方法を選ぶべきか迷うことがあります。以下の表で各方法の特徴を比較します。
| 変更方法 | 即時性 | 必要な権限 | 操作できる属性 | 注意点 |
|---|---|---|---|---|
| クラウド側(Entra ID管理センター) | 反映されない(同期で上書き) | テナント管理者 | 限定的(非同期属性のみ可能) | 同期済みユーザーの大半の属性は変更不可 |
| オンプレミスADUC | 次の同期後(最大30分) | ADドメイン管理者 | 基本属性のみ | 拡張属性は編集できない |
| ADSI Edit | 次の同期後 | ADドメイン管理者 | 全属性 | 誤操作のリスク大、バックアップ必須 |
| PowerShell | 次の同期後 | ADドメイン管理者 | 全属性 | スクリプトのミスに注意、テスト環境で検証推奨 |
5. 管理者へ確認すべきポイント
もし自分でオンプレミスADを編集できない場合や、変更しても反映されない場合は、管理者に以下の点を確認してください。
- 同期範囲(OUフィルター):ユーザーが所属するOUが同期対象に含まれているか。フィルターで除外されていると、いくらオンプレミスを変更してもクラウドに反映されません。
- 属性マッピングのカスタマイズ:Entra ID Connectの同期ルールで、特定の属性のマッピングが変更されている場合があります。デフォルトのマッピングで問題ないか確認しましょう。
- ソースアンカーの設定:通常は
objectGUIDかms-DS-ConsistencyGuidが使われます。これが正しく設定されていないと、ユーザーのリンクが切れる可能性があります。 - 削除の同期設定:オンプレミスでユーザーを削除した場合、Entra IDでも削除されるかどうか(論理削除か物理削除か)を確認しておきましょう。
6. よくある質問(FAQ)
Q1. クラウド側で変更できない属性はすべてオンプレミスで変更しなければならないのですか?
はい、同期に関与する属性(既定ではほとんどのユーザー属性)はオンプレミスがソースです。ただし、usageLocation や passwordPolicies など一部の属性はクラウド側でのみ変更可能なものもあります。これらの属性は同期の対象外か、特別な扱いを受けています。
Q2. オンプレミスADで属性を変更したのに、クラウドに反映されません。どうすればいいですか?
まず、変更した属性が同期対象であることを確認してください。次に、同期が実行されたかどうかをEntra ID Connectサーバーのイベントログや Get-ADSyncScheduler で確認します。それでも反映されない場合は、OUフィルターや属性マッピングが原因の可能性が高いので、管理者に問い合わせてください。
Q3. 間違ってオンプレミスADの属性を削除してしまいました。復元できますか?
可能です。Active Directoryのごみ箱が有効になっていれば、削除されたユーザーや属性を復元できます。または、以前のバックアップからActive Directoryをリストアする方法もあります。早急に管理者へ連絡し、対応を依頼してください。属性値のみの誤削除であれば、ADSI Editで手動追加も可能ですが、慎重に行う必要があります。
まとめ
同期済みユーザーの属性をクラウド側だけ修正しようとしても、オンプレミスADの値で上書きされるため無意味です。修正が必要な場合は、必ずオンプレミスADの該当属性を変更し、同期が完了するのを待つか手動で同期を実行してください。属性変更にはADUC、ADSI Edit、PowerShellのいずれかを使用しますが、権限とリスクを理解した上で作業を行うことが重要です。もし思い通りに反映されない場合は、OUフィルターや属性マッピングなど同期構成自体に問題がないか、管理者と一緒に切り分けを行いましょう。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築