Azure AD Connectの同期機能はオンプレミス環境とMicrosoft Entra(Azure AD)を結び付け、クラウドとオンプレミスのアカウント管理を円滑にする重要な役割を担います。しかし、特定のOUやコンピュータオブジェクトが同期されずに苦戦するケースも少なくありません。本記事では、設定ポイントやトラブルシューティング手順を中心に詳しく解説します。
Azure AD Connectの概要
Azure AD Connectは、オンプレミスのActive Directory(AD)とMicrosoft Entra(Azure AD)を連携させるためのサービスです。ドメインコントローラー上のユーザー、グループ、コンピュータなどのオブジェクト情報をクラウドに複製し、シームレスなハイブリッド環境を構築できます。
多くの企業や組織では、シングルサインオン(SSO)やハイブリッドAzure AD参加といった機能を利用するため、Azure AD Connectが欠かせない存在となっています。
基本的な機能
- ディレクトリ同期: オンプレミスのAD上のオブジェクト(ユーザー、グループ、コンピュータなど)をMicrosoft Entra(Azure AD)に複製します。
- パススルー認証またはフェデレーション: ユーザーの認証をオンプレミスで行うか、クラウドで行うかなど、運用形態に応じて選択できます。
- ハイブリッドAzure AD参加: Windows 10/11などのクライアントPCをオンプレミスとクラウドの両方の管理下に置けます。
OU同期の仕組みと基本設定
オンプレミスのActive Directoryには、「組織単位(OU)」という論理的なコンテナがあり、ユーザーやコンピュータ、グループポリシーなどをまとめて管理する単位として利用されます。Azure AD Connectを導入する際、どのOUを同期対象に含めるか事前に計画し、Azure AD Connectの設定ウィザードで指定することが重要です。
OUフィルター設定の手順例
OUフィルターの指定は、Azure AD Connectのインストールウィザードまたは設定の再構成ウィザードから行えます。
- Azure AD Connectを起動
既にセットアップ済みの環境なら、Azure AD Connectを実行して「カスタムインストールの変更」または「設定の再構成」を選択します。 - 「同期オプション」画面でOUの選択
シンプルな構成では、同期させたいOUにチェックを入れるだけで設定できます。 - 変更を保存して同期サイクルを実行
設定後、フル同期を実施すると、指定したOUのオブジェクトがAzure ADに反映されます。
設定内容を見直すポイント
- フィルター画面で思い込みによるチェックミスがないか。
- コンピュータオブジェクトを置いているOUが間違っていないか。
- OUのネスト(親OUの下にある子OU)も含めて、正しく同期範囲に含まれているかどうか。
トラブル事例:OUが同期されない場合
実際の運用で多いのが「選択したはずのOUが同期されない」という問題です。特にコンピュータオブジェクトなどがAzure ADに反映されず、ハイブリッドAzure AD参加やIntuneによる管理がうまく動作しないケースがあります。ここでは、代表的な原因と対策を詳しく見ていきましょう。
原因1: OUフィルター設定の不備
多くの場合、単純なOUフィルターの設定ミスが原因となります。チェックを付け忘れたり、別のOUを誤って指定しているケースが少なくありません。
- 改善策: Azure AD Connectの設定画面を再度確認し、OUレベルまで丁寧にチェックします。必要なOUが正しく選択されていなければ、設定を変更してフル同期を行ってください。
原因2: 同期ルールのカスタマイズ不備
Azure AD Connectには「Synchronization Rules Editor」が用意されており、デフォルトの同期ルールを上書き・拡張・制限することが可能です。意図せずにコンピュータオブジェクトや特定のOUを除外するカスタムルールがあると、同期されない問題が起こり得ます。
- 改善策: Synchronization Rules Editorを開き、適用されているルールを精査しましょう。カスタムルールの条件でOUやオブジェクトクラス(Computer、Userなど)が除外されていないかを確認してください。
原因3: ネットワークや権限の問題
Azure AD Connectはドメインコントローラーにアクセスし、AD内のオブジェクトを読み取る必要があります。アクセス許可が限定されていたり、ネットワーク的にドメインコントローラーと通信できない場合、同期対象を正常に取得できない恐れがあります。
- 改善策:
- ドメインコントローラーへの通信可否: ネットワーク経路上での遮断がないか、Firewallの設定などを確認します。
- アカウント権限: Azure AD Connectを実行しているアカウント(「AD DS Connector Account」やカスタムアカウント)が、Active Directoryの「読み取り」権限を十分に持っているかを再確認します。
原因4: 同期ログにエラーメッセージが出ている
Azure AD Connectのイベントログ(イベントビューアー)やSynchronization Service Managerから詳細な同期状況を調べられます。例えば、特定OUやオブジェクトが「除外された」「競合があった」などのエラー/警告が記録されるケースがあります。
- 改善策: イベントログやSynchronization Service ManagerのOperationsタブを確認し、どの段階でスキップされたのか把握しましょう。エラーコードやメッセージで原因のヒントが得られます。
原因5: フル同期未実施または同期サイクルのズレ
設定変更後にフル同期(Initial Sync)を実施していない場合や、増分同期(Delta Sync)だけで反映を待っている場合、すぐにOUやオブジェクトが反映されない可能性があります。
- 改善策:
- PowerShellでのフル同期:
powershell Start-ADSyncSyncCycle -PolicyType Initial
上記コマンドを実行するとフル同期を強制できます。 - 同期サイクルが有効かチェック: デフォルトでは30分ごとに自動実行されますが、サービスが停止していないかも確認してください。
コンピュータオブジェクトが同期されない原因と対策
ユーザーアカウントは同期されても、コンピュータが反映されないケースは少なくありません。特にWindows 10/11クライアントをハイブリッドAzure AD参加させようとした際に、デバイスの状態がAzureポータルで「準備完了」にならず苦慮することがあります。
ハイブリッドAzure AD参加の重複問題
すでにMicrosoft Entra(Azure AD)側で手動登録またはIntune登録されており、同じデバイス名が重複している場合、同期が衝突を検知してオブジェクトをスキップすることがあります。
- 対処方法:
- 重複しているデバイスを特定: Azureポータルの「デバイス」一覧を確認し、同じホスト名のマシンがないか探します。
- 不要なデバイスを削除: 使わなくなったデバイスや重複エントリを削除し、クリーンな状態にします。
- 再同期を実行: フル同期または増分同期を実施して、オブジェクトの競合を解消します。
重複問題を解消する手順
- Azureポータルでデバイスの重複を確認
- Microsoft Entra(Azure AD)内の「デバイス」タブにアクセスし、ハイブリッドAzure AD参加やAzure AD参加状態のリストを参照。
- 重複オブジェクトの削除
- 重複しているデバイスのRegistration IDやRegistered Ownerを比較し、本来必要のないオブジェクトを削除。
- オンプレミスのADオブジェクト確認
- AD管理ツール(Active Directoryユーザーとコンピュータなど)で該当のコンピュータオブジェクトが存在するOUを再度チェック。
- 再同期を実施
- 不要なオブジェクトを取り除いたら、Azure AD Connectでフル同期を行い、コンピュータオブジェクトが正しく登録されるかを確認。
IDFixが問題を検出しない場合
IDFixはオンプレミスのAD属性をスキャンし、Azure ADに同期させる際に生じる可能性のある不備(属性値の重複、フォーマット不正など)を検出するツールです。ただし、OUフィルターや同期ルールのカスタム設定ミスはIDFixのスコープ外であるため、これらの問題は検出されません。
| 種類 | IDFixで検出可能な例 | IDFixで検出できない例 |
|---|---|---|
| 属性の不整合 | メールアドレスの重複、UPNのフォーマット不正 | OUフィルターの設定ミス、同期ルールの除外条件 |
| 同期における設定面 | なし | フィルターの選択ミス、権限不足、重複オブジェクト |
このため、IDFixで問題が検出されない場合でもOU自体の設定や同期ルールの指定ミスが残っている可能性があります。
トラブルシューティングの全体的な流れ
OUが同期されない原因は複数考えられますが、ひとつずつ切り分けることが大切です。以下は一般的なトラブルシュートの流れです。
- OUフィルターの再確認
- Azure AD Connectの設定ウィザードで同期対象にしたいOUにチェックが入っているか。
- OUのネスト構造を含めて、想定外のフィルターがかかっていないか。
- 同期ルールのチェック
- Synchronization Rules Editorで、該当OUやコンピュータオブジェクトを除外するカスタムルールがないか確認。
- デフォルトのルールを意図せず編集していないかも要注意。
- 権限とネットワーク
- Azure AD Connect実行アカウントのドメインコントローラーへの読み取り権限を再チェック。
- FirewallやVPNなどでドメインコントローラーにアクセスがブロックされていないか。
- ログの精査
- イベントビューアー(「Application and Services Logs」→「Directory Synchronization」など)やSynchronization Service Managerで同期ログを確認。
- スキップやエラーの記録があれば、そのIDやメッセージをもとに原因を追究。
- フル同期の強制
- 設定変更を反映するにはフル同期が必要な場合がある。
- PowerShellコマンド「Start-ADSyncSyncCycle -PolicyType Initial」で手動実行。
- ハイブリッドAzure AD参加の衝突を除去
- Azureポータル内のデバイス一覧で重複をチェックし、不要なオブジェクトをクリーンアップ。
PowerShellを活用した同期確認の例
PowerShellを使うと、Azure AD Connectの同期状態を素早く確認・制御できます。以下に代表的なコマンド例を示します。
# 同期サイクルの現在の状態を確認
Get-ADSyncScheduler
# フル同期を開始
Start-ADSyncSyncCycle -PolicyType Initial
# 増分同期を開始
Start-ADSyncSyncCycle -PolicyType Delta
# Synchronization Rules Editorを開く
cd "C:\Program Files\Microsoft Azure AD Sync\bin"
.\SynchronizationRulesEditor.exe- Get-ADSyncScheduler
現在の同期スケジュール(次回同期の予定時刻やポリシー種別)を確認可能です。 - Start-ADSyncSyncCycle
-PolicyTypeにInitialを指定すればフル同期、Deltaを指定すれば増分同期を実行できます。頻繁にOUを見直す場合はフル同期でのリフレッシュが有効です。
運用のベストプラクティス
安定した運用を続けるためには、定期的な監視とメンテナンスが欠かせません。以下はおすすめのベストプラクティスです。
- 変更管理の徹底
- OU構造を変更したり、新たなOUを追加したらAzure AD Connectの設定に追従させる。
- 同期ルールをカスタマイズする場合は、事前にテスト環境で検証してから本番へ反映。
- ログモニタリング
- イベントビューアーやSynchronization Service Managerを定期的にチェックし、警告やエラーの有無を確認。
- 自動監視ツールやアラートの設定を行い、トラブルを早期に察知できる仕組みを整える。
- Azureポータル上でのデバイス管理
- ハイブリッドAzure AD参加デバイスが正しく登録されているか随時チェック。
- 重複デバイスや期限切れのデバイスがないように、不要なオブジェクトをこまめに削除。
- ドキュメンテーションの整備
- OUの構造やAzure AD Connectの設定内容、変更履歴などをドキュメント化する。
- 運用担当者が変わってもスムーズに引き継げるよう、設定情報を共有しておく。
まとめ
Azure AD ConnectでOUやコンピュータオブジェクトが同期されない場合、単なるOUフィルターのチェック漏れから、カスタムルールの除外設定、ハイブリッドAzure AD参加デバイスの重複など、多岐にわたる原因が考えられます。最初に「OUフィルター」や「Synchronization Rules Editor」の設定を確認し、続いて「権限」や「同期ログ」を精査する流れで原因を切り分けましょう。
また、IDFixで問題が検出されないからといって安心せず、設定の見落としがないか丁寧に確認することが重要です。フル同期の実施やネットワーク経路のチェックも忘れずに行い、安定したハイブリッド環境を実現しましょう。
コメント