Active Directoryを運用するうえで、OU名の変更やエンティティの再構成は、組織ブランディングや管理方針の変化に伴い必要になることがあります。本記事では、Microsoft Entra Connect (旧Azure AD Connect) との連携を想定した環境において、子OUの名称変更や同期設定の注意点などをわかりやすく解説します。
子OU名称変更が必要になる背景
組織運用の中で、OU (Organizational Unit) の名称を変更するケースは意外と多いものです。たとえば、
- 部署名変更や組織改編に伴うブランディングの見直し
- 新会社との合併や吸収によるディレクトリ統合
- プロジェクト単位でのOU再編成
などが挙げられます。
Active Directory上でOUを変更するときは、単純に名前を変えるだけではなく、関連するアクセス権やポリシー、そしてMicrosoft Entra Connect (Azure AD Connect) との同期設定への影響を考慮する必要があります。
OU名変更による管理面のメリット
OU名をよりわかりやすく改名することで、管理担当者が目的のOUを即座に特定しやすくなります。また、新組織名や新ブランディング戦略に沿った名称を反映することで、IT部門以外のエンドユーザーにも親切な命名ができるというメリットもあります。
命名規則の整備
OU名を変更する際には、「部署名+ロケーション」「部門コード+部署名」など、統一したルールを定めておくと運用効率が高まります。たとえばグローバル規模で展開している企業であれば、OU名に国コードや地域コードを含めることも考慮すると、今後の組織変更にも柔軟に対応できます。
同期対象外の子OUが同期される可能性はある?
「すでに同期対象にしていないOUの名称を変更した際、誤って同期されるようになるのでは?」という不安を感じる方は多いでしょう。結論からいうと、同期対象外に設定している子OUは、名称を変えただけでは自動的に同期対象になることはありません。
Azure AD ConnectのOUフィルタリングの仕組み
Microsoft Entra Connect (旧Azure AD Connect) には、同期するOUを絞り込むための「OUフィルタリング機能」が存在します。同期ウィザードやカスタム設定の画面で、「どのOUを同期するか」をチェックボックスやPowerShellコマンドで明示的に指定可能です。
例えば以下のように、Azure AD Connectのセットアップ時あるいは編集時に、ディレクトリツリーが表示され、チェックを付けたOUだけが同期対象になるというイメージです。
例:
- example.local
|- OU_A (✓)
| |- OU_A_Child1 (✓)
| |- OU_A_Child2 (✓)
|- OU_B (✓)
| |- OU_B_Child1 ( )
| |- OU_B_Child2 ( )
|- OU_C ( )
|- OU_C_Child1 ( )
|- OU_C_Child2 ( )上記のように OU_B_Child1 や OU_B_Child2 のチェックが外れていれば、どのような名称変更を行っても、その子OUは同期されないままです。名称変更は属性の変更であり、あらたに同期フラグをオンにするわけではありません。
意図せず同期対象になるケース
唯一、注意が必要なケースは、OU名を変更した後にAzure AD Connect 側で OUのチェックを入れ直す際や、管理コンソール側で新しい名前として認識されるOUを “新規” のOUと勘違いして同期対象に含めてしまうときです。
実際の運用でよくあるのは、「OUの名前が変わったから同期設定を見直そう」と言ったタイミングで、誤って不要なOUまでチェックしてしまうケースです。このように人的ミスが生じると、結果的に同期対象外だったOUが同期されるリスクが高まるため、管理画面での操作は慎重に行いましょう。
既存同期対象OUの名称変更に伴う注意点
次に、元々同期対象であるOUの名前を変更する場合に気を付けるポイントをまとめます。
Azure AD Connect 管理画面での再設定
OU名を変更すると、Azure AD Connectの「ディレクトリ名」「OU階層」の画面における表示が変わります。通常、OU名を変更しただけであればシステム的に内部IDがそのまま引き継がれることが多く、ただちに同期が停止するわけではありません。しかしながら、運用上は以下の確認が推奨されます。
- Azure AD Connect ウィザードでのフィルタリング設定
変更後のOU名が正しく表示されているか確認し、必要に応じて再チェックを行います。 - グループ ポリシー (GPO) との連携
OU単位で適用しているGPOのリンク先が正しく保たれているかを確認します。 - アカウントやセキュリティグループの参照範囲
OU名の変更に伴い、パスが変わることでスクリプトやアプリケーションで指定しているDN (Distinguished Name) が合わなくなる可能性があります。
ディレクトリ上の影響を最小限に抑える方法
OU名変更に伴う影響範囲は、Active Directory全体、さらには連携しているクラウドサービスやオンプレミスシステムにも及ぶ可能性があります。そこで影響を最小化するには、以下のような手順を踏むことが有効です。
- 変更時刻の明確化
業務が少ない時間帯やメンテナンスウィンドウを設定し、OU名の変更を実行します。 - 事前テスト
テスト用OUを作成し、名称変更後にAzure AD Connectの同期がどのように反映されるかチェックします。これにはテストアカウントやテスト用グループを用意し、本番に近い状態を再現すると効果的です。 - 管理者間の連携
変更作業を行うドメイン管理者、Azure AD Connectの管理者、セキュリティポリシー管理者などが共通の手順書を用いて作業を進め、変更後の確認を手分けして行うとトラブルを迅速に検知できます。
OUフィルタリングの再設定手順
実際にAzure AD ConnectでOUフィルタリングを再設定する流れについて、簡単に手順を紹介します。
- Azure AD Connect 同期サーバーにログイン
OUフィルタリングの設定は、Azure AD Connectをインストールしたサーバー上で行うのが基本です。 - Azure AD Connectのウィザードを起動
「Azure AD Connect」を検索して起動し、「構成の変更 (Configure)」画面へ進みます。 - 「フィルタリング (フィルタリングオプション)」を選択
既存の構成を編集する形で、OUの階層構造が表示される画面を開きます。 - 名称変更されたOUがリストに表示されているか確認
場合によっては、旧名OUと新名OUが別々に表示されるケースもあるため、両方が存在しないかチェックします。 - 適宜チェックを入れ直す
同期対象とするOUにはチェックを、同期対象外にするOUはチェックを外します。 - ウィザードを終了し、同期サイクルを実行
設定の保存後、強制的に同期を走らせたい場合は、PowerShellなどで「Start-ADSyncSyncCycle -PolicyType Delta」を実行するのも一案です。
PowerShellでのOUフィルタリング変更の例
GUIを使わずにスクリプトベースで操作する場合、以下のようなコマンドを利用します。
# 1. モジュールのインポート
Import-Module ADSync
# 2. 現在の構成を確認
Get-ADSyncGlobalSettings | Format-Table
# 3. OUフィルタリングの詳細確認
$ADSyncConnector = (Get-ADSyncConnector | Where-Object { $_.Name -like "*Active Directory Domain Services*" })
$config = Get-ADSyncConnectorPartitions -Connector $ADSyncConnector
# 4. フィルタリングオプションを編集
Set-ADSyncOrganizerPartition -Partition $config[0] -Enabled $true -Name "OU=新しいOU名,DC=example,DC=local"
# 5. 同期を強制実行
Start-ADSyncSyncCycle -PolicyType Deltaこのように、コマンドラインで構成を把握しながら、必要に応じてOUの有効/無効を切り替えることで、名称変更後の同期状態を制御できます。
Microsoft公式ドキュメントと参考資料
OU名変更やOUフィルタリングに関する公式ドキュメントは下記が参考になります。
- Azure AD Connect のフィルタリングの構成 (Microsoft公式ドキュメント・日本語版)
- Active Directoryの一般的なOU名変更手順 (Windows Server公式ドキュメント)
Microsoft公式ドキュメントでは、OUフィルタリング設定手順を画像付きでわかりやすく説明していますが、「OU名変更」に特化した記事はあまり充実していません。そのため、「OU名称変更の基本手順」「OUフィルタリングの構成手順」を組み合わせて理解する必要があります。
具体的な例:PowerShellによるOU情報確認
OU名の変更を行う前に、現行環境のOUリストや状態を確認しておくと、漏れなく作業が進められます。以下はPowerShellでActive Directory上のOUを一覧表示し、簡易的に確認する方法の例です。
# Active Directoryモジュールのインポート
Import-Module ActiveDirectory
# すべてのOUを取得し、名前とDistinguishedNameだけを表示
Get-ADOrganizationalUnit -Filter * | Select Name, DistinguishedName | Sort-Object Nameこのコマンドで表示されるOU一覧をExcelなどにエクスポートし、古い名前と新しい名前を対比しながら変更計画を立てるのがおすすめです。
OU名の対比表
OU名の変更前後で発生しやすい混乱を防ぐために、以下のような表を用意しておくと便利です。
| 現行OU名 | 変更後OU名 | 同期対象(予定) | 備考 |
|---|---|---|---|
| OU_Sales | OU_Sales_APAC | 有効 | APAC担当部署のため |
| OU_Development | OU_Dev_Tokyo | 無効 | 一時的に同期不要 |
| OU_Admin | OU_Admin_Global | 有効 | 本社部門の管理OU |
| OU_Temporary_2023 | OU_Temporary_2023_R | 無効 | 社内プロジェクト用 |
このように事前に整理することで、作業後の「どこが変わったのか」「同期対象がどう変化したのか」が一目瞭然になります。
運用上のベストプラクティス
OU名変更とMicrosoft Entra Connectによる同期環境を安定稼働させるためのベストプラクティスをまとめます。
1. テスト環境での事前検証
本番環境と似た構成のテストドメインあるいはテストOUを準備し、以下を確認します。
- OU名変更後、Azure AD ConnectでのOU表示がどう変わるか
- 同期スケジュール (Default 30分間隔程度) 内での反映タイミング
- エラーや警告がイベントログに出力されないか
2. メンテナンスウィンドウの確保
OU名の変更はディレクトリ全体に影響を及ぼす可能性があります。業務影響を最小化するためにも、メンテナンスウィンドウを設けて確実に作業を行うことが重要です。もし24時間365日稼働の組織であれば、事前の周知や運用部門との調整が欠かせません。
3. 同期後の動作確認とログ監視
OU名を変更し、Azure AD Connectの設定を更新してから、実際にクラウド側 (Microsoft 365 管理センターやEntra IDポータルなど) に反映されるかを確認しましょう。
- Azure AD Connect サーバーのApplicationログ
- Windows ServerイベントログのDirectory Serviceログ
- Azure AD ポータル上の監査ログ
などをチェックし、想定外のエラーや同期失敗がないかを監視することが大切です。
4. 運用ドキュメントの整備
OU名変更にまつわる手順、事前・事後チェックのポイント、スクリプト例などを社内マニュアル化しておくと、将来的に再び同様の変更が必要になったときにスムーズに対応できます。また、管理者が異動や退職をしても、ドキュメントがあればノウハウが引き継がれやすくなるでしょう。
まとめ
子OUの名称変更とMicrosoft Entra Connect(旧Azure AD Connect)の同期設定は、Active Directory環境の管理において非常に重要なポイントです。
- 同期対象外の子OUは、名称変更のみでは同期対象にならない
- 名称変更後もAzure AD ConnectのOUフィルタリング設定を再度確認し、同期対象が正しいかをチェックする必要がある
- 公式ドキュメントはOUフィルタリング設定が中心なので、OU名変更手順と組み合わせて理解を深めるのがおすすめ
これらを踏まえ、テスト環境や事前準備をしっかり行いつつ、本番環境への影響を最小限に抑えて運用していきましょう。
コメント