【Microsoft365】AzureADConnectでハマってみた

ユーザーの一括管理を目的としてAzureADConnect(以下、ADConnect)を利用してみました。

ADConnectの基本情報はこちら
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad-connect

詳細な設定方法はこちらのブログが参考になりました
https://mitsushima.work/archives/24960637.html

本ブログで想定する環境は、既にAzureActiveDirectory(以下、AzureAD)に登録済のユーザーをADConnectを利用して更新するというパターンです。

本環境の作業にて少しハマった点があるので、備忘録としてブログに残します。

ハマった点
----------
1点目:管理者ロールが付与されているユーザーを更新する事は出来ない
2点目:ADConnectを利用して連携したユーザーはAzureAD上では削除出来ない
----------
1点目は調査して解決しました。
2点目は少し対応に時間がかかりました。

ADConnectを利用してユーザー同期する場合、ActiveDirectory(以下、AD)ユーザーの電子メール(Mail) 属性を利用する事が多いと思います。
(代替のUPNサフィックスを利用するパターンもありますが)

ここで、ADユーザーの「電子メール(Mail) 属性入力し忘れ」or「値を間違えて入力」した場合、AzureAD上のユーザーを更新出来ずに、新規でユーザーが登録された状態になります。
AzureADに同じユーザーが重複して登録された状態です。

このミスに気付いた後、入力し忘れたから、改めて入力しなおそー
と思ってもダメなんです。

重複したユーザー(以下、間違いユーザー)はActiveDirectoryとAzureADでIDの紐付けがされている為、
AzureADユーザーの属性を正しく修正してADConnectを再実行しても、間違いユーザーの情報を更新しようとします。

ありゃ困った。
どうしよう、、、

しかも、AzureADから間違いユーザーを削除出来ない。

八方塞がりな訳です。。。

ADConnectを用いた同期環境の場合、ユーザー管理の素はADになります。
つまり、ADからユーザーを削除する必要があります。

って、そんな事出来ませんよね。

結果として、間違いユーザーを、ADConnectの同期対象OUから同期対象外のOUに移動する必要があります。

移動した状態でADConnectで同期すると、ActiveDirectoryには間違いユーザーが存在しないと判断するので、AzureADの間違いユーザーは削除されます。
再度、この状態で間違いユーザーを同期対象のOUに戻してADConnectで同期します。
これで、AzureADの重複は無くなり、想定の同期が完了します。

ご認識の通り、一度OUから外す形になりますのでファイルサーバー等のOUで権限を付与しているシステムへの影響があるので、本来であればやりたくない作業ですよね。。。

というわけで、既にAzureADに存在するユーザーの更新には、十分に気を付けて実施しましょう！