Microsoft Entra の同期中のエラーについて
Windows Server Active Directory から Microsoft Entra ID に ID データが同期されるとき、エラーが発生する可能性があります。 この記事では、さまざまな種類の同期エラーの概要、これらのエラーの原因となる可能性がある一部のシナリオ、エラーを修正する有効な方法について説明します。 この記事では、一般的な種類のエラーを取り上げます。発生する可能性があるすべてのエラーは取り上げません。
この記事は、読者に Microsoft Entra ID と Microsoft Entra Connect の設計概念に関する基礎知識があることを前提としています。
重要
この記事では、最も一般的な同期エラーへの対処を試みます。 残念ながら、1 つのドキュメントですべてのシナリオを扱うことはできません。 詳しいトラブルシューティングの手順などについて詳しくは、Microsoft Entra トラブルシューティング ドキュメントの「Microsoft Entra Connect オブジェクトおよび属性のエンドツーエンド トラブルシューティング」および「ユーザー プロビジョニングと同期」セクションを参照してください。
Microsoft Entra Connect の最新バージョン (2016 年 8 月以降) では、同期エラー レポートは、Microsoft Entra 管理センターで Microsoft Entra Connect Health for Sync の一部として利用できます。
2016 年 9 月 1 日以降、"新しい" すべての Microsoft Entra テナントで Microsoft Entra ID の重複属性の回復性が既定で有効になります。 この機能は、既存のテナントに対して自動的に有効になります。
Microsoft Entra Connect は、同期を保つディレクトリに対して 3 種類の操作 (インポート、同期、エクスポート) を実行します。 3 つすべての操作でエラーが発生する可能性があります。 この記事では、主に Microsoft Entra ID へのエクスポート中のエラーについて説明します。
Microsoft Entra ID へのエクスポート中のエラー
次のセクションでは、Microsoft Entra コネクタを使用して Microsoft Entra ID にエクスポート操作を行うときに発生する可能性のある、さまざまな種類の同期エラーについて説明します。 このコネクタは、contoso.onmicrosoft.com という形式の名前により識別できます。 Microsoft Entra ID へのエクスポート中のエラーは、Microsoft Entra Connect (同期エンジン) が Microsoft Entra ID に対して試行した操作 (追加、更新、削除など) が失敗したことを示します。
データの不一致エラー
このセクションでは、データの不一致エラーについて説明します。
InvalidHardMatch
説明
同期中に InvalidHardMatch エラーが発生するのは、Microsoft Entra ID に存在するオブジェクトと、同じ sourceAnchor 値を持つ新しい受け取ったオブジェクトとの完全一致を試行したが、テナントで BlockCloudObjectTakeoverThroughHardMatchEnabled 機能が有効になっていた場合です。
InvalidHardMatch エラーのシナリオの例
- テナントで DirSync が再び有効になり、同じ sourceAnchor を持つオブジェクトが再び同期されますが、BlockCloudObjectTakeoverThroughHardMatchEnabled 機能が有効になっているため、完全一致はブロックされます。
- ユーザーが同期スコープから除外され、Microsoft Entra ID のごみ箱から復元されました。 その後、そのユーザーは再び同期スコープに追加され、同じ sourceAnchor 値に基づいて Microsoft Entra ID に既に存在しているオブジェクトの引き継ぎを試みますが、BlockCloudObjectTakeoverThroughHardMatchEnabled 機能が有効になっているため、完全一致はブロックされます。
事例
- Bob Smith は、オンプレミス Active Directory の contoso.com から同期された、Microsoft Entra ID のユーザーです。
- 既定では、"abcdefghijklmnopqrstuv==" の SourceAnchor 値は、Microsoft Entra Connect によって、オンプレミス Active Directory から Bob Smith の MsDs-ConsistencyGUID 属性 (または構成に応じて ObjectGUID) を使用して計算されます。 この属性の値は、Microsoft Entra ID 内の Bob Smith の immutableId です。
- 管理者が Bob Smith を同期スコープから削除し、Microsoft Entra Connect によってオブジェクトの削除がエクスポートされます。
- Bob Smith のオブジェクトは Microsoft Entra ID で論理的に削除された状態になり、その DirSyncEnabled 属性は False に切り替わります。 ただし、このプロセスによってオブジェクトがクラウド マネージドに変換されるわけではなく、引き続きオンプレミスの Active Directory から同期されたオブジェクトと見なされます。 DirSyncEnabled 値は False であるため、現在は同期スコープ外であり、再び一致可能であることを示しています。
- 管理者が Bob Smith を同期スコープに再び追加し、Microsoft Entra Connect によってオブジェクトが再び同期されます。
- 通常、完全一致では、同じ SourceAnchor に基づいて Microsoft Entra ID に存在するオブジェクトを引き継ぎ、DirSyncEnabled 属性を 'True' に戻しますが、BlockCloudObjectTakeoverThroughHardMatchEnabled が有効になっているとこの操作は許可されず、InvalidHardMatch がスローされます。
InvalidHardMatch エラーを修正する
Microsoft Entra ID に存在するアカウントを引き継ぐ必要がない限りは、BlockCloudObjectTakeoverThroughHardMatchEnabled を有効にすることをお勧めします。
InvalidHardtMatch エラーをクリアし、アカウントを正常に一致させる必要がある場合は、「完全一致とあいまい一致」の説明に従って再び完全一致を有効にすることができます。
InvalidSoftMatch
説明
- InvalidSoftMatch エラーが発生するのは、完全一致で一致するオブジェクトが見つからず、"かつ" あいまい一致で一致するオブジェクトが見つかったが、そのオブジェクトの immutableId 値が、受け取ったオブジェクトの sourceAnchor 属性と異なっている場合です。 この不一致は、一致するオブジェクトが、オンプレミスの Active Directory の別のオブジェクトから同期されたことを示します。
あいまい一致を機能させるには、あいまい一致の対象となるオブジェクトの immutableId 属性に値が設定されていない必要があります。 操作で InvalidSoftMatch 同期エラーが発生するのは、immutableId 属性に値が設定されているオブジェクトの完全一致が失敗したが、あいまい一致の条件は満たしていた場合です。
Microsoft Entra スキーマでは、複数のオブジェクトが、次の属性に対して同じ値を持つことは許可されていません。 この一覧はすべてを網羅したものではありません。
- proxyAddresses
- userPrincipalName
- onPremisesSecurityIdentifier
- objectId
- immutableId
Microsoft Entra 属性の重複属性の回復性](how-to-connect-syncservice-duplicate-attribute-resiliency.md) は、Microsoft Entra ID の既定の動作としてもロールアウトされています。 この機能により、Microsoft Entra Connect およびその他の同期クライアントによって検出される同期エラーの数が減少します。 これにより、Microsoft Entra は、オンプレミス Active Directory 環境に存在する重複した proxyAddresses および userPrincipalName 属性を処理する点で回復性が向上します。
この機能では重複エラーは修正されません。そのため、データを修正する必要があります。 ただし、新しいオブジェクトのプロビジョニングは許可されます。この機能がない場合には、Microsoft Entra ID に重複値があるとプロビジョニングはブロックされます。 この機能により、同期クライアントに返される同期エラーの数も減少します。
Note
テナントに対して Microsoft Entra 属性の重複属性の回復性が有効になっている場合、新しいオブジェクトのプロビジョニング中に検出される InvalidSoftMatch 同期エラーは表示されません。
InvalidSoftMatch エラーのシナリオの例
- proxyAddresses 属性の値が同じ複数のオブジェクトがオンプレミス Active Directory に存在するとします。 1 つだけが Microsoft Entra ID でプロビジョニングされます。
- userPrincipalName 属性の値が同じ複数のオブジェクトがオンプレミス Active Directory に存在するとします。 1 つだけが Microsoft Entra ID でプロビジョニングされます。
- 1 つのオブジェクトがオンプレミス Active Directory に追加され、その proxyAddresses 属性の値が、Microsoft Entra ID 内の既存のオブジェクトのものと同じだとします。 オンプレミスに追加されたオブジェクトは、Microsoft Entra ID でプロビジョニングされません。
- 1 つのオブジェクトがオンプレミス Active Directory に追加され、その userPrincipalName 属性の値が Microsoft Entra ID 内のアカウントのものと同じだとします。 このオブジェクトは、Microsoft Entra ID でプロビジョニングされません。
- 同期されたアカウントがフォレスト A からフォレスト B に移動されました。Microsoft Entra Connect (同期エンジン) は objectGUID 属性を使用して、sourceAnchor 属性を計算しました。 フォレストの移動の後、sourceAnchor 属性の値は異なります。 フォレスト B の新しいオブジェクトは、Microsoft Entra ID 内の既存のオブジェクトと同期できません。
- 同期対象のオブジェクトがオンプレミス Active Directory から誤って削除されたとします。その後、Microsoft Entra ID でアカウントを削除せずに、同じエンティティ (ユーザーなど) の新しいオブジェクトが Active Directory で作成されたとします。 新しいアカウントは、既存の Microsoft Entra オブジェクトと同期できません。
- Microsoft Entra Connect がアンインストールされ、再インストールされました。 再インストール時に、sourceAnchor 属性として別の属性が選択されたとします。 InvalidSoftMatch エラーにより、以前同期されていたすべてのオブジェクトの同期が停止します。
事例
- Bob Smith は、オンプレミス Active Directory の contoso.com から同期された、Microsoft Entra ID のユーザーです。
- Bob Smith のユーザー プリンシパル名は bobs@contoso.com として設定されています。
- Microsoft Entra Connect により、オンプレミス Active Directory にある Bob Smith の objectGUID 属性を使用して、sourceAnchor 属性として "abcdefghijklmnopqrstuv==" が計算されます。 この属性は、Microsoft Entra ID 内の Bob Smith の immutableId 属性です。
- また Bob の proxyAddresses 属性として、次の値があります。
- smtp: bobs@contoso.com
- smtp: bob.smith@contoso.com
- smtp: bob@contoso.com
- 新しいユーザーである Bob Taylor がオンプレミス Active Directory に追加されます。
- Bob Taylor のユーザー プリンシパル名は bobt@contoso.com として設定されます。
- Microsoft Entra Connect により、オンプレミス Active Directory にある Bob Taylor の objectGUID 属性を使用して、sourceAnchor 属性として "abcdefghijkl0123456789==" が計算されます。
- Bob Taylor の proxyAddresses 属性として、次の値があります。
- smtp: bobt@contoso.com
- smtp: bob.taylor@contoso.com
- smtp: bob@contoso.com
- 同期中、Microsoft Entra Connect はオンプレミス Active Directory への Bob Taylor の追加を認識し、同じ変更を行うように Microsoft Entra ID に依頼します。
- Microsoft Entra は、最初に完全一致を実行します。 つまり、immutableId 属性が "abcdefghijkl0123456789==" と等しいオブジェクトを検索します。 Microsoft Entra ID 内の他のオブジェクトは、その immutableId 属性を持っていないため、完全一致は失敗します。
- 次に Microsoft Entra ID は、Bob Taylor を見つけるためにあいまい一致を実行します。 つまり、検索を行い、proxyAddresses 属性が、smtp: bob@contoso.com など、3 つの値と等しいオブジェクトがあるかどうか確認します。
- Microsoft Entra ID は、あいまい一致の条件に一致する Bob Smith のオブジェクトを見つけます。 ただし、このオブジェクトには immutableId = "abcdefghijklmnopqrstuv==" という値があります。これは、このオブジェクトが、オンプレミス Active Directory 内の別のオブジェクトと同期していることを示します。 Microsoft Entra ID は、これらのオブジェクトをあいまい一致させることができないため、InvalidSoftMatch 同期エラーがスローされます。
InvalidSoftMatch エラーを修正する
InvalidSoftMatch エラーの最も一般的な原因は、2 つのオブジェクトで sourceAnchor (immutableId) 属性が異なっており、一方で proxyAddresses 属性または userPrincipalName 属性の値が同じであることです。これらの属性は、Microsoft Entra ID であいまい一致プロセス中に使用されます。 InvalidSoftMatch エラーを修正するには:
- エラーの原因となった、重複する proxyAddresses 属性、userPrincipalName 属性、または他の属性の値を特定します。 また、この競合に関連している 2 つ以上のオブジェクトを特定します。 Microsoft Entra Connect Health for Sync によって生成されるレポートが、2 つのオブジェクトを特定するために役立ちます。
- 重複した値をそのまま使用するオブジェクトと、使用すべきでないオブジェクトを特定します。
- 重複する値を、その値を "持っていてはならない" オブジェクトから削除します。 そのオブジェクトの供給元のディレクトリで、この変更を行います。 場合によっては、競合しているオブジェクトの 1 つを削除する必要があります。
- オンプレミス Active Directory で変更を行った場合は、Microsoft Entra Connect で変更を同期します。
Microsoft Entra Connect Health for Sync の同期エラーレポートは 30 分ごとに更新され、最新の同期試行のエラーが含まれます。
Note
ImmutableId 属性は、定義上、オブジェクトの有効期間中は変更してはなりません。 ただし、前述のリストのシナリオを念頭に置いて Microsoft Entra Connect が構成されていない場合があります。 その場合、Microsoft Entra Connect は、同じエンティティ (同じユーザー、グループ、または連絡先。継続使用する既存の Microsoft Entra オブジェクトが含まれる) を表す Active Directory オブジェクトの sourceAnchor 属性について、異なる値を計算する可能性があります。
関連記事
Microsoft 365 でのディレクトリ同期を妨げる重複または無効な属性に関する記事
ObjectTypeMismatch
説明
Microsoft Entra ID が 2 つのオブジェクトのあいまい一致を試行するとき、"オブジェクトの種類" (ユーザー、グループ、連絡先など) が異なる 2 つのオブジェクトで、あいまい一致の実行に使用される属性の値が同一である場合があります。 これらの属性の重複は Microsoft Entra ID では許可されないため、この操作では ObjectTypeMismatch 同期エラーが発生します。
ObjectTypeMismatch エラーのシナリオ例
メール対応セキュリティ グループが Microsoft 365 で作成されます。 管理者は、proxyAddresses 属性の値が Microsoft 365 グループと同じ新しいユーザーまたは連絡先をオンプレミス Active Directory に追加します (まだ Microsoft Entra ID に同期されていません)。
事例
- 管理者が、税部門のために新しいメール対応セキュリティ グループを Microsoft 365 で作成し、電子メール アドレスを tax@contoso.com と設定します。 このグループには、proxyAddresses 属性値として smtp: tax@contoso.com が割り当てられます。
- 新しいユーザーが Contoso.com に加わり、そのユーザーのアカウントがオンプレミスで proxyAddresses 属性が smtp: tax@contoso.com として作成されます。
- Microsoft Entra Connect が新しいユーザー アカウントを同期すると、ObjectTypeMismatch エラーが発生します。
ObjectTypeMismatch エラーを修正する
ObjectTypeMismatch エラーの最も一般的な原因は、異なる種類 (ユーザー、グループ、連絡先など) の 2 つのオブジェクトの proxyAddresses 属性の値が同じであることです。 ObjectTypeMismatch エラーを修正するには:
- エラーの原因となっている、重複する proxyAddresses 属性 (または他の属性) の値を特定します。 また、この競合に関連している 2 つ以上のオブジェクトを特定します。 Microsoft Entra Connect Health for Sync によって生成されるレポートが、2 つのオブジェクトを特定するために役立ちます。
- 重複した値をそのまま使用するオブジェクトと、使用すべきでないオブジェクトを特定します。
- 重複する値を、その値を "持っていてはならない" オブジェクトから削除します。 そのオブジェクトの供給元のディレクトリで、この変更を行います。 場合によっては、競合しているオブジェクトの 1 つを削除する必要があります。
- オンプレミス AD で変更を行った場合は、Microsoft Entra Connect で変更を同期します。 Microsoft Entra Connect Health for Sync の同期エラー レポートは 30 分ごとに更新されます。 このレポートには、最新の同期試行でのエラーが含まれます。
重複する属性
このセクションでは、重複する属性のエラーについて説明します。
AttributeValueMustBeUnique
説明
Microsoft Entra スキーマでは、複数のオブジェクトが、次の属性に対して同じ値を持つことは許可されていません。 Microsoft Entra ID の各オブジェクトは、これらの属性について常に一意の値を持つように強制されます。
- proxyAddresses
- signInName
- userPrincipalName
Microsoft Entra Connect が新しいオブジェクトの追加または既存のオブジェクトの更新を試行したときに、前述の属性の値が Microsoft Entra ID 内の別のオブジェクトに既に割り当てられている場合、この操作では AttributeValueMustBeUnique 同期エラーが発生します。
考えられるシナリオ
重複する値が、既に同期済みのオブジェクトに割り当てられます。これによって、別の同期オブジェクトとの競合が発生します。
事例
- Bob Smith は、オンプレミス Active Directory の contoso.com から同期された、Microsoft Entra ID のユーザーです。
- Bob Smith のオンプレミスでのユーザー プリンシパル名は bobs@contoso.com として設定されています。
- また Bob の proxyAddresses 属性として、次の値があります。
- smtp: bobs@contoso.com
- smtp: bob.smith@contoso.com
- smtp: bob@contoso.com
- 新しいユーザーである Bob Taylor がオンプレミス Active Directory に追加されます。
- Bob Taylor のユーザー プリンシパル名は bobt@contoso.com として設定されます。
- Bob Taylor の proxyAddresses 属性として、次の値があります。
- smtp: bobt@contoso.com
- smtp: bob.taylor@contoso.com
- Bob Taylor のオブジェクトは Microsoft Entra ID と正常に同期されます。
- 管理者が Bob Taylor の proxyAddresses 属性を次の値で更新することにしました。
- smtp: bob@contoso.com
- Microsoft Entra ID は、Microsoft Entra ID 内の Bob Taylor のオブジェクトを前述の値で更新しようとしますが、この proxyAddresses 値は Bob Smith に既に割り当てられているため、この操作は失敗します。 その結果、AttributeValueMustBeUnique エラーが発生します。
AttributeValueMustBeUnique エラーを修正する
AttributeValueMustBeUnique エラーの最も一般的な原因は、2 つのオブジェクトで sourceAnchor (immutableId) 属性が異なっており、一方で proxyAddresses 属性または userPrincipalName 属性の値が同じであることです。 AttributeValueMustBeUnique エラーを修正するには:
- エラーの原因となった、重複する proxyAddresses 属性、userPrincipalName 属性、または他の属性の値を特定します。 また、この競合に関連している 2 つ以上のオブジェクトを特定します。 Microsoft Entra Connect Health for Sync によって生成されるレポートが、2 つのオブジェクトを特定するために役立ちます。
- 重複した値をそのまま使用するオブジェクトと、使用すべきでないオブジェクトを特定します。
- 重複する値を、その値を "持っていてはならない" オブジェクトから削除します。 そのオブジェクトの供給元のディレクトリで、この変更を行います。 場合によっては、競合しているオブジェクトの 1 つを削除する必要があります。
- オンプレミス Active Directory で変更を行った場合は、エラーを修正するために Microsoft Entra Connect で変更を同期します。
関連記事
Microsoft 365 でのディレクトリ同期を妨げる重複または無効な属性に関する記事
データ検証の失敗
このセクションでは、データ検証の失敗について説明します。
IdentityDataValidationFailed
説明
Microsoft Entra ID は、データそのものにさまざまな制約を適用した上で、ディレクトリへのデータの書き込みを許可します。 これらの制限は、そのようなデータに依存するアプリケーションをエンド ユーザーが使用する際に、最善のエクスペリエンスを提供するためです。
シナリオ
- userPrincipalName 属性値に無効な文字またはサポートされていない文字が含まれています。
- userPrincipalName 属性が必要な形式ではありません。
前述のシナリオの結果、IdentityDataValidationFailed エラーが発生します。
IdentityDataValidationFailed エラーを修正する
userPrincipalName 属性に、サポートされている文字が含まれていて、かつ必要な形式であることを確認します。
関連記事
Microsoft 365 へのディレクトリ同期を通してユーザーをプロビジョニングするための準備
削除アクセス違反およびパスワード アクセス違反エラー
Microsoft Entra ID は、クラウド専用オブジェクトが Microsoft Entra Connect から更新されないように保護します。 これらのオブジェクトを Microsoft Entra Connect から更新することはできませんが、Microsoft Entra のバックエンドを直接呼び出して、クラウド専用オブジェクトの変更を試みることはできます。 これを行う際は、次のエラーが返されることがあります。
- This synchronization operation, Delete, isn't valid. (この同期操作 (削除) は無効です。) テクニカル サポート (エラーの種類 114) にお問い合わせください。
- Unable to process this update because one or more cloud-only users' credential update is included in the current request. (1 つ以上のクラウド専用ユーザーの資格情報の更新が現在の要求に含まれているため、この更新を処理できません。)
- Deleting a cloud-only object isn't supported. (クラウド専用オブジェクトの削除はサポートされていません。) Microsoft カスタマー サポートに問い合わせてください。
- The password change request can't be executed because it contains changes to one or more cloud-only user objects, which aren't supported. (1 つ以上のクラウド専用ユーザー オブジェクトに対する変更が含まれているため、パスワード変更要求を実行できません。これはサポートされていません。) Microsoft カスタマー サポートに問い合わせてください。
DeletingCloudOnlyObjectNotAllowed (エラーの種類 114) を解決する
このセクションでは、エラー DeletingCloudOnlyObjectNotAllowed (エラーの種類 114) の考えられる原因と解決策について説明します。
Microsoft は、組織が全体管理者ロールが永続的に割り当てられる 2 つのクラウド専用緊急アクセス アカウントを作成することを推奨しています。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 これらのアカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされたという緊急または "break glass" のシナリオに限定されます。これらのアカウントは、緊急アクセス アカウントに関する推奨事項に従って作成する必要があります。
説明
これは、顧客がハイブリッドからクラウド専用に移行する場合のシナリオです。 管理者は、Microsoft Entra Connect への呼び出しを開始してユーザーをスコープ外に移動しようとしましたが、Microsoft Entra Connect から次のエラー DeletingCloudOnlyObjectNotAllowed (または種類 114 のエラー) が返されました。"This synchronization operation, Delete, isn't valid. (「この同期操作 (削除) は無効です。」) テクニカル サポートに問い合わせてください。
このエラーでは以下の原因が考えられます。
- Microsoft Entra Connect からの呼び出しに、UPN、新しい GUID または一意の GUID、またはその他の必要な情報がありません。
- Microsoft Entra Connect はデータをエクスポートしようとしましたが、
DirSyncEnabled
が False に設定されています。 - Microsoft Entra Connect が、復元されたユーザーまたはその他のオブジェクトを削除しようとしています。 これは通常、ユーザーまたはその他のオブジェクト参照が、同期スコープ外または Lost & Found コンテナーに移動されているためです。
考えられるシナリオ
Microsoft Entra Connect クライアントは、ハイブリッドからクラウド専用への移行中にユーザーの削除に失敗し、種類 114 のエラーが発生します。
ユーザーが削除されない理由として、以下が考えられます。
- ユーザーをスコープ外に移動するために顧客によって作成されたルールは、
Admin
属性に基づいています。 - 同期 (Azure AD Sync) 操作中に種類 114 のエラーが返され、ユーザーの削除に失敗します。
- 特定の機能の同期が失敗し、その結果ユーザーが適切に削除されない。
エラーの例
エクスポート エラーの例:
TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}
エラーを修正する
この問題を解決するには、次の手順を実行します。
- 問題オブジェクト参照を特定します。
- PowerShell を使って、クラウド アカウントを論理的に削除します。
Start-ADSyncSyncCycle -PolicyType Delta
を実行します。アカウントの削除が正常にインポートされるはずです。- 削除が成功したことを確認します。
- ごみ箱からユーザーを復元します。
- サーバーで
Start-ADSyncSyncCycle -PolicyType Delta
を実行して、エラーが再び発生しないことを確認します。
警告
ユーザーが同期スコープから除外されると、オブジェクトは Microsoft Entra ID で論理的に削除された状態になり、その DirSyncEnabled 属性は False に切り替わります。 ただし、このプロセスによってオブジェクトがクラウド マネージドに変換されるわけではありません。オンプレミスの Active Directory から同期される、クラウドで管理できない属性と値が引き続き含まれているためです。 DirSyncEnabled 値は False であるため、現在は同期スコープ外であり、再び一致可能であることを示しています。
LargeObject または ExceededAllowedLength
このセクションでは、LargeObject または ExceededAllowedLength エラーについて説明します。
説明
属性が、Microsoft Entra スキーマで設定されている許容サイズ制限、長さ制限、または個数制限を超過すると、同期操作で LargeObject または ExceededAllowedLength 同期エラーが発生します。 通常、このエラーは次の属性に対して発生します。
- userCertificate
- userSMIMECertificate
- thumbnailPhoto
- proxyAddresses
Microsoft Entra ID では、属性ごとに制限は適用されません。ただし、userCertificate 属性には、証明書が 15 個というハード コード制限があります。また、ディレクトリ拡張機能には、属性が最大 100 というハード コード制限があり、各ディレクトリ拡張機能の文字数は最大 250 です。 オブジェクト全体のサイズ制限があります。 Microsoft Entra Connect が、このオブジェクト サイズ制限を超えるオブジェクトを同期しようとすると、エクスポート エラーがスローされます。
すべての属性が、オブジェクトの最終的なサイズに影響します。 一部の属性では、追加の処理オーバーヘッドのために、重みの乗数が異なります。 たとえば、インデックス付きの値などです。 また、さまざまなクラウド サービス、サービス プラン、ライセンスがアカウントに割り当てられる場合があり、それにより、さらに追加の属性が使用され、オブジェクトの全体サイズに影響します。
Microsoft Entra ID で、属性に保持できるエントリの数を正確に特定することはできません (たとえば、proxyAddresses 属性に保持できる SMTP アドレスの数など)。 この量は、オブジェクトで設定されているすべての属性のサイズと乗率によって決まります。
考えられるシナリオ
- Bob の userCertificate 属性に格納されている、Bob に割り当てられた証明書の数が多すぎます。 これらの証明書には、期限切れの古い証明書が含まれる可能性があります。 ハード制限は、証明書 15 個です。 userCertificate 属性が原因の LargeObject エラーを処理する方法について詳しくは、「userCertificate 属性が原因で発生した LargeObject エラーの処理」を参照してください。
- Bob の userSMIMECertificate 属性に格納されている、Bob に割り当てられた証明書の数が多すぎます。 これらの証明書には、期限切れの古い証明書が含まれる可能性があります。 ハード制限は、証明書 15 個です。
- Active Directory で設定された Bob の thumbnailPhoto 属性が大きすぎて、Microsoft Entra ID で同期できません。
- Active Directory で proxyAddresses 属性が自動設定されるときに、オブジェクトに非常に多くの proxyAddresses 属性が割り当てられます。
次の例は、userCertificate や proxyAddresses などの属性のさまざまな重みを示しています。
- 必須の Active Directory 属性と Mail 属性以外の属性が設定されていない同期対象ユーザーは、最大 332 個のプロキシ アドレスを同期できる場合があります。
- 同じ同期対象ユーザーが mailNickName 属性と 10 個のユーザー証明書を持つ場合、プロキシ アドレスの最大数は 329 個に減少します。
- 同じ同期対象ユーザーに、10 個のユーザー証明書と、(すべてのサービス プランが有効になった) 4 つのサブスクリプションが割り当てられている場合、プロキシ アドレスの最大数は 311 個に減少します。
- 前述のユーザーが、最大数のプロキシ アドレスを既に保持しており、もう 1 つ SMTP アドレスを追加する必要があるとします。 312 個のプロキシ アドレスを保持するには、少なくとも 3 つのユーザー証明書を削除する必要があります (証明書のサイズによって異なります)。
注意
これらの数値は多少異なる場合があります。 経験則として、proxyAddresses 属性の SMTP アドレスの制限は、約 300 個にすると安全です。これにより、オブジェクトと設定される属性が将来大きくなっても余裕があります。
LargeObject または ExceededAllowedLength エラーを修正する
ユーザー プロパティを確認し、不要になった属性値を削除します。 たとえば、失効した、または期限が切れた証明書や、SMTP、X.400、X.500、MSMail、CcMail など、古いまたは不必要なアドレスなどです。
既存の管理者ロールの競合
説明
ユーザー オブジェクトに以下が含まれる場合、同期中にそのユーザー オブジェクトで、既存の管理者ロールの競合同期エラーが発生します。
- 管理者のアクセス許可。
- 既存の Microsoft Entra オブジェクトと同じ userPrincipalName 属性。
Microsoft Entra Connect では、オンプレミス AD のユーザー オブジェクトと、管理ロールが割り当てられている Microsoft Entra ID のユーザー オブジェクトとの、あいまい一致は認められていません。 詳しくは、「Microsoft Entra の UserPrincipalName の設定」をご覧ください。
Existing Admin Role Conflict エラーを修正する
この問題を解決するには、次の手順を実行します。
- Microsoft Entra アカウント (所有者) をすべての管理者ロールから削除する。
- 検疫済みオブジェクトをクラウドから物理的に削除します。
- クラウド ユーザーはハイブリッド ID 管理者ではなくなったため、次の同期サイクルで、オンプレミス ユーザーとクラウド アカウントのあいまい一致が処理されます。
- 所有者のロールのメンバーシップを復元する。
Note
オンプレミス ユーザー オブジェクトと Microsoft Entra ユーザー オブジェクトの間のあいまい一致が完了した後、既存のユーザー オブジェクトに管理ロールを再び割り当てることができます。