web-dev-qa-db-ja.com

Active DirectoryユーザーをAzure AD Connectの既存のAzure AD管理者にマップする方法

私は次のシナリオを何年もうまく機能させてきました。

  • ユーザーLOCAL\john.doeDomain Admin)を持つ1つのシンプルなローカルADドメイン(local.whatever.com
  • 1つの隔離されたOffice 365テナント(whatever.com)、ユーザー[email protected]Office 365 Global Admin

ローカルのADユーザーは概念的にはOffice 365ユーザーに対応していますが、それらの間には特定のリンクがなかったため、ローカルドメインとOffice 365テナントは分離されたリポジトリでした。

ここで、Azure AD Connectをデプロイして構成し、ローカルドメインとAzure ADを同期させることにしたので、次のようにしました。

  1. whatever.com UPNをローカルActive Directoryに追加(local.whatever.com
  2. LOCAL\john.doeのメールアドレスを[email protected]に設定します
  3. インストールおよび構成されたAzure AD Connect
  4. 最初の完全同期を実行した

結果は:

  • 新しいアカウントがAzure ADにjohn.doe 1234 @ whatevercom.onmicrosoft.comの形式で作成されました(ユーザー名の末尾の乱数に注意してください)
  • Office 365アカウントとローカルADアカウントはリンクされませんでした。

ローカルADユーザーをOffice 365ユーザーにマップするようにAzure AD Connectに指示する機会がなかったので、これは理にかなっています。

だから、私はこの記事を見つけました: Azure AD Connect:既存のテナントがある場合

前の記事を読んだ後、両方のユーザー間のマッピングを設定して機能させる必要があるように思えます。しかしながら:

  1. このマッピングを行うための手順を理解できません
  2. 同期されていないユーザーはOffice 365テナントの唯一のグローバル管理者であるため、Azure ADで既存のユーザーを削除することはできません。

さらに、Microsoftのドキュメントで次の警告に遭遇しました。

オンプレミスアカウントをAzure Active Directoryの既存の管理アカウントと同期しないことを強くお勧めします。

既知の修正または回避策はありますか?

1
dsuy

このマッピングを行うための手順を理解できません。

あなたがリンクした記事は、ここでかなり簡潔にそれを綴っています:

https://docs.Microsoft.com/en-us/Azure/active-directory/hybrid/how-to-connect-install-existing-tenant#admin-role-considerations

だからそれを説明するために、

Azure AD Connectは、既存のオンプレミスユーザーアカウントを、Office 365のグローバル管理者であるOffice 365アカウントと照合しません。そのため、Office 365で新しいユーザーが作成されました。これを修正するには、次の手順を実行する必要があります。

  1. Office 365で新しいグローバル管理者を作成します。

  2. この新しいグローバル管理者としてOffice 365にログインします。

  3. [email protected]ユーザーを削除します。

  4. [email protected]ユーザーをOffice 365の削除済みユーザーから削除します( https://practical365.com/exchange-server/permanently-remove-deleted-users-office-365/ )。

  5. Office 365の[email protected]ユーザーからグローバル管理者の役割を削除します。

  6. Azure Ad Connect同期サイクルを開始します( https://docs.Microsoft.com/en-us/Azure/active-directory/hybrid/how-to-connect-sync-feature-scheduler#full-sync-サイクル )。

  7. オンプレミスのユーザーアカウントがOffice 365の既存の[email protected]ユーザーと一致することを確認します。

  8. グローバル管理者ロールをOffice 365の[email protected]ユーザーに戻します。

同期されていないユーザーはOffice 365テナントの唯一のグローバル管理者であるため、Azure ADで既存のユーザーを削除することはできません。

Office 365で追加のグローバル管理者を作成できることをご存知ですか?グローバル管理者としてログインしている場合は、追加のグローバル管理者を作成するか、他の既存のOffice 365ユーザーにその役割を付与できます。さらに、Microsoftは、Azure Ad Connectを使用してオンプレミスADをOffice 365に同期する場合、Office 365に少なくとも1つの「クラウドのみ」のグローバル管理者がいることをお勧めします。つまり、Office 365のグローバル管理者がオンプレミスディレクトリから同期されていません。

1
joeqwerty