none
Office365で作成されたアカウントとオンプレADからAD Connectで同期した際UserPrincipalNameが重複するときの対処方法について RRS feed

  • 質問

  • 今下記のような状態になっていて全てのオンプレADのアカウントをAzure ADに同期できないのですが、うまくマージするような手段はないでしょうか。

    1.Office365で `hoge@contoso.com` というメールアドレスを持ったアカウントを作成
    2.オンプレADでhogeアカウントを作成(この時UPN サフィックスは `.local`)
    3.hogeアカウントのUPN サフィックスを `contoso.com` に変更する
    4.Azure AD Connectで同期する

    といった順番でアカウントを同期すると

    エラーの説明 このオブジェクトを更新できません。このオブジェクトに関連付けられている次の属性の値が、ローカル ディレクトリ サービスの別のオブジェクトに既に関連付けられていることが原因として考えられます: [UserPrincipalName hoge@contoso.com;]。ローカル ディレクトリで重複している値を修正または削除してください。属性値が重複しているオブジェクトの検出方法については、http://support.microsoft.com/kb/2647098 を参照してください。

    というようなエラーメッセージがメールで届きます。実際、同期には失敗しているようでした。

    1で作成しているアカウントは既存のアカウントを想定しておりまして、既に現環境で1で作成したようなアカウントが作成され運用されている状態です。用途はOfficeの利用で、OneDriveも利用している状態です。
    うまくマージするような手段を調べたのですが見つからず、参照するようにと出てくるURLも確認はしたのですがいい手がなさそうです。Exchangeサーバも無いので、AD上のアカウントをOffice365のアカウントに紐付けることができなさそうです。手作業で名寄せをするしか無いのかなとも思ったのですがユーザがOneDriveを活用しているとデータの移行が必要になってしまい、現場の運用負荷が上がるのでなにかいい手はないか質問させてください。
    2019年10月3日 7:55

すべての返信

  • エラーメッセージに記載の http://support.microsoft.com/kb/2647098 は https://docs.microsoft.com/ja-jp/office365/troubleshoot/administration/duplicate-attributes-prevent-dirsync にリダイレクトされますが、そのページでエラーの原因調査の手順が記載されているのは確認されているのでしょうか。またその手順は実施されているのでしょうか。


    Hebikuzure aka Murachi Akira

    2019年10月3日 11:55
  • そちらのリンクは確認しておりまして、方法2以外の手段は原因となっている属性を判定するための手段のように見えました。今回は `UserPrincipalName` が原因だということがエラーメッセージからわかるので判定するものに関しては実施していません。

    方法2に関しては、

    https://support.microsoft.com/ja-jp/help/2641663/use-smtp-matching-to-match-on-premises-user-accounts-to-office-365

    こちらの手順になることは確認したのですが、Exchangeサーバで `hoge@contoso.com` 相当のメールアドレスが利用できるよう運用しているケースでしか使えなさそうに見えました。Exchangeサーバは触ったことがないのですが、当方の解釈が誤ってますでしょうか?

    2019年10月3日 22:44
  • 示されている手順は単に重複している属性を見つけるだけでなく、重複が報告されるオブジェクトを見つけることもできるかと思いますが?

    また以下も参考になるでしょう

    なお「手順2」については「SMTP 一致処理は、Microsoft Exchange Online の電子メール アドレスを持つユーザー アカウントで実行可能です」なので、認識されている通りでしょう。


    Hebikuzure aka Murachi Akira

    2019年10月4日 2:31
  • すいません、ActiveDirectoryとAzure Active Directoryにあまり詳しくなく理解が及んでいるか自信がないのですが `重複している属性を見つけるだけでなく、重複が報告されるオブジェクト` の `重複が報告されるオブジェクト` というのはAzure AD Connectで同期した際に属性が重複して意図した同期がされないユーザオブジェクトを特定できる、という意図で合っていますか?

    であれば既に特定できていて、Office365のライセンスを付与されているユーザのメールアドレスと、オンプレのActive Directoryのユーザ名+UPNプレフィックスが同じユーザに関して重複が報告される、という認識です。

    Office365のライセンスが付与されていないAzure AD上のユーザであれば重複が報告されずオンプレのActive Directory上のユーザとして登録され直したので、そういったことがOffice365のライセンスが割り当てられているユーザでも可能な方法はないかを探していました。

    2019年10月29日 0:26