none
Azure AD Connect を使ってローカル Active Directory のアカウントを同期したらローカルActiveDirectoryのユーザーがMicrosoftアカウントとして認識されている RRS feed

  • 質問

  • いつもお世話になっております。

    Azure AD Connect で同期をセットアップしました。
    するとある特定のアカウントのみ、Azure AD 上での認識が「ローカル Active Directory」ではなく、
    「Microsoft アカウント」となってしまい、困っています。

    具体的にどこが困っているかと言いますと、

    現在 Azure Active Directory 上のユーザー一覧画面は以下の図の状態です。
    問題のアカウントは①のユーザーです。

    <sub></sub><sup></sup><strike></strike>

    ユーザー①~③はすべてローカル Active Directory 上のユーザーです。
    ローカル Active Directory 上のアカウント設定は以下の通りです。

    ユーザー①
    ログオン名       user1@contoso.jp
    電子メールのフィールド :
    yamada@contoso.jp

    ユーザー②
    ログイン名       :user2@contoso.jp
    電子メールのフィールド :hyogo@contoso.jp

    ユーザー③
    ログオン名       :user3@contoso.jp
    電子メールフィールド  :nara@contoso.jp

    この3つのアカウントは「user1~3@contoso.jp」と並んでほしいのですが、
    ①のみユーザー名の欄にメールアドレスが表示された挙句、ソース欄も Microsoft アカウント となっています。

    このユーザー①のメールアドレスは実は既に同じメールアドレスでMicrosoftアカウントとして登録しており、
    そのMicrosoftアカウントは今回使用しているサブスクリプションの共同管理者として権限付与していたという経緯があります。

    どうもその時の経緯をAzureが変に記憶してしまっているからか、
    ローカルActiveDirectoryのユーザーであるはずのuser1@contoso.jpは
    Azure上からMicrosoftアカウントとして認識されてしまっているようです。

    それが理由でuser1@contoso.jpはローカルActiveDirectoryのユーザーであるにもかかわらず、
    サブスクリプションの共同管理者として設定することができません。

    どのように対処すればよいでしょうか。

    また、この症状の弊害として、user1@contoso.jpはOffice 365 にログインできなかったので、
    Office365のサポートに問い合わせた結果、user1@contoso.jpは外部のユーザーとして認識していたとのことです。
    とりあえずはフラグをPowerShellで強制的に書き換えることでOffice 365 にはログインできるようにはなりました。

    <確認方法>
    Get-Msoluser -UserPrincipalName user01@contoso.jp|select UserType
    Guest

    [Guest] の場合は、外部ユーザーとして登録されている状況を表しています。

    Office 365 を使用するため、現在はサポートに案内いただいた通り、これをMemberに変更済みです。
    Set-MsolUser –UserPrincipalName user01@contoso.jp –UserType Member

    あくまでこの対処はOffice 365 を利用するためのものであり、
    そもそものAzure上での認識はMicrosoftアカウントになってしまっていますので、
    これを解消する必要があります。
    なぜならuser1@contoso.jpをAzureの共同管理者として設定する必要があるからです。

    アドバイスいただけないでしょうか。
    なにとぞよろしくお願い申し上げます。

    2016年1月28日 13:03

すべての返信

  • Azure AD Connect で同期エラーは出ていませんか?

    もし該当ユーザーの同期が失敗しているエラーが出ているなら、同じメールアドレスのユーザー(Microsoftアカウント)が既にAzure Active Directory に登録されていたので、そのユーザーだけオンプレミスのADから同期できていないのではないでしょうか?

    Azure Active DirectoryにMicrosoftアカウントのユーザーを登録すると「外部ユーザー」として扱われます。

    また、Azure AD Connect では試していませんが、過去にDirSyncでディレクトリ同期したときはオンプレミスADのメールアドレス属性が重複しているユーザーアカウントで同期に失敗した経験があります。

    2016年1月30日 9:03
  • 私も ローカル Active Directory のuser1@contoso.jpのアカウントが同期エラーで
    Azure Active Directory に同期できていないかと思ったのですが、違います。
    AzureADのuser1@contoso.jpは間違いなくローカルADのuser1@contoso.jpが同期コピーされて作成されてできたものです。

    私も気になったのでローカルAD側で適当にプロパティーを変更し、
    AzureAD側のuser1@contoso.jpのプロパティーに変更が同期されたことが確認できましたので、
    同一のユーザーアカウントとして考えています。

    2016年1月30日 16:13