none
ハイブリッドAzure AD Joinを利用環境において、企業グループ間の異動に伴うADアカウントの措置

    質問

  • ハイブリッドAzure AD Joinを利用してOffice365を利用しています。

    現在、オンプレミスのADとして2つのフォレストが存在してて、それぞれに複数のドメインが存在しています。
    Office365は、1つのテナントで運用しているのですが、本社→子会社、子会社間の出向に伴うADユーザアカウントの管理で悩んでいます。


    下記のような、同一フォレスト内だが、異なるドメイン間の異動 と フォレスト間の異動 があった時に、ADユーザアカウントは、
    どういう運用にすべきなのでしょうか?

    各ドメインにてヘルプデスクがいたり、いなかったりで連携もしっかりできておらず、いよいよしっかりとしたルールを再検討しないければと思っていて皆様の事例や知見をお聞かせいただけますと幸いです。

    ・同一フォレスト内の異なるドメイン間の異動
    ・フォレスト間の異動

    どうぞよろしくお願い致します。


    Koji Uchida

    2019年5月10日 5:15

すべての返信

  • チャブーンです。

    時間がたってしまいましたが、この件ですが、実際に単一テナントでのフォレスト間のユーザー移行を行われた方がいらっしゃるようですので、以下の過去ログは参考になると思います。要するにテナントに同期する場合、アンカーの重複が起こらないよう、同期のやり方を制御する必要がある、という話しです。

    https://social.msdn.microsoft.com/Forums/ja-JP/cca7a293-2dfd-4370-bed2-6162e11a1fd9/ad?forum=windowsazureja

    ----
    削除済みなってユーザー復元されない原因分かりました、

    同期ルールにて対象外ルールを適用する場合、ドメイン A のコネクター スペースに情報が残っている状態で、ドメイン B から同じ ms-DS-ConsistencyGUID のオブジェクトを同期すると、ソースアンカーが重複するため正常に同期を行えません。

    ですので、ドメインA(移行元)の対象ユーザーを完全に削除すれば問題なく復元できました。

    ※同期対象外OUに移動するやり方もありました。
    ----

    それと、この件ですが、内容としてAzure ADの話題かと思っていまして、Exchangeフォーラムより、Azureフォーラムへ投稿いただくほうが、メリットが多いと思います。より適切な回答が得られる可能性が高まること、後日他の方が回答を見つけやすくなるからです。

    フォーラムモデレーターに依頼し、後ほどスレッド移動を行わせていただきます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月17日 7:21
  • Koji Uchidaさん、こんにちは。フォーラム オペレーターのHarukaです。

    ご質問内容から以下フォーラムのほうが投稿場所として適切かと思いましたので、
    質問の移動をさせていただきました。

    Microsoft Azure Platform  >  Azure

    移動後はスレッドの URL が変わりますが以前の URL でもリダイレクトされて、
    以前のページが表示されますのでご安心ください。

    どうぞよろしくお願いします。


    MSDN/ TechNet Community Support Haruka

    ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、
    ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2019年5月20日 8:49
    モデレータ