Entra Connectで同期すべき必須情報
基本は既定値の同期ルールで同期すればよい
同期する属性は、既定値の同期ルールで同期すれば Microsoft Entra ハイブリッド参加を構成できます(どの属性値を同期するかしないかの考慮は基本的に不要です)
同期ルールの確認方法
同期ルールの具体的な設定値などを確認したい場合は、Microsoft Entra Connect をインストールした後に利用できる Synchronization Rules Editor で確認できます。
同期に必要となる最低限のユーザーの属性
ユーザーを同期をするために最低限以下のオンプレミスの属性の同期が必要です。
accountEnabled
sourceAnchor
UserPrincipalName
sAMAccountName
(代替ログイン ID を利用する場合など含め環境によってはさらに追加されます)
accountEnabled は、同期されるオブジェクトが有効か無効かを示す値であり、オンプレ AD オブジェクトの userAccountControl 属性をもとに生成されます。
sourceAnchor は Microsoft Entra Connect の構成に依存いたしますが、既定では msDS-ConsistencyGUID あるいは ObjectGUID の値が sourceAnchor 属性として同期されます。
UserPrincipalName も Microsoft Entra Connect の構成に依存いたしますが、サインイン名 (UserPrincipalName) として Microsoft Entra ID に同期する属性が UserPrincipalName 属性として同期されます。
なお、sAMAccountName の値が空の場合は Microsoft Entra Connect でフィルターされ Microsoft Entra ID へ同期されません。
ユーザーの属性は、既定のルールで同期することが推奨値となっています。ただ、要件によっては同期したくない属性がある場合があります(個人情報に近しい情報をクラウド上に同期したくない など)
この場合にその同期したくない属性の同期を既定のルールから除外することを、アプリへの影響を考慮しつつアプリ単位で影響を検討する、というのが同期の基本的な設計方法になります。
つまり、同期する属性を積み上げていくのではなく、既定値から同期しない属性を除く、という設計の考え方になります。
アプリによって利用している属性
Microsoft Entra Connect によって同期される属性 – Microsoft Entra ID | Microsoft Learn
それぞれのアプリが、既定値で同期される属性のどの値を使っているかを示している表になります。
使わないアプリがある場合は、既定値で同期される属性から “Azure AD (Microsoft Entra ) アプリと属性フィルター" を利用して同期する属性を制限する (減らす) ことができますが、その際に参考にする情報となります。
同期に必要となる最低限のデバイスの属性
説明になっていないかもしれないですが、デバイスの属性は、既定値での利用がよいです(MSサポート曰く)。
MSサポートに上記の通りわれた以上、本当に「最低限のデバイスの属性」について確認するのを止めました。
デバイスの同期する属性自体は、Synchronization Rules Editor にて 「In from AD – Computer Join」ルールなどで確認ができます。
しかしながら、これらのデバイス同期のルールの変更が非推奨事項となっているらしく(MSサポート曰く)、やはり既定値で利用が無難そうです。
参考
デバイスの同期も必須か
Microsoft Entra ハイブリッド参加を構成する際には、AD FS がなければ Microsoft Entra Connect でのデバイスの同期が必須です(AD FS がある場合も同期したほうが運用の手間は減る傾向にあります)