Entra Connectで同期すべき必須情報

2025年2月10日2025年6月11日

1. 基本は既定値の同期ルールで同期すればよい
2. 参考
- 2.1. デバイスの同期も必須か

基本は既定値の同期ルールで同期すればよい

同期する属性は、既定値の同期ルールで同期すれば Microsoft Entra ハイブリッド参加を構成できます(どの属性値を同期するかしないかの考慮は基本的に不要です)

同期ルールの確認方法

同期ルールの具体的な設定値などを確認したい場合は、Microsoft Entra Connect をインストールした後に利用できる Synchronization Rules Editor で確認できます。

同期に必要となる最低限のユーザーの属性

ユーザーを同期をするために最低限以下のオンプレミスの属性の同期が必要です。

accountEnabled

sourceAnchor

sAMAccountName

(代替ログイン ID を利用する場合など含め環境によってはさらに追加されます)

まず、下記の公開情報に sourceAnchor および accountEnabled が必須である旨が記載されています。

参考情報: Microsoft Entra Connect 同期: 既定の構成について – Microsoft Entra ID | Microsoft Learn

//////////////一部抜粋//////////////

ユーザーオブジェクトは次の要件を満たさないと同期されません。

sourceAnchor が含まれている必要があります。
Microsoft Entra ID でオブジェクトが作成された後は、sourceAnchor を変更できません。オンプレミスで値が変更された場合、sourceAnchor が前の値に戻るまでオブジェクトは同期を停止します。
accountEnabled (userAccountControl) 属性が入力されている必要があります。オンプレミスの Active Directory があれば、この属性は常に存在し、入力されています。

//////////////ここまで//////////////

また、sAMAccountName の値が空の場合は Microsoft Entra Connect でフィルターされ Microsoft Entra ID へ同期されません。そのため、sAMAccountName も必須となります。

上記公開情報には sAMAccountName がないユーザーは同期されないこと (= ユーザーを同期するには sAMAccountName が必要であること) も記載されています。

//////////////一部抜粋//////////////

次のユーザーオブジェクトは Microsoft Entra ID に同期されません。

IsPresent([isCriticalSystemObject])。組み込み管理者アカウントなど、Active Directory の既定のオブジェクトの多くは同期されません。
IsPresent([sAMAccountName]) = False。 sAMAccountName 属性のないユーザーオブジェクトが同期されていないことを確認します。このような局面は、現実的には NT4 からアップグレードされたドメインでのみ発生します。

//////////////ここまで//////////////

accountEnabled は、同期されるオブジェクトが有効か無効かを示す値であり、オンプレ AD オブジェクトの userAccountControl 属性をもとに生成されます。

sourceAnchor は Microsoft Entra Connect の構成に依存しますが、既定では msDS-ConsistencyGUID あるいは ObjectGUID の値が sourceAnchor 属性として同期されます。（AD上にsourceAnchorという属性が存在している訳ではなく、あくまで概念的な属性となります。実体は、上記記載の通り、msDS-ConsistencyGUIDやObjectGUIDとなります）

sAMAccountName は必須属性の一つで、ADにてユーザー作成時に必ず値が設定されます。明示的に値を指定しなかった場合は、ADが自動で値を作ってセットしてくれます（m.tsurutaのような値です。手動でセットすることも可能です）

ちなみに、UserPrincipalName も必須ではないか？と思われるかもしれませんがEntra Connect の既定の同期ルールでは、オンプレミス AD 側の UserPrincipalName が空の場合でも、sAMAccountName の値を利用して Entra ID 側の UserPrincipalName の値が計算され、ユーザーは同期されるため、UserPrincipalName は必須ではありません。

ユーザーの属性は、既定のルールで同期することが推奨値となっています。ただ、要件によっては同期したくない属性がある場合があります（個人情報に近しい情報をクラウド上に同期したくない　など）

この場合にその同期したくない属性の同期を既定のルールから除外することを、アプリへの影響を考慮しつつアプリ単位で影響を検討する、というのが同期の基本的な設計方法になります。

つまり、同期する属性を積み上げていくのではなく、既定値から同期しない属性を除く、という設計の考え方になります。

★★注意点

既定で同期対象となっている属性について、AD側でその属性の値が設定されているかは別の話
M365側のアプリによっては、同期対象となっていたとしても、AD側にその属性の値がセットされておらず、Entra ID側でもその属性の値が空になることで、不具合が発生する可能性がある
ちゃんとやろうとすると、M365のアプリ毎に必要な属性を確認して、その属性の値がEntra ID側でも漏れなくセットされるように、AD側の属性の値もセットしておく必要があります。
Microsoft Entra Connect によって同期される属性 – Microsoft Entra ID | Microsoft Learn　こちらのサイトに、M365アプリ毎に利用する可能性がある属性が記載されています（あくまで「利用する可能性がある属性（最大値）」）であり、必須の項目ではありません。どれが必須かはアプリ毎にＭＳサポートに確認が必要です（アプリ側の使い方によって、必須属性が増減する可能性もあります）
現実的に、設計段階で、必要な属性を洗い出すのは困難（稼働が非常にかかるため）、「一度、同期した上で、利用しようとしているＭ３６５アプリが問題なく動作するか確認する」、というやり方が現実解な気がしています。

アプリによって利用している属性

Microsoft Entra Connect によって同期される属性 – Microsoft Entra ID | Microsoft Learn

それぞれのアプリが、既定値で同期される属性のどの値を使っているかを示している表になります。

使わないアプリがある場合は、既定値で同期される属性から “Azure AD (Microsoft Entra ) アプリと属性フィルター" を利用して同期する属性を制限する (減らす) ことができますが、その際に参考にする情報となります。

（補足）「利用場所」属性

・Entra ID側で、ユーザにライセンスを割り当てると、Entraテナントの場所の情報が、「利用場所」属性に割り振られるので、個人的な見解としては、ADからこの属性を同期する必要性はあまり感じていません。

(追記１）20250603

「利用場所」属性に値がない場合、ライセンス付与の際にエラーが出る事象に遭遇しました（MS側の仕様が変わった可能性があります

（補足）

「利用場所」は Entra ID 側では usageLocation 属性が該当します、既定で同期元となるオンプレミス AD 側の属性は msExchUsageLocation 属性となります。

msExchUsageLocation 属性は Exchange 関連属性であるため、オンプレミス側で Exchange サーバーが構成されている (オンプレミス AD で Exchange スキーマ拡張が行われている) 場合に存在する属性です。

このため、Exchange サーバーが構成されていない場合、既定では Entra ID 側の利用場所 (usageLocation 属性) は同期処理で値が設定されず、空となります。

Exchange サーバーが構成済みの場合、Microsoft Entra Connect 構成ウィザード上における “Azure AD (Microsoft Entra ) アプリと属性フィルター" の項目にて特段同期する属性を制限していない場合は、Microsoft Entra Connect としては、同期する属性の一覧として含まれます。

また Entra ID 側でクラウドユーザーを直接作成した場合でも、利用場所を設定しなかった場合は利用場所が空となります。