SIOS Tech. Lab | エンジニアのタメになるOSS・クラウド・認証の技術トピックス 
2017年4月13日にWindows Azure Active Directory Sync (DirSync) とAzure Active Directory Sync
(AAD Sync)がサポート終了するため、DirSyncからAzure AD Connectへの移行作業を行いました。
移行作業時にAzure AD Connectをステージングモード(テスト同期)で実行した結果を確認した際に、
Exchange関連の「msDsPhoneticDisplayName」と「msExchHideFromAddressLists」属性が同期されないという
想定外の事象が発生した経緯を記載します。
※補足
Azure AD Connect には、DirSync と AAD Sync としてリリースされたコンポーネントと機能が組み込まれています。
DirSyncとAAD Syncのサポート終了記事は以下を参考にしています。
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-dirsync-deprecated/
経緯
動作環境
- Windows2012R2
- Azure AD Connectバージョン: 1.1.189.0
移行作業概要
- Azure AD Connectをインストール
- Azure AD Connectをステージングモード(テスト同期)で実行
- Azure AD Connectのテスト同期結果を確認し、Exchange 関連の属性が同期されていないことに気づく
Azure AD Connectで本番同期を実行する前に、ステージングモードのテスト同期を実施して同期結果に問題が無いことを確認しようとした際にExchange関連の属性が同期されていないこと(Deleteされていること)に気づきました。
Exchange 関連の属性が同期されていないユーザは、Exchange Onlineで他ユーザのアドレス帳に自身のメールアドレスが表示されてしまうため、本事象を解決する必要がありました。
※Exchange関連の属性については、Microsoft社情報に記載があります。
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-attributes-synchronized/
元々DirSyncで同期されていたExchange関連の属性が移行後のAzure AD Connectでなぜ同期されなくなっているのかMicrosoft社のサイト閲覧や実機検証して調査したところ、「mailNickname」属性の値が設定されていない場合にはExchange 関連の属性が同期されないことがわかりました。
※Exchange関連の属性が同期されないことを記載しているMicrosoft社のサイトは以下を参照しています。
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-understanding-default-configuration/
テスト検証時では前提としてオンプレミスAD上に「mailNickname」属性を付与しているユーザを作成及び同期していたため本事象に気づくことができませんでした。
初めて遭遇する事象については、Microsoft社に問い合わせを行い解決した上で冷静に対応するように心がけていきます。
まとめ
DirSyncからAzure AD Connectへの移行時に気を付けることは、Exchange関連の属性を同期する際は、「mailNickname」属性の値が設定されていること、また同期結果に「delete」フラグが無いことを確認しておきましょう。
Be the first to comment