こんにちはDXソリューション統括部の村松です。
今回はAzure AD ConnectでError Code 8344が発生する件についてお話します。

 

Azure AD Connectで同期が正常に行われたかどうかを確認する際、Synchronization Service Manager

を起動して同期のステータスを確認するかと思いますが、その際に以下のようにpermission-issueの

エラーとなっていることがあります。(Azure ADにはアカウントは同期されている。)

 

 

これは、Azure AD Connect で設定している オンプレADのコネクタ アカウント(*1)が
同期対象のユーザーアカウントのmS-DS-ConsistencyGuid 属性に書き込みができないこと
を意味しています。

 

(*1) 既定ではMSOL_xxxで始まるアカウントがAD DSのアカウントとして作成されます。

 

通常、Azure ADに同期されたアカウントは、オンプレADとAzure ADそれぞれでソースアンカーとして
指定された属性に値が書き込まれ、双方で1対1で紐づきます。(*2)
オンプレAD側においては、mS-DS-ConsistencyGuid 属性がソースアンカーとなるため、
そこに任意の値が書き込まれます。

 

(*2)この動作に関する詳細は以下の記事を参照ください
Azure AD Connectは再構築しても大丈夫ですか？

 

この属性に正常に書き込みが行わない場合は、双方のアカウントの紐付けがうまくいかず、
Azure AD Connecr再構築時にアカウントが2重で生成されてしまうなどの障害が発生してしまいます。

そのため、このような事象が発生した場合は、以下に公開されているドキュメントを参考に対応を行ってください。

 

permission-issue – Error Code ; 8344

 

以上　今回はここまでになります。またの機会お会いしましょう！