この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

Azure AD Connect を新規構築した際や、新規に同期ルールを追加した際などに、きちんと設定できていて期待通りの同期をしてくれるか、想定外にユーザーが削除されたりしないかと不安になることがあると思います。
そこで、今回は設定を反映する前に結果を事前確認できる方法をご案内します。
Azure AD Connect をステージングモードに設定後、Azure AD Connect のインストールの際に一緒にセットアップされている CSExportAnalyzer を使って確認する手順となります。

 

1.Azure AD Connect を ステージングモードに変更する
Azure AD Connect をステージングモードとすることで、AD と AAD は同期処理をするけれどエクスポートしてデータを変更しないようにできます。

同期ルール設定を誤っても、意図しない本番データが変更されることはないので何度でも作業を失敗できます。
ただし、定期的な同期処理が停止しているためご注意ください。
長期間作業を行う場合は、別途、アクティブな Azure AD Connect サーバーを用意することも検討ください。

 

2.同期処理を実行する
新規サーバー構築後で一度も完全同期を行っていない場合や、AD側のOUを変更した場合、属性を含む同期ルールを追加した場合は完全同期を実施します。
それ以外は差分同期を実施します。

Powershell を管理者権限で起動し、いずれかのコマンドを実行します。

　
[完全同期]
Start-ADSyncSyncCycle Initial

[差分同期]
Start-ADSyncSyncCycle Delta

　

なお、Azure AD Connect にはデータを誤って削除されないように保護する機能が既定で有効となっており、一度に大量の削除が生じた場合はエクスポート処理を停止し、その旨のエラーメッセージの表示や管理者宛にメールが発報されます。
こちらの解除方法は、以下のサイトをご覧ください。

[Azure AD Connect Sync: 誤って削除されないように保護する]
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sync-feature-prevent-accidental-deletes

 

3.同期後、CSExportAnalyzer にて同期結果を確認する
Azure AD Connect にあるデータベース内のエクスポート待ちとなっているデータの取得とCSV化を行います。

コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。

　
“C:\Program Files\Microsoft Azure AD Sync\Bin\csexport.exe” “(使用している組織ドメイン).onmicrosoft.com – AAD” c:\temp\AADexport.xml /f:x

取得したデータを見やすくするために、CSV 形式に変更します。
“C:\Program Files\Microsoft Azure AD Sync\Bin\csexportAnalyzer.exe” c:\temp\AADexport.xml > c:\temp\AADexport.csv

　

取得したデータを Microsoft Excel などで開き確認します。

注目する列は、[OMODT]列と[AMODT]列です。

[OMODT]列はオブジェクトの処理状況を示し、[AMODT]列はオブジェクト内の属性の処理状況を示しています。
“add”は新規追加、”update”は既存内容の変更、”delete”は削除になります。
意図したユーザーとその数が一致していることを確認します。

　

4.意図したとおりの結果が得られた場合は、Azure AD Connect をアクティブモードに切り替え同期を再開します。