Azure AD Connect 同期ルール作成後の事前検証方法

Azure AD Connect を新規構築した際や、新規に同期ルールを追加した際などに、きちんと設定できていて期待通りの同期をしてくれるか、想定外にユーザーが削除されたりしないかと不安になることがあると思います。
そこで、今回は設定を反映する前に結果を事前確認できる方法をご案内します。
Azure AD Connect をステージングモードに設定後、Azure AD Connect のインストールの際に一緒にセットアップされている CSExportAnalyzer を使って確認する手順となります。

 

1.Azure AD Connect を ステージングモードに変更する
Azure AD Connect をステージングモードとすることで、AD と AAD は同期処理をするけれどエクスポートしてデータを変更しないようにできます。

同期ルール設定を誤っても、意図しない本番データが変更されることはないので何度でも作業を失敗できます。
ただし、定期的な同期処理が停止しているためご注意ください。
長期間作業を行う場合は、別途、アクティブな Azure AD Connect サーバーを用意することも検討ください。

 

2.同期処理を実行する
新規サーバー構築後で一度も完全同期を行っていない場合や、AD側のOUを変更した場合、属性を含む同期ルールを追加した場合は完全同期を実施します。
それ以外は差分同期を実施します。

Powershell を管理者権限で起動し、いずれかのコマンドを実行します。

 
[完全同期]
Start-ADSyncSyncCycle Initial

[差分同期]
Start-ADSyncSyncCycle Delta

 

なお、Azure AD Connect にはデータを誤って削除されないように保護する機能が既定で有効となっており、一度に大量の削除が生じた場合はエクスポート処理を停止し、その旨のエラーメッセージの表示や管理者宛にメールが発報されます。
こちらの解除方法は、以下のサイトをご覧ください。

[Azure AD Connect Sync: 誤って削除されないように保護する]
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sync-feature-prevent-accidental-deletes

 

3.同期後、CSExportAnalyzer にて同期結果を確認する
Azure AD Connect にあるデータベース内のエクスポート待ちとなっているデータの取得とCSV化を行います。

コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。

 
“C:\Program Files\Microsoft Azure AD Sync\Bin\csexport.exe” “(使用している組織ドメイン).onmicrosoft.com – AAD” c:\temp\AADexport.xml /f:x

取得したデータを見やすくするために、CSV 形式に変更します。
“C:\Program Files\Microsoft Azure AD Sync\Bin\csexportAnalyzer.exe” c:\temp\AADexport.xml > c:\temp\AADexport.csv

 

取得したデータを Microsoft Excel などで開き確認します。


注目する列は、[OMODT]列と[AMODT]列です。

[OMODT]列はオブジェクトの処理状況を示し、[AMODT]列はオブジェクト内の属性の処理状況を示しています。
“add”は新規追加、”update”は既存内容の変更、”delete”は削除になります。
意図したユーザーとその数が一致していることを確認します。

 

4.意図したとおりの結果が得られた場合は、Azure AD Connect をアクティブモードに切り替え同期を再開します。

いいね (この記事が参考になった人の数:3)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください