対象
- Access Control から Microsoft Entra ID へユーザーの同期を行うお客様
目的
- Access Control から Microsoft Entra ID へユーザー情報の手動同期、定期同期を行う手順を説明します。
注意事項
- 本記事の内容は 2025 年 3 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
- ユーザー同期の設定には Access Control のグローバル管理者権限および Microsoft 365 の全体管理者が必要です。
- 管理画面へのアクセス方法は以下の記事をご参照ください。
Access Control 管理画面へのアクセス方法 - ユーザー同期はドメイン単位で設定が必要です。
- ユーザー同期実行前に、事前に必要なユーザーを Access Control に登録する必要があります。
- Access Control からのユーザー同期で Microsoft Entra ID に作成したユーザーには Microsoft 365 のライセンスが付与されません。
必要に応じて同期後に管理者にて Microsoft 365 のライセンスを付与してください。 - 定期同期の有効化後は、1 時間に 1 回のタイミングでユーザー情報の同期を行います。
※ 同期間隔の変更はできません。 - Active Directory から Microsoft Entra ID へのユーザー同期を行っている場合は本作業は必要ありません。
事前確認事項
- 同期予定のドメインに対して、ユーザー以外のオブジェクトのドメインを変更してください。
ユーザー以外のオブジェクト UPN を onmicrosoft.com ドメインへ変更 - 下記の手順を実行して、お客様の環境で Microsoft Graph PowerShell が利用できることを確認してください。
Microsoft Graph PowerShell から Microsoft365 に接続する
手順
1. Access Control 管理画面から [プロビジョニング設定] にアクセスします。
2. [HENNGE Access Control からの同期] メニューから [+ サービスの追加] をクリックします。
3. 同期サービスの選択画面より同期対象のサービスをクリックします。
以下の画面が表示されている場合は、 [Entra ID] をクリックします。
[保存済みのデータを使用する] のメニューが表示されている場合は、[保存済みのデータを使用する] をクリックし、後続の手順 6. に進みます。
※ 手順 5. [要求されているアクセス許可] の承諾まで完了済みの場合は、本メニューが表示されます。
4. Microsoft 365 のログイン画面が表示されるので、全体管理者アカウントでログインします。
5. [要求されているアクセス許可] の画面が表示されるので、[承諾] をクリックします。
6. 以下をご参考に同期するドメインの選択や、必要に応じて設定値を変更後に [続行する] をクリックします。
・ドメイン
同期するドメインにチェックを入れます。
・ユーザー削除許容率
設定した割合以上のユーザー削除処理が実行されようとした場合に、処理をキャンセルし、意図せず大量のユーザーが削除されることを防止します。
例:ユーザー削除許容率が 65 % の場合、同期時に全体の 65% 以上のユーザーが削除される場合に処理をキャンセルします。
7. Microsoft Graph PowerShell のコマンドが画面に表示されるので、 コマンドをコピーして Microsoft 365 の全体管理者アカウントで実行します。
※ コマンドを利用するために、事前に下記の手順を実施してください。
Microsoft Graph PowerShell SDKのインストール
※ 本画面は実施有無に関わらず表示されます。過去に本作業をすでに実施している場合は対応不要なため手順 10. へ進みます。
8. Microsoft 365 のログインを求められた場合は、 全体管理者権限を持つアカウントで Microsoft 365 にログインします。
9. 手順 7. で実施した Microsoft Graph PowerShell コマンドの実行結果に赤字でエラーが出力されていないことを確認します。
エラーが発生した場合は下記の記事をご参照ください。
エラーメッセージ集 Microsoft Graph PowerShell
※ 解決しない場合は対象のエラー画面のキャプチャを取得し、HENNGE One 導入担当者 / サポート窓口までお知らせください。
10. Microsoft Graph PowerShell コマンドが正しく実行されたことを確認したら [続行する] をクリックします。
11. 同期対象ドメインそれぞれの [同期プレビューを開始] をクリックし、想定されるユーザー同期結果を出力します。
※ 複数ドメインがある場合は、ドメインごとに同期プレビューを実施してください。
12. [結果のダウンロード] を選択し、ダウンロードした同期プレビュー結果 (csv ファイル) を確認します。
※ 複数ドメインがある場合は、ドメインごとに結果を確認してください。
※ 同期プレビューにはユーザー削除許容率が適用されないため、許容率を超えたユーザー削除のプレビューが出力する可能性があります。
以下を参考に同期プレビューの結果を必ず確認してください。
同期結果に想定外の Add、Delete、Update のユーザーが含まれていた場合は、[キャンセル] を押してユーザー情報の編集等を完了後に再度お試しください。
ご不明な場合は、HENNGE One 導入支援担当者へお知らせください。
※ 同期プレビュー結果出力時のユーザー一覧の並び順の変更はできません。
※ 出力したユーザー一覧に各ユーザーの Immutable ID が出力します。
同期プレビュー結果に Add または Delete が表示された場合+
同期プレビュー結果に Update が表示された場合+
Access Control ユーザー情報の一括エクスポート手順
13. 内容に問題がなければ [続行する] をクリックします。
14. [定期同期の設定] または [今すぐ同期] を選択し、[実行する] をクリックします。
※ 同期プレビューおよび今すぐ同期を実施し、想定通りに同期されたことを確認した上で、定期同期の設定を行うことを推奨します。
今すぐ同期
ユーザー情報の同期 (追加、削除、更新) を即時実施します。
※ [今すぐ同期] を実行すると、即時でユーザー情報の同期 (追加、削除、更新) が実行され、Microsoft 365 のユーザーが更新されます。
同期プレビューが想定通りの結果であることを確認した上で実行してください。
定期同期の設定
1 時間に 1 回のタイミングで、同期元サービスから同期先サービスへユーザー情報の定期同期 (追加、削除、更新) を行います。
同期 (追加、削除、更新) について
- 追加 : 同期元サービスにのみユーザーが存在し、同期先サービスにユーザーが存在しない場合、同期先サービスにユーザーを追加します。
- 削除 : 同期元サービスにユーザーが存在せず、同期先サービスにユーザーが存在する場合、同期先サービスのユーザーを削除します。
- 更新 : 同期元、同期先のサービスで同じユーザーが存在し、姓名、表示名などの項目に差分がある場合に同期先サービスの値を同期元の値に更新します。
15. [同期ログを確認する] をクリックし、同期結果を確認します。
※ [Entra ID の定期実行] を選択した場合、定期同期を有効化した段階では同期処理は実施されないため、同期ログには表示されません。
定期同期を有効後、1 時間 に 1 回ユーザー情報の定期同期が実行され、同期ログが出力します。
同期のログの確認方法の詳細は以下の記事をご参照ください。
同期ログを確認する (モダンビュー)
※ ユーザー同期が正常に完了していることを確認した時点で、必ず HENNGE One 導入担当者 / サポート窓口までご連絡ください。
複数のドメインをご利用の場合で、後から別のドメインのユーザー情報の設定を行う場合は、以下の手順をご参照ください。
Access Control ユーザー定期同期をするドメインの追加 (Access Control → Microsoft 365)