メインコンテンツへスキップ
English (US) 简体中文 繁體中文

[Access Control] ユーザー同期設定 (Access Control → Microsoft 365)

対象

  • Access Control から Microsoft Entra ID へユーザーの同期を行うお客様

目的

  • Access Control から Microsoft Entra ID へユーザー情報の手動同期、定期同期を行う手順を説明します。

注意事項

  1. 本記事の内容は 2025 年 3 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
  2. ユーザー同期の設定には Access Control のグローバル管理者権限および Microsoft 365 の全体管理者が必要です。
  3. 管理画面へのアクセス方法は以下の記事をご参照ください。
    Access Control 管理画面へのアクセス方法
  4. ユーザー同期はドメイン単位で設定が必要です。
  5. ユーザー同期実行前に、事前に必要なユーザーを Access Control に登録する必要があります。
  6. Access Control からのユーザー同期で Microsoft Entra ID に作成したユーザーには Microsoft 365 のライセンスが付与されません。
    必要に応じて同期後に管理者にて Microsoft 365 のライセンスを付与してください。
  7. 定期同期の有効化後は、1 時間に 1 回のタイミングでユーザー情報の同期を行います。
    ※ 同期間隔の変更はできません。
  8. Active Directory から Microsoft Entra ID へのユーザー同期を行っている場合は本作業は必要ありません。

事前確認事項

手順 

1. Access Control 管理画面から [プロビジョニング設定] にアクセスします。

サイドメニュー (1).png

2. [HENNGE Access Control からの同期] メニューから [+ サービスの追加] をクリックします。

HACからのサービス追加.png

3. 同期サービスの選択画面より同期対象のサービスをクリックします。
以下の画面が表示されている場合は、 [Entra ID] をクリックします。

Entra IDを選択.png

[保存済みのデータを使用する] のメニューが表示されている場合は、[保存済みのデータを使用する] をクリックし、後続の手順 6. に進みます。
※ 手順 5. [要求されているアクセス許可] の承諾まで完了済みの場合は、本メニューが表示されます。

保存したデータを使用する.png

4. Microsoft 365 のログイン画面が表示されるので、全体管理者アカウントでログインします。

5. [要求されているアクセス許可] の画面が表示されるので、[承諾] をクリックします。

6. 以下をご参考に同期するドメインの選択や、必要に応じて設定値を変更後に [続行する] をクリックします。

・ドメイン
同期するドメインにチェックを入れます。

・ユーザー削除許容率
設定した割合以上のユーザー削除処理が実行されようとした場合に、処理をキャンセルし、意図せず大量のユーザーが削除されることを防止します。
例:ユーザー削除許容率が 65 % の場合、同期時に全体の 65% 以上のユーザーが削除される場合に処理をキャンセルします。

ドメイン選択.png

7. Microsoft Graph PowerShell のコマンドが画面に表示されるので、 コマンドをコピーして Microsoft 365 の全体管理者アカウントで実行します。
※ コマンドを利用するために、事前に下記の手順を実施してください。
Microsoft Graph PowerShell SDKのインストール
※ 本画面は実施有無に関わらず表示されます。過去に本作業をすでに実施している場合は対応不要なため手順 10. へ進みます。

コマンド画面.png

8. Microsoft 365 のログインを求められた場合は、 全体管理者権限を持つアカウントで Microsoft 365 にログインします。

9. 手順 7. で実施した Microsoft Graph PowerShell コマンドの実行結果に赤字でエラーが出力されていないことを確認します。
エラーが発生した場合は下記の記事をご参照ください。
エラーメッセージ集 Microsoft Graph PowerShell
※ 解決しない場合は対象のエラー画面のキャプチャを取得し、HENNGE One 導入担当者 / サポート窓口までお知らせください。

10. Microsoft Graph PowerShell コマンドが正しく実行されたことを確認したら [続行する] をクリックします。

続行する.png

11. 同期対象ドメインそれぞれの [同期プレビューを開始] をクリックし、想定されるユーザー同期結果を出力します。
※ 複数ドメインがある場合は、ドメインごとに同期プレビューを実施してください。

同期プレビュー.png

12. [結果のダウンロード] を選択し、ダウンロードした同期プレビュー結果 (csv ファイル) を確認します。
※ 複数ドメインがある場合は、ドメインごとに結果を確認してください。
※ 同期プレビューにはユーザー削除許容率が適用されないため、許容率を超えたユーザー削除のプレビューが出力する可能性があります。

結果のダウンロード (1).png

以下を参考に同期プレビューの結果を必ず確認してください。

同期結果に想定外の Add、Delete、Update のユーザーが含まれていた場合は、[キャンセル] を押してユーザー情報の編集等を完了後に再度お試しください。
ご不明な場合は、HENNGE One 導入支援担当者へお知らせください。
※ 同期プレビュー結果出力時のユーザー一覧の並び順の変更はできません。
※ 出力したユーザー一覧に各ユーザーの Immutable ID が出力します。 

同期プレビュー結果に Add または Delete が表示された場合+

Add または Delete 対象のユーザーが想定されたユーザーか確認してください。
Add や Delete の対象外としたいユーザーがいた場合は [キャンセル] をクリックし、Access Control または Microsoft Entra ID 側でユーザー情報の登録、削除後に再度お試しください。

同期プレビュー結果に Update が表示された場合+

Update 対象ユーザーの同期項目の値が想定通りか確認してください。
Access Controlにご登録いただいているユーザー情報と、Microsoft 365にご登録いただいているユーザー情報を比較することで、更新内容を確認できます。
Update で想定外のユーザーがいた場合は [キャンセル] をクリックし、Access Control または Microsoft Entra ID 側でユーザー情報の編集後に再度お試しください。
ユーザー同期時の同期項目の詳細は、以下記事をご参照ください。
Access Control Microsoft 365 とのユーザー同期の同期項目は?
Access Control のユーザー一覧のダウンロード手順は下記の記事をご参照ください。
Access Control ユーザー一覧のダウンロード

Microsoft Entra ID ユーザー情報の一括エクスポート手順
以下のコマンドで Microsoft Entra ID のユーザーを情報を一括でエクスポートし、同期プレビュー結果の確認に利用することができます。
※ 本コマンドによる動作はMicrosoft Entra ID の仕様となりますので、詳細は Microsoft 社にお問い合わせください。

1. Microsoft Graph を管理者権限で起動し、次のコマンドを実行してください。
※ ログインダイアログが表示された場合は、Microsoft 365 の全体管理者権限を持つアカウントでログイン処理を続行してください。

Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop

2. 以下のコマンドを実行します。
※「"*@連携対象ドメイン"」の箇所に、同期対象ドメインの値を指定してください。
例 :「"*@example.com"」
※「任意のパス」の箇所にエクスポート先のパスを指定してください。

Get-MgUser -all -Property MailNickname, UserPrincipalName, surname, givenname,DisplayName, OnPremisesImmutableId |Where-Object {$_.UserPrincipalName -like "*@連携対象ドメイン"} | Select-Object MailNickname, UserPrincipalName, surname, givenname, DisplayName, OnPremisesImmutableId | Export-Csv -Path "/任意のパス/msusers.csv" -NoTypeInformation


Access Control ユーザー情報の一括エクスポート手順


13. 内容に問題がなければ [続行する] をクリックします。

認証設定画面の続行.png

14. [定期同期の設定] または [今すぐ同期] を選択し、[実行する] をクリックします。
※ 同期プレビューおよび今すぐ同期を実施し、想定通りに同期されたことを確認した上で、定期同期の設定を行うことを推奨します。

今すぐ同期
ユーザー情報の同期 (追加、削除、更新) を即時実施します。
※ [今すぐ同期] を実行すると、即時でユーザー情報の同期 (追加、削除、更新) が実行され、Microsoft 365 のユーザーが更新されます。
同期プレビューが想定通りの結果であることを確認した上で実行してください。

定期同期の設定
1 時間に 1 回のタイミングで、同期元サービスから同期先サービスへユーザー情報の定期同期 (追加、削除、更新) を行います。
同期 (追加、削除、更新) について

  • 追加 : 同期元サービスにのみユーザーが存在し、同期先サービスにユーザーが存在しない場合、同期先サービスにユーザーを追加します。
  • 削除 : 同期元サービスにユーザーが存在せず、同期先サービスにユーザーが存在する場合、同期先サービスのユーザーを削除します。
  • 更新 : 同期元、同期先のサービスで同じユーザーが存在し、姓名、表示名などの項目に差分がある場合に同期先サービスの値を同期元の値に更新します。

プロビジョニング設定_同期実行.png

15. [同期ログを確認する] をクリックし、同期結果を確認します。
※ [Entra ID の定期実行] を選択した場合、定期同期を有効化した段階では同期処理は実施されないため、同期ログには表示されません。
定期同期を有効後、1 時間 に 1 回ユーザー情報の定期同期が実行され、同期ログが出力します。
同期のログの確認方法の詳細は以下の記事をご参照ください。
同期ログを確認する (モダンビュー)
※ ユーザー同期が正常に完了していることを確認した時点で、必ず HENNGE One 導入担当者 / サポート窓口までご連絡ください。

同期ログを確認する.png

複数のドメインをご利用の場合で、後から別のドメインのユーザー情報の設定を行う場合は、以下の手順をご参照ください。
Access Control ユーザー定期同期をするドメインの追加 (Access Control → Microsoft 365)