[Access Control] ユーザー同期設定 (Access Control → Microsoft 365)

対象

• Access Control から Microsoft Entra ID へユーザーの同期を行うお客様

目的

• Access Control から Microsoft Entra ID へユーザー情報の手動同期、定期同期を行う手順を説明します。

注意事項

1. 本記事の内容は 2025 年 8 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
2. ユーザー同期の設定には Access Control のグローバル管理者権限および Microsoft 365 の全体管理者が必要です。
3. 管理画面へのアクセス方法は以下の記事をご参照ください。
   Access Control 管理画面へのアクセス方法
4. ユーザー同期はドメイン単位で設定が必要です。
5. ユーザー同期実行前に、事前に必要なユーザーを Access Control に登録する必要があります。
6. Access Control からのユーザー同期で Microsoft Entra ID に作成したユーザーには Microsoft 365 のライセンスが付与されません。
   必要に応じて、同期後に管理者から Microsoft 365 のライセンスを付与してください。
7. 定期同期の有効化後は、1 時間に 1 回のタイミングでユーザー情報の同期を行います。
   ※ 同期間隔の変更はできません。
8. Active Directory から Microsoft Entra ID へのユーザー同期を行っている場合は本作業は必要ありません。

事前確認事項

• 同期予定のドメインに対して、ユーザー以外のオブジェクトのドメインを変更してください。
  ユーザー以外のオブジェクト UPN を onmicrosoft.com ドメインへ変更

手順 

1. Access Control 管理画面から [プロビジョニング設定] にアクセスします。

2. [HENNGE Access Control からの同期] メニューから [+ サービスの追加] をクリックします。

3. 同期サービスの選択画面より同期対象のサービスをクリックします。
以下の画面が表示されている場合は、 [Entra ID] をクリックします。

[保存済みのデータを使用する] のメニューが表示されている場合は、[保存済みのデータを使用する] をクリックし、後続の手順 6. に進みます。
※ 手順 5. [要求されているアクセス許可] の承諾まで完了済みの場合は、本メニューが表示されます。

4. Microsoft 365 のログイン画面が表示されるので、全体管理者アカウントでログインします。

5. [要求されているアクセス許可] の画面が表示されるので、[承諾] をクリックします。

6. 同期するドメインの選択や、必要に応じて設定値を変更した後で [続行する] をクリックします。

• ドメイン
  同期するドメインにチェックを入れます。
• ユーザー削除許容率（※）
  設定した割合以上のユーザー削除処理が実行されようとした場合に、処理をキャンセルし、意図せず大量のユーザーが削除されることを防止します。
  例：ユーザー削除許容率が 65 % の場合、同期時に全体の 65% 以上のユーザーが削除される場合に処理をキャンセルします。

7. [要求されているアクセス許可] の画面が表示されるので、[組織の代理として同意する] にチェックして [承諾] を選択します。
※ 画面が表示されずに次の画面に進んだ場合、既に認証済みなので次の手順に進んでください。

8. 同期対象ドメインそれぞれの [同期プレビューを開始] をクリックし、想定されるユーザー同期結果を出力します。
※ 複数ドメインがある場合は、ドメインごとに同期プレビューを実施してください。

9. [結果のダウンロード] を選択し、ダウンロードした同期プレビュー結果 (csv ファイル) を確認します。
※ 複数ドメインがある場合は、ドメインごとに結果を確認してください。
※ 同期プレビューにはユーザー削除許容率が適用されないため、許容率を超えたユーザー削除のプレビューが出力する可能性があります。

以下を参考に同期プレビューの結果を必ず確認してください。

同期結果に想定外の Add、Delete、Update のユーザーが含まれていた場合は、[キャンセル] を押してユーザー情報の編集等を完了後に再度お試しください。
ご不明な場合は、HENNGE One 導入支援担当者へお知らせください。
※ 同期プレビュー結果出力時のユーザー一覧の並び順の変更はできません。
※ 出力したユーザー一覧に各ユーザーの Immutable ID が出力します。 

同期プレビュー結果に Add または Delete が表示された場合+

同期プレビュー結果に Update が表示された場合+

Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop

Get-MgUser -all -Property MailNickname, UserPrincipalName, surname, givenname,DisplayName, OnPremisesImmutableId |Where-Object {$_.UserPrincipalName -like "*@連携対象ドメイン"} | Select-Object MailNickname, UserPrincipalName, surname, givenname, DisplayName, OnPremisesImmutableId | Export-Csv -Path "/任意のパス/msusers.csv" -NoTypeInformation

10. 内容に問題がなければ [続行する] をクリックします。

11. [定期同期の設定] または [今すぐ同期] を選択し、[実行する] をクリックします。
※ 同期プレビューおよび今すぐ同期を実施し、想定通りに同期されたことを確認した上で、定期同期の設定を行うことを推奨します。

• 今すぐ同期
  ユーザー情報の同期 (追加、削除、更新) を即時実施します。
  ※ [今すぐ同期] を実行すると、即時でユーザー情報の同期 (追加、削除、更新) が実行され、Microsoft 365 のユーザーが更新されます。
  同期プレビューが想定通りの結果であることを確認した上で実行してください。
• 定期同期の設定
  1 時間に 1 回のタイミングで、同期元サービスから同期先サービスへユーザー情報の定期同期 (追加、削除、更新) を行います。
• 同期 (追加、削除、更新) について
  • 追加 : 同期元サービスにのみユーザーが存在し、同期先サービスにユーザーが存在しない場合、同期先サービスにユーザーを追加します。
  • 削除 : 同期元サービスにユーザーが存在せず、同期先サービスにユーザーが存在する場合、同期先サービスのユーザーを削除します。
  • 更新 : 同期元、同期先のサービスで同じユーザーが存在し、姓名、表示名などの項目に差分がある場合に同期先サービスの値を同期元の値に更新します。

12. [同期ログを確認する] をクリックし、同期結果を確認します。
※ [Entra ID の定期実行] を選択した場合、定期同期を有効化した段階では同期処理は実施されないため、同期ログには表示されません。
定期同期を有効後、1 時間 に 1 回ユーザー情報の定期同期が実行され、同期ログが出力します。
同期のログの確認方法の詳細は以下の記事をご参照ください。
[Access Control] 同期ログの確認
※ ユーザー同期が正常に完了していることを確認した時点で、必ず HENNGE One 導入担当者 / サポート窓口までご連絡ください。

複数のドメインを利用していて、後から別のドメインのユーザー情報の設定を行う場合は、以下の手順をご参照ください。
Access Control ユーザー定期同期をするドメインの追加 (Access Control → Microsoft 365)