[Access Control] ユーザー同期設定 (Microsoft Entra ID → Access Control) – HENNGE One ヘルプセンター

対象

Microsoft Entra ID から Access Control へユーザーの同期を行うお客様

目的

Microsoft Entra ID から Access Control へユーザー情報の手動同期、定期同期を行う手順を説明します。

注意事項

本記事の内容は 2025 年 4 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
ユーザー同期の設定には Access Control のグローバル管理者権限および Microsoft 365 の全体管理者が必要です。
管理画面へのアクセス方法は以下の記事をご参照ください。
HENNGE Access Control 管理画面へのアクセス方法
ユーザー同期はドメイン単位で設定が必要です。
ユーザー同期を実行する前に、必要なユーザーを Microsoft Entra ID に登録する必要があります。
Microsoft Entra ID のユーザーパスワードは Access Control に同期されません。
ユーザー同期完了後に、必ず Access Control 側で初期パスワードの設定が必要です。
定期同期の有効化後は、1 時間に 1 回のタイミングでユーザー情報の同期を行います。
※ 同期間隔の変更はできません。
Active Directory から Microsoft Entra ID へのユーザー同期を行っている場合は本作業は必要ありません。

事前確認事項

同期予定のドメインに対して、ユーザー以外のオブジェクトのドメインを変更してください。
ユーザー以外のオブジェクト UPN を onmicrosoft.com ドメインへ変更
下記の手順を実行して、お客様の環境で Microsoft Graph PowerShell が利用できることを確認してください。
Microsoft Graph PowerShell SDKのインストール
 Microsoft Graph PowerShell から Microsoft365 に接続する

手順

1. HENNGE Access Control 管理画面から [プロビジョニング設定] にアクセスします。

サイドメニュー (1).png

2. [クラウドサービスからの同期] メニュー内の [+ サービスの追加] を選択します。

MSからのサービス追加.png

3. 同期サービスの選択画面より同期対象のサービスを選択します。
以下の画面が表示されている場合は、 [Entra ID] を選択します。

Entra IDを選択.png

[保存済みのデータを使用する] のメニューが表示されている場合は、[保存済みのデータを使用する] を選択し、後続の手順 6. に進みます。
※ 手順 5. [要求されているアクセス許可] の承諾まで完了済みの場合は、本メニューが表示されます。

保存したデータを使用する.png

4. Microsoft 365 のログイン画面が表示されるので、全体管理者アカウントでログインします。

5. [要求されているアクセス許可] の画面が表示されるので、[承諾] を選択します。

6. 同期するドメインへチェックを入れ、UPNモードおよびユーザー削除許容率を設定して [続行する] をクリックします。

・ドメイン
同期するドメインにチェックを入れます。

・ユーザー削除許容率
設定した割合以上のユーザー削除処理が実行されようとした場合に、処理をキャンセルし、意図せず大量のユーザーが削除されることを防止します。
例：ユーザー削除許容率が 65 % の場合、同期時に全体の 65% 以上のユーザーが削除される場合に処理をキャンセルします。

・UPN モード　
設定によって、Access Control のユーザー名に設定する値が変化します。
※ Access Control のユーザー名は後から変更ができません。

【UPN モードが有効の場合】
Microsoft Entra ID の UserPrincipalName 属性を Access Control のユーザー名として同期します。
例 : ユーザーの UserPrincipalName 属性が「user@example.com」の場合、ユーザー名は「user@example.com」となります。
【UPN モードが無効の場合】
Microsoft Entra ID の UserPrincipalName 属性の @ までの値を Access Control のユーザー名として同期します。
例 : ユーザーの UserPrincipalName 属性が「user@example.com」の場合、ユーザー名は「user」となります。

ドメイン選択.png

7. Microsoft Graph PowerShell のコマンドが画面に表示されるので、コマンドをコピーして Microsoft 365 の全体管理者アカウントで実行します。
※ 本画面は実施有無に関わらず表示されます。
過去に本作業を実施済の場合は手順 10. へ進みます。

コマンド画面.png

8. Microsoft 365 のログインを求められた場合は、全体管理者権限を持つアカウントで Microsoft 365 にログインします。

9. 手順 7. で実施した Microsoft Graph PowerShell コマンドの実行結果に赤字でエラーが出力されていないことを確認します。
エラーが発生した場合は下記の記事をご参照ください。
エラーメッセージ集 Microsoft Graph PowerShell
※ 解決しない場合は対象のエラー画面のキャプチャを取得し、HENNGE One 導入担当者 / サポート窓口までお知らせください。

10. Microsoft Graph PowerShell コマンドが正しく実行されたことを確認したら [続行する] を選択します。

続行する.png

11. 同期対象ドメインそれぞれの [同期プレビューを開始] をクリックし、想定されるユーザー同期結果を出力します。
※ 複数ドメインがある場合は、ドメインごとに同期プレビューを実施してください。

同期プレビュー.png

12. [結果のダウンロード] を選択し、ダウンロードした同期プレビュー結果 (csv ファイル) を確認します。
※ 複数ドメインがある場合は、ドメインごとに結果を確認してください。
※ 同期プレビューにはユーザー削除許容率が適用されないため、許容率を超えたユーザー削除のプレビューが出力する可能性があります。

結果のダウンロード.png

以下を参考に同期プレビューの結果を必ず確認してください。
同期結果に想定外の Add、Delete、Update のユーザーが含まれていた場合は、[キャンセル] を押してユーザー情報の編集等を完了後に再度お試しください。
ご不明な場合は、HENNGE One 導入支援担当者へお知らせください。
※ 同期プレビュー結果出力時のユーザー一覧の並び順の変更はできません。
※ 出力したユーザー一覧の右側の列に各ユーザーごとの Imuutable ID が表示されます。

同期プレビュー結果に Add または Delete が表示された場合

Add または Delete 対象のユーザーが想定されたユーザーか確認してください。
Add や Delete の対象外としたいユーザーがいた場合は [キャンセル] をクリックし、Access Control または Microsoft Entra ID 側でユーザー情報の登録、削除後に再度お試しください。

同期プレビュー結果に Update が表示された場合

Update 対象ユーザーの同期項目の値が想定通りか確認してください。
Access Controlにご登録いただいているユーザー情報と、Microsoft 365にご登録いただいているユーザー情報を比較することで、更新内容を確認できます。
Update の内容について想定外のユーザーがいた場合は [キャンセル] をクリックし、Access Control または Microsoft Entra ID 側でユーザー情報の編集後に再度お試しください。
ユーザー同期時の同期項目の詳細は、以下記事をご参照ください。
Access Control Microsoft 365 とのユーザー同期の同期項目は？

13. 内容に問題がなければ、[続行する] をクリックします。

認証設定画面の続行.png

14. [定期同期の設定] または [今すぐ同期] を選択し、表示される注意事項を確認した上で、問題なければチェックボックスにチェックして [実行する] をクリックします。
※ 同期プレビューおよび今すぐ同期を実施し、想定通りに同期できることを確認した上での有効化を推奨します。

今すぐ同期
ユーザー情報の同期 (追加、削除、更新) を即時で実施します。
※ [今すぐ同期] を実行すると、即時でユーザー情報の同期 (追加、削除、更新) が実行され、HENNGE Access Control のユーザーが更新されます。
同期プレビューが想定通りの結果であることを確認した上で実行してください。

定期同期の設定
1 時間に 1 回のタイミングで、同期元サービスから同期先サービスへユーザー情報の定期同期 (追加、削除、更新) を行う設定を有効化します。

同期 (追加、削除、更新) について

Add : 同期元サービスにのみユーザーが存在し、同期先サービスにユーザーが存在しない場合、同期先サービスにユーザーを追加します。
Delete : 同期元サービスにユーザーが存在せず、同期先サービスにユーザーが存在する場合、同期先サービスのユーザーを削除します。
Update : 同期元、同期先のサービスで同じユーザーが存在し、姓名、表示名などの項目に差分がある場合に同期先サービスの値を同期元の値に更新します。

同期設定_同期実行.png

15. [同期ログを確認する] をクリックし、同期結果を確認します。
※ [定期同期の設定] を選択した場合、定期同期を有効化した段階では同期処理は実施されないため、即時で同期ログには表示されません。
定期同期を有効後、1 時間に 1 回ユーザー情報の定期同期が実行され、同期ログが出力します。
同期のログの確認方法の詳細は以下の記事をご参照ください。
同期ログを確認する (モダンビュー)

同期ログを確認する.png

16. Access Control 側で各ユーザーの初期パスワードを設定します。
ユーザー同期によって Access Control に作成されたユーザーには、Microsoft Entra ID 側のパスワードは同期されません。
そのため、同期完了後に管理者にて Access Control 上で初期パスワードの設定が必要です。
※ パスワードの設定を行わない限り、ユーザーは Access Control にログインできません。

パスワードの設定方法については、以下記事をご参照ください。
Access Control ユーザー情報の編集
 Access Control ユーザーの一括更新