メインコンテンツへスキップ
English (US) 简体中文 繁體中文

[Access Control] 導入の際にユーザー情報を Microsoft 365 から同期する手順は?

ご質問

Access Control 導入を行う際に、初期ユーザー情報を Microsoft 365 から取り込みたい。
どのような作業が必要ですか。

回答

下記の手順を実施することで、ユーザー情報を Microsoft 365 から Access Control に同期することが可能です。

注意事項

  1. 当手順は、Access Control に初期管理者以外のユーザーが存在しないことを前提としています。
    Access Control 上で既にユーザーを作成している場合は、HENNGE One 導入担当者にお問い合わせください。
  2. 本記事の内容は 2025 年 4 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
  3. ユーザー同期の設定には Access Control のグローバル管理者権限および Microsoft 365 の全体管理者が必要です。
  4. Microsoft Entra ID のユーザーパスワードは Access Control に同期されません。
    ユーザー同期完了後に、必ず Access Control 側で初期パスワードの設定が必要です。
  5. Active Directory から Microsoft Entra ID へのユーザー同期を行っている場合は本作業は必要ありません。
  6. 同期予定のドメインに対して、ユーザー以外のオブジェクトのドメインを変更してください。
    ユーザー以外のオブジェクト UPN を onmicrosoft.com ドメインへ変更
  7. 下記の手順を実行して、お客様の環境で Microsoft Graph PowerShell が利用できることを確認してください。
    Microsoft Graph PowerShell SDKのインストール
    Microsoft Graph PowerShell から Microsoft365 に接続する

手順 

1. Access Control 管理画面から [プロビジョニング設定] にアクセスします。

サイドメニュー (1).png

2. [クラウドサービスからの同期] メニュー内の [+ サービスの追加] を選択します。

MSからのサービス追加.png

3. 同期サービスの選択画面より同期対象のサービスを選択します。
以下の画面が表示されている場合は、 [Entra ID] を選択します。

Entra IDを選択.png

4. Microsoft 365 のログイン画面が表示されるので、全体管理者アカウントでログインします。

5. [要求されているアクセス許可] の画面が表示されるので、[承諾] を選択します。

6. 同期するドメインへチェックを入れ、UPNモード および ユーザー削除許容率 を設定して [続行する] をクリックします。

・ドメイン
同期するドメインにチェックを入れます。

・UPN モード 
設定によって、Access Control のユーザー名に設定する値が変化します。
※ Access Control のユーザー名は後から変更ができません。

【UPN モードが有効の場合】
Microsoft Entra ID の UserPrincipalName 属性を Access Control のユーザー名として同期します。
例 : ユーザーの UserPrincipalName 属性が「user@example.com」の場合、ユーザー名は「user@example.com」となります。
【UPN モードが無効の場合】
Microsoft Entra ID の UserPrincipalName 属性の @ までの値を Access Control のユーザー名として同期します。
例 : ユーザーの UserPrincipalName 属性が「user@example.com」の場合、ユーザー名は「user」となります。

ドメイン選択.png

7. Microsoft Graph PowerShell のコマンドが画面に表示されるので、 コマンドをコピーして Microsoft 365 の全体管理者アカウントで実行します。
※ 本画面は実施有無に関わらず表示されます。
過去に本作業を実施済の場合は手順 10. へ進みます。

コマンド画面.png

8. Microsoft 365 のログインを求められた場合は、 全体管理者権限を持つアカウントで Microsoft 365 にログインします。

9. 手順 7. で実施した Microsoft Graph PowerShell コマンドの実行結果に赤字でエラーが出力されていないことを確認します。
エラーが発生した場合は下記の記事をご参照ください。
エラーメッセージ集 Microsoft Graph PowerShell
※ 解決しない場合は対象のエラー画面のキャプチャを取得し、HENNGE One 導入担当者までお知らせください。

10. Microsoft Graph PowerShell コマンドが正しく実行されたことを確認したら [続行する] を選択します。

続行する.png

11. 同期対象ドメインそれぞれの [同期プレビューを開始] をクリックし、想定されるユーザー同期結果を出力します。
※ 複数ドメインがある場合は、ドメインごとに同期プレビューを実施してください。

同期プレビュー.png

12. [結果のダウンロード] を選択し、ダウンロードした同期プレビュー結果 (csv ファイル) を確認します。
※ 複数ドメインがある場合は、ドメインごとに結果を確認してください。

結果のダウンロード.png

以下を参考に同期プレビューの結果を必ず確認してください。
同期プレビュー結果に想定外の Add のユーザーが含まれていた場合は、[キャンセル] を押してユーザー情報の編集等を完了後に再度お試しください。
ご不明な場合は、HENNGE One 導入支援担当者へお知らせください。
※ 出力したユーザー一覧の右側の列に各ユーザーごとの Immutable ID が表示されます。 

同期プレビュー結果に Update または Delete が表示された場合は、Access Control 上に既にユーザーが存在します。
HENNGE One 導入支援担当者へお知らせください。
ユーザー同期時の同期項目の詳細は、以下記事をご参照ください。
Access Control Microsoft 365 とのユーザー同期の同期項目は?

13. 内容に問題がなければ、[続行する] をクリックします。

認証設定画面の続行.png

14. [今すぐ同期] を選択することで表示される注意事項を確認した上で、問題なければチェックボックスにチェックして [実行する] をクリックします。
※ [今すぐ同期] を実行すると、即時でユーザー情報の同期が実行され、Access Control にユーザーが作成されます。
同期プレビューが想定通りの結果であることを確認した上で実行してください。

同期 (追加、削除、更新) について

  • Add : 同期元サービスにのみユーザーが存在し、同期先サービスにユーザーが存在しない場合、同期先サービスにユーザーを追加します。
  • Delete : 同期元サービスにユーザーが存在せず、同期先サービスにユーザーが存在する場合、同期先サービスのユーザーを削除します。
  • Update : 同期元、同期先のサービスで同じユーザーが存在し、姓名、表示名などの項目に差分がある場合に同期先サービスの値を同期元の値に更新します。

同期設定_実行.png

15. [同期ログを確認する] をクリックし、同期結果を確認します。
同期のログの確認方法の詳細は以下の記事をご参照ください。
同期ログを確認する

同期ログを確認する.png

16. Access Control 側で各ユーザーの初期パスワードを設定します。
ユーザー同期によって Access Control に作成されたユーザーには、Microsoft Entra ID 側のパスワードは同期されません。
そのため、同期完了後に管理者にて Access Control 上で初期パスワードの設定が必要です。
※ パスワードの設定を行わない限り、ユーザーは Access Control にログインできません。

パスワードの設定方法については、以下記事をご参照ください。
Access Control ユーザー情報の編集
Access Control ユーザーの一括更新