特定の属性を持つユーザーのみディレクトリ同期

皆さんこんにちは。国井です。

Azure Active Directory Connect(AAD Connect)を使って、ディレクトリ同期を行う際、同期したくないユーザーやグループってあると思います。このことについては、以前にもOffice 365管理者のためのディレクトリ同期ツール入門(3)という投稿の中でも紹介させていただきましたが、その当時はDirSyncだったので、今回はAAD Connectを使って一部のユーザーを同期させない方法を紹介したいと思います。

■Synchronization Rules Editor

Synchronization Rules Editorとは文字通り、同期のルールを定義したもので、
ディレクトリ同期ツールで実行される、すべてのルールはこのツールで設定されたルールに基づいて行われます。そのため、このツールの中で、それぞれの環境に合わせたルール設定をすればよいのです。
image

■ルール設定

AAD Connectをインストールしたサーバーで、スタート画面からSynchronization Rules Editorを起動し、表示されるツールから[Add new rule]をクリックして、新しくルールを作成します。
(既存のルールを変更してはいけません。必ず新規にルールを作成して定義してください)

新しくルールを作成するウィザードで、
Connected SystemにはActive Directoryのドメイン名
Connected System Object Typeにはuser
Metaverse Object Typeにはperson
Link Typeにはjoin
Precedenceには50(100以下なら、最優先のルールになります)

と入力・設定します。
余談ですが、Connected SystemとはFIM/MIMのコネクタスペースに相当します。

image

続いて、Scoping Filterでは、同期させないユーザーの条件を入力します。
ここでは、
department – NOTEQUAL – 営業
としているので、部署が営業以外のユーザーはすべて同期しないという意味になります。
(2016年9月15日追記 Valueに2バイトが入っていると正しく認識しない可能性があります)

image

最後のTransformationでは、
Constant – cloudFiltered – True
と条件を入れています。cloudFiltered属性をTrueにセットすることで、
Azure AD に同期しないで!という設定になります。

image

以上で完了です。
ディレクトリ同期を今すぐ実行する方法 – AADSync版でも紹介した方法で、ディレクトリ同期を今すぐ実行すれば、一部のユーザーだけが同期することが確認できます。