皆さんこんにちは。国井です。
今日は、いつもよく聞かれる「ディレクトリ同期の非アクティブ化」について。
Azure AD Connectによる同期を行うときの前提条件であるディレクトリ同期のアクティブ化ですが、反対にディレクトリ同期をやめたいときには非アクティブ化を行う必要があります。
ユースケースとして、検証環境などで過去にディレクトリ同期を行ったユーザーを一度すべて削除して、一から(別の)Active Directoryドメインのユーザーを同期しなおしたいというときなんかに使ったりします。
A.comドメインとAzure ADで同期して、
検証が終わったから、今度は
B.comドメインとAzure ADで同期して、
検証が終わったから、今度は
C.comドメインとAzure ADで同期して、、
って繰り返すときに、その都度非アクティブ化を行い、Azure ADドメイン内のユーザーを削除しておかないと前の検証で使っていたユーザーがどんどんたまっていきます。
それを放置すると、こんな感じに同じ名前のユーザーが複数できてしまうなどの怪奇現象?も起こったりします。
だからこそ、非アクティブ化って必要なわけであり、今まではAzureクラシックポータル(https://manage.windowsazure.com/)から非アクティブ化って設定できたのですが、新しいポータルサイトではなくなってしまったんですよね、ディレクトリ同期の非アクティブ化。
Azure AD Connectをインストールすることにより、自動的にディレクトリ同期のアクティブ化が設定されますが、検証環境などでディレクトリ同期の環境を一度リセットしたいときにはAzure AD PowerShellツールから次のコマンドレットを実行して非アクティブ化を行ってください。
Set-MsolDirSyncEnabled -EnableDirSync $false
非アクティブ化コマンドレットはAzure AD PowerShell v2には用意されていないようなので、ご注意を。
