皆さんこんにちは。国井です。
Microsoft Entra IDって最近、機能が増えすぎて基本的なところを確認する機会が失われているように思います。なので、今日は基本に戻ってMicrosoft Entra Connectから同期されたユーザーの無効化機能について色々なパターンを考えてみたいと思います。
2024年11月18日追記
Azure ADからMicrosoft Entra IDへの名称変更に伴い、加筆修正しました。
Microsoft Entra ユーザーの無効化
Active Directoryではアカウントの無効化って明確な設定がありますが、Microsoft Entra IDには有効/無効という設定項目がありません。そのため、[サインインのブロック]が有効/無効の設定の代わりを果たしています。
Microsoft Entra Connectで同期された無効なユーザー
次にMicrosoft Entra Connectを使って無効なActive Directoryユーザーを同期すると、[サインインのブロック]欄が[はい]になった状態のユーザーが出来上がります。[サインインのブロック]欄は[いいえ]にすることもできますが、オンプレミスの設定が優先されるので、次回同期時に[サインインのブロック]設定は[はい]に戻ります。
Microsoft Entra Connectで同期される無効扱いのユーザー
その他、Active Directoryで[アカウントを無効にする]を設定する以外にも、ユーザーを利用できなくする設定は色々あります。これらの設定を行ったのちMicrosoft Entra Connectでユーザーを同期するとMicrosoft Entra IDのユーザーにはその設定が反映されるのか調べてみました。結果は以下の通りです。
| ADの設定 | Microsoft Entraユーザーは無効化されるか? |
| アカウントの無効化 | はい |
| ロックアウト | いいえ |
| ログオン時間 | いいえ |
| ログオン先 | いいえ |
| パスワードの有効期限切れ | いいえ |
あらら、アカウントは無効にしない限りMicrosoft Entra IDのユーザーが無効になることはないのですね。
削除したユーザー
Microsoft Entra IDに作られたユーザーを削除した場合、Microsoft Entra IDのゴミ箱である[削除済みのユーザー]に格納します。
画面にも書いてある通り、削除してから30日以内であれば復元できるので、「あ、やっちまった」ってときは[削除済みのユーザー]からユーザーを選んで[ユーザーの復元]をクリックして復元しましょう。そうすれば、パスワードも含めてちゃんと復元してくれます。
同期したユーザーの削除
Microsoft Entra Connectで同期したユーザーをActive Directory側から削除した場合、Microsoft Entra IDに同期されたユーザーも削除されます。
そして、削除されたユーザーはAzure ADに直接作成したユーザーと同じく[削除済みユーザー]に格納されます。
ここからが興味深いのですが、[削除済みユーザー]を復元すると、Microsoft Entra Connectと同期されたユーザーとしてではなく、Microsoft Entra IDに直接作成したユーザーとして復元されます。
少し詳しく動きを説明します。
上の図では、user1とuser2という2つのユーザーがあります。2つのユーザーはもともとActive Directoryに作成したユーザーをMicrosoft Entra Connectで同期したものですが、user2だけはActive Directoryから削除し、その後、同期を行いました。
すると、user2は一度削除されます。削除されたユーザーは先ほどの説明の通り[削除済みのユーザー]に格納されます。(この時点でソースが[Azure Active Directory] (Microsoft Entra ID) になっているのはなぜ??)
そして、ユーザーを復元すると、Azure ADのユーザーとして復元されます。
これにより、user2はActive Directoryからは完全に切り離されたMicrosoft Entra IDのユーザーとなるので、属性情報も自由に設定できるようになります。
