こんにちは私は同期Active Directoryドメインサービス(ADDS)と紺碧のアクティブディレクトリ(AAD)
AADで新規ユーザーを作成するユーザーもAADSから見えるのAzure Active Directoryドメインサービス(ADDS)に問題があります。しかし、AADからユーザーを削除すると、ユーザーはAADSから引き続き表示されますが、無効とマークされます。私はユーザーがAADSでも削除されることを期待していました。また、AAD(新規ID)でユーザーを再作成する場合、ユーザーはAADSで無効とマークされます。
オンプレミスADはなく、ADConnectはインストールされていません。
AADとAADSが期待どおりに同期しないのはなぜですか?そして、再同期を強制するにはどうしたらいいですか?
私はドキュメントをより慎重に読んだ後にそれを理解しました。明らかに削除されたユーザーは、30日間リサイクルビンに入れられ、そこから復元することができます。私にとっての解決策は、リサイクルビンを単にクリアして、ユーザーを削除するときもそうすることです。
$deletedUsers = Get-MsolUser -ReturnDeletedUsers -All
foreach($user in $deletedUsers)
{
echo $user.DisplayName
Remove-MsolUser -ObjectId $user.ObjectId -RemoveFromRecycleBin -Force
}
Azure ADとAzure AD DSの初期同期後、変更の更新には通常約20分かかります。アップデートには、Azure ADで作成されたパスワードの変更や属性の変更が含まれます。
詳しくは下記をご覧ください。
ユーザーアカウント、グループメンバーシップ、および資格ハッシュは、あなたのAzure ADドメイン サービス管理するドメインにあなたのAzure ADテナントから を同期しています。この同期処理は自動的に行われます。 この同期を設定、監視、または管理する必要はありません。 プロセス。ディレクトリ の1回限りの初期同期が完了したら、 Azure ADの変更が管理対象ドメインに反映されるまでに通常20分ほどかかります。この同期 間隔は、パスワード変更または属性の変更に適用されます。 Azure AD。ユーザーが同期のための属性の中で、ユーザーの属性は、AzureのADにをaccountEnabledまた
は、AzureのAD DSのユーザー属性でuserAccountControlに同期されます。 Azure ADでユーザーが無効になっている場合、userAccountControlの値はACCOUNT_DISABLEDビットに設定されます。
上記の情報に基づいて、Azure ADは、同期中にAzure AD DSでユーザーとグループを作成および変更する権限しか持たないと思います。ユーザーを削除するのに十分な許可がありません。