このドキュメントでは、フェデレーションディレクトリを使用して Azure Sync を構成するときに発生する一般的な質問について説明します。また レガシー Azure Connector に関する追加情報も併せて取り扱います。

Azure Sync | 重要な考慮事項とよくある質問

以下では、よくある質問や重要な検討事項についての回答を示します。

Azure AD Connector が機能している場合は、現在のセットアップを維持することをお勧めします。将来的に、セルフサービスの移行機能で、Azure Sync の新バージョンへの移行できるようになります。

セルフサービスの移行が利用可能になるまで、Azure AD コネクタのセットアップを維持することを強くお勧めします。今すぐ新しい Azure Sync に移行すると、サービスが中断し、ユーザーのアセットが失われる可能性があります。

Azure AD Connector 関連の質問については、こちらの FAQ をご覧ください。

はい。Azure Sync は、メールアドレスをユーザー名から切り離します。これにより、ユーザーは、異なるメールアドレスとユーザー名の値を使用してログインを検証し、アドビ製品やサービスへのアクセス、共同作業、ファイル共有などをおこなうことができます。

はい。Azure Sync の統合を通じて、Azure AD からネストされたグループを同期できます。

ただし、ネストされたグループは、グループの親ノードが同期スコープに追加されたときに自動的に同期されません。自動同期に含めるには、ネストされたグループもスコープに追加する必要があります。

はい。Azure AD での更新は、Adobe Admin Console ディレクトリに反映されます。これには、FirstName、LastName、Email などの属性が含まれます。

はい。このようなディレクトリで Azure Sync を使用するには、Azure AD インスタンス内でユーザーを管理している必要があります。

同期サイクルは Azure によって制御され、40 分に 1 回実行されます。Adobe Admin Console でユーザーの追加や更新に要する時間は、同期範囲内のユーザー数によって異なります。

 

アカウントステータス列はユーザーディレクトリユーザーリストの両方に表示され、特定のユーザーの現在のステータスを管理者に通知します。

Azure Active Directory と同期されているフェデレーションユーザーの場合、ユーザーは Azure Sync を介して読み取り専用モードで管理されます。ステータスは組織のディレクトリ内のステータスによって異なります。アクティブステータスだけが同期されたユーザーのユーザーリストに表示されます。AD の同期スコープから削除されたユーザーは、ユーザーリストに表示されなくなりますが、ディレクトリユーザーリストに無効ステータスとしてまだ存在します。

  • アクティブ:SSO ログインおよびライセンスアクセスに使用できるユーザーアカウント。同期が構成されている場合、「アクティブ」なユーザーは自動同期の範囲内にあります。

  • 無効:SSO ログインまたはライセンスアクセスに使用できないユーザーアカウント。同期が構成されている場合、「無効」なユーザーが組織のディレクトリの同期範囲から除外されます。そのユーザーは自分のアカウントやプロビジョニングされたライセンスへのログインアクセスができなくなりますが、クラウドに保存されているアセットは利用できます。「無効」なユーザーはディレクトリユーザーリストにのみ表示され、ユーザーのアドビアカウントはディレクトリユーザーリストから完全に削除する操作のみできます。

ユーザー同期ツールや UMAPI 統合を使用している場合は、まず他の形式の同期を一時停止してから、Azure Sync を設定して、Azure ポータルからユーザー管理を自動化する手順に従う必要があります。

ユーザー同期ツールまたは UMAPI 統合は、Azure Sync を設定および実行した後、完全に削除できます。

Azure AD から Azure Sync を管理するときに注意する必要がある一連の一般的なエラーメッセージが表示されます。様々なエラーメッセージの原因に対する理解は、エラーが発生したときのトラブルシューティングに役立ちます。

Azure AD 内でのデプロイメントの監視について詳しくはこちらを参照してください。

はい。フェデレーションディレクトリから Azure Sync を無効化または削除することもできます。これにより、自動同期は削除されますが、ディレクトリ、ドメイン、およびディレクトリのユーザーはそのまま維持されます。

同期を削除する場合は、Azure AD によるディレクトリの強制隔離を防ぐために、Azure AD での元の同期のユーザープロビジョニングもオフにしておく必要があります。

デフォルトでは、ユーザーが Azure Sync で管理されなくなった場合、誤ってデータが失われないように無効化だけがおこなわれます。

ユーザーを完全に削除するには、同期タブで、同期されたユーザーの編集を有効にした後、Admin Console でユーザーを手動で削除する必要があります。

(レガシー)Azure AD | よくある質問

(レガシー)Azure AD コネクタを使用して Admin Console ディレクトリを設定した場合の疑問点については、こちらに解決策が記載されている可能性があります。従来型コネクタの機能、統合シナリオ、同期の問題に関連する質問については、こちらを参照してください。

Azure AD コネクタを介した Federated ID ユーザーアカウントのみを作成できます。選択できる ID タイプについて詳しくはこちらをご覧ください。

Azure AD コネクタは、プライマリトラスティ Admin Console の関係にあるプライマリ Admin Console に対してのみ、ユーザー管理を提供できます。トラスティ Admin Console は、フェデレーションディレクトリでシングルサインオンを利用できますが、別の形式のユーザー管理(例:CSV 手動アップロード、ユーザー同期ツール、ユーザー管理 API など)を使用する必要があります。

UST は、Azure AD によって管理されていないドメインに対してのみ実行できます。Azure AD 管理ドメインで UST を実行すると、競合が発生します。

はい、しています。追加の設定は不要です。

はい。SHA-256 証明書は、Azure AD コネクタでサポートされています。

FirstName、LastName、Username、Email、Country Code です。

同期は 15 分ごとに実行され、連携する Azure AD セキュリティグループで識別された変更に基づいて Admin Console を更新します。コネクタのランディングページでは、Admin Console で使用できるトリガー同期機能があり、システム管理者が 15 分間隔でいつでも同期を強制することができます。ただし、オンプレミスの Active Directory を使用した場合は、トリガー同期を強制的に実行したときに若干の遅延が発生することがあります。

次の手順に従って、ID タイプを Federated ID に編集します。

Azure AD コネクタを確立するには、Azure AD から同期するドメインとディレクトリが、Admin Console でまだフェデレーションを確立されていないことが必須条件です。ディレクトリユーザーが既に存在する場合は、コネクタを実装する前に、関連するディレクトリユーザー、ドメイン、およびディレクトリを完全に削除する必要があります。

詳しくは、Azure AD コネクタを使用して SSO を設定するをご覧ください。

はい、SAML ディレクトリが別のクレームされたドメインにリンクしている限り可能です。

はい。ユーザーの電子メールが Microsoft Azure または Microsoft Office 365 で更新されると、それに応じて Admin Console の電子メールフィールドとユーザー名フィールドが更新されます。

ユーザーがグループ同期に属していて、Federated ID ユーザー名が Azure AD と同期しているユーザー名に一致する場合、コネクタはプロファイルを引き継いで管理します。ユーザーが同期グループに属していない場合は、プロファイルが Azure AD のプロファイルと一致する限り、ユーザーは認証を受けることができます。