Azure AD Connect で規定で複製される属性


Azure AD Connect を使用して、オンプレミスActive Directory から Azure Active Directory にユーザー情報やグループ情報を同期するとき、規定では以下の属性が同期されます(ちょいと長いリストですんません)。ただし、値の入っていないものについては同期されません。

赤字のものは必須属性で、複製の対象から外すことはできません。

image

accountEnabled
accountName
approximateLastLogonTimestamp
assistant
authOrig
c
cn
co
company
countryCode
dLMemRejectPerms
dLMemSubmitPerms
department
description
deviceId
deviceOSType
deviceOSVersion
deviceObjectVersion
devicePhysicalIds
deviceTrustType
displayName
domainFQDN
domainNetBios
extensionAttribute1
extensionAttribute10
extensionAttribute11
extensionAttribute12
extensionAttribute13
extensionAttribute14
extensionAttribute15
extensionAttribute2
extensionAttribute3
extensionAttribute4
extensionAttribute5
extensionAttribute6
extensionAttribute7
extensionAttribute8
extensionAttribute9

facsimileTelephoneNumber
givenName
hideDLMembership
homePhone
info
initials
ipPhone
l
legacyExchangeDN
mail
mailNickname
managedBy
manager
member
memberCount
middleName
mobile
msDS-HABSeniorityIndex
msDS-PhoneticDisplayName
msExchArchiveGUID
msExchArchiveName
msExchAssistantName
msExchAuditAdmin
msExchAuditDelegate
msExchAuditDelegateAdmin
msExchAuditOwner
msExchBlockedSendersHash
msExchBypassAudit
msExchCoManagedByLink
msExchDelegateListLink
msExchELCExpirySuspensionEnd
msExchELCExpirySuspensionStart
msExchELCMailboxFlags
msExchEnableModeration

msExchExtensionCustomAttribute1
msExchExtensionCustomAttribute2
msExchExtensionCustomAttribute3
msExchExtensionCustomAttribute4
msExchExtensionCustomAttribute5
msExchHideFromAddressLists
msExchImmutableId
msExchLitigationHoldDate
msExchLitigationHoldOwner
msExchMailboxAuditEnable
msExchMailboxAuditLogAgeLimit
msExchMailboxGuid
msExchModeratedByLink
msExchModerationFlags
msExchRecipientDisplayType
msExchRecipientTypeDetails
msExchRemoteRecipientType
msExchRequireAuthToSendTo
msExchResourceCapacity
msExchResourceDisplay
msExchResourceMetaData
msExchResourceSearchProperties
msExchRetentionComment
msExchRetentionURL
msExchSafeRecipientsHash
msExchSafeSendersHash
msExchSenderHintTranslations
msExchTeamMailboxExpiration
msExchTeamMailboxOwners
msExchTeamMailboxSharePointLinkedBy
msExchTeamMailboxSharePointUrl
msExchUserHoldPolicies
msOrg-IsOrganizational
msRTCSIP-ApplicationOptions
msRTCSIP-DeploymentLocator
msRTCSIP-Line
msRTCSIP-OptionFlags
msRTCSIP-OwnerUrn
msRTCSIP-PrimaryUserAddress
msRTCSIP-UserEnabled
oOFReplyToOriginator
objectSid
onPremisesUserPrincipalName
otherFacsimileTelephoneNumber
otherHomePhone
otherIpPhone
otherMobile
otherPager
otherTelephone
pager
physicalDeliveryOfficeName
postOfficeBox
postalAddress
postalCode
preferredLanguage
proxyAddresses
publicDelegates
pwdLastSet
registeredOwnerReference
reportToOriginator
reportToOwner
securityEnabled
sn
sourceAnchor
st
streetAddress
targetAddress
telephoneAssistant
telephoneNumber
thumbnailPhoto
title
unauthOrig
url
usageLocation
userCertificate
userPrincipalName
userSMIMECertificate
wWWHomePage

上記のリストで黄色くマークした属性があります。ExtensionAttribute1 ~ 15 です。

この属性、オンプレミスのActive Directory上には存在していません。では、何のために使うのかというと、上記のリストに含まれていない属性を複製したいときに使用します。

例えば、accountExpires 属性と pwsLastSet 属性を同期したい場合には、Azure AD Connect の構成ウィザードで、以下のように設定します。

image

構成が完了し同期が行われると、Azure AD に上記の属性が同期されています。

データを参照するには、Azure AD の GraphAPI を使用します。が、そのためだけにプログラムを組む必要はありません。Graph Explorer という便利なツールがありますので、これを使わせてもらいましょう。
以下のURLにアクセスして、ご自身のテナントのIDでサインインしてください。

https://graphexplorer.cloudapp.net/

サインインが完了したら、画面右側の「JSON]をクリックして、GET フィールドに以下のように入力してみてください。

https://graph.windows.net/pharaojp.com/users/

これによりユーザーの一覧が戻されます。

image

「+」をクリックすると、ユーザーの情報が属性とともに表示されます。一番下の行に追加した属性が表示されていることがわかります。

  • {

  • "odata.type": "Microsoft.DirectoryServices.User",
  • "objectType": "User",
  • "objectId": "",
  • "deletionTimestamp": null,
  • "accountEnabled": true,
  • "assignedLicenses": [ ],
  • "assignedPlans": [ ],
  • "city": null,
  • "companyName": null,
  • "country": null,
  • "creationType": null,
  • "department": null,
  • "dirSyncEnabled": true,
  • "displayName": "user 02",
  • "facsimileTelephoneNumber": null,
  • "givenName": "02",
  • "immutableId": "",
  • "jobTitle": null,
  • "lastDirSyncTime": "2015-08-19T03:29:58Z",
  • "mail": null,
  • "mailNickname": "user02",
  • "mobile": "+81",
  • "onPremisesSecurityIdentifier": "",
  • -

    "otherMails": [

    • "junichia@pharaojp.com"

    ],

  • "passwordPolicies": null,
  • "passwordProfile": null,
  • "physicalDeliveryOfficeName": null,
  • "postalCode": null,
  • "preferredLanguage": null,
  • "provisionedPlans": [ ],
  • "provisioningErrors": [ ],
  • "proxyAddresses": [ ],
  • "sipProxyAddress": null,
  • "state": null,
  • "streetAddress": null,
  • "surname": "user",
  • "telephoneNumber": null,
  • "usageLocation": "JP",
  • "userPrincipalName": "user02@pharaojp.com",
  • "userType": "Member",
  • "extension_ccd9f3d37141496db449ed93664111db_accountExpires": "132197184000000000",
  • "extension_ccd9f3d37141496db449ed93664111db_pwdLastSet": "130842703394309902"

残念ながら、使い慣れた PowerShell からは簡単には参照できないようです。Graphをコールするという手もあるのですが。。。

Comments (0)

Skip to main content