オンプレミスADとEntra IDで同期していない同一のユーザーがいるシチュエーションにおいて、
ADとEntra IDのユーザーの紐づけを行うことをソフトマッチ、もしくはハードマッチという。
詳細は以下のリンク
ソフトマッチによる Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法
こんにちは、Azure & Identity サポート チームの菊池です。 Azure AD 上のユーザーをオンプレミス Active Drectory ユーザーと紐づける方法として、ハードマッチとソフトマッチと呼ばれる方法があります。今回...
jpazureid.github.io
オンプレAD環境で業務をしており、それとは別でM365を使っているという状況において、
Entra ConnectなどでオンプレADとEntra IDが同期されていない状況で、1人のユーザーがADとEntra IDにそれぞれ独立したユーザーアカウントを所持している構成を考える。
ここで、Entra Connectを使ってADとEntra IDを同期したい時、以下2パターンの状況が想定される。
- ADとEntra IDのUPNが同じであり、同期が正常に行われるのか
- ADとEntra IDのUPNが異なっており、1人のユーザーがEntra ID上で2つのUPNを持つ可能性
実際に同期をしてみるとソフトマッチという動作が走り、以下の条件を満たせば2つのユーザーは同期される。
- proxyAddress(Mail属性)が一致している
- UPNが一致している
※proxyAddress:1ユーザが複数のメールアドレスで受信できるようにするためのメールアドレス設定項目
どちらも満たさないが、ユーザーを同一化させたい場合は「ImmutableID」を用いたハードマッチを行う。
処理の優先度は以下の順で行われる
- ハードマッチ
- proxyAddressのソフトマッチ(smtpソフトマッチ)
- UPNソフトマッチ
smtpソフトマッチの仕様
proxyAddressのプロパティでソフトマッチをさせるがUPNが異なっている時、
Entra ID側のUPNはADのUPNに変換される。
また、管理者ロールが付与されているユーザーはソフトマッチされないので、
一旦管理者ロールを剥奪してマッチさせてから、再度ロール付与する必要がある。
SMTPが複数登録されている場合はどうなるんだろう・・・?(要確認)
コメント