ソフトマッチは、Microsoft 365 上で作成したユーザーとオンプレミス AD 上で作成したユーザーについて、双方のプライマリ SMTP アドレス、または UPN が一致する場合には、ソフトマッチによる紐付けが行われます。
ソフトマッチの動作として、メールアドレスの値でのマッチングを行う SMTP ソフトマッチの後にUPN の値でのマッチングが行われる動作となります。
マッチング順位
Azure AD Connect では、同期処理を行う際、以下の流れでオンプレミス AD 側のオブジェクトと Azure AD 側のオブジェクトのマッチングを確認します。
ソースアンカー (ImmutableID) の値が同じオブジェクトがあるか -> ハードマッチ
proxyAddresses/mail の値が同じオブジェクトがあるか -> SMTP ソフトマッチ
UPN の値が同じオブジェクトがあるか -> UPN ソフトマッチ
なお、ソフトマッチが実施されると、Microsoft 365 側の同期済みに変換された該当オブジェクトの各同期対象の属性値は、オンプレミス AD 側に設定されている各属性値によって上書きされます。
そのため、ソフトマッチによる紐づけを行う場合には、Microsoft 365 側で設定している情報をオンプレミス AD 側にて設定するなど、ソフトマッチ実行時にオンプレミス AD 側の情報でクラウド側のオブジェクトの属性値が上書きされても問題がないように実施してください。
注意事項
プライマリ SMTP アドレスまたは UPN によるソフト マッチは該当ユーザーの初回同期時にのみ実施され、誤って異なるオンプレミス AD 側のユーザーと紐付いた場合は、再度、別のユーザーとの紐付けを行うことはできません。
なお、ソフトマッチにより、クラウド ユーザーから同期済みユーザーに変換された後、対象ユーザーのみを Microsoft 365 管理のクラウド ユーザーに戻すことはできないことにもご注意ください。
また、オンプレミス AD 側のユーザーの初回同期時にメール アドレスおよび UPN が未設定の場合やMicrosoft 365 側のクラウド ユーザーのメール アドレスまたは UPN と不一致であった場合には、別ユーザーとして同期され、Microsoft 365 側に同名の新規ユーザーが作成されてしまいます。
同名の新規ユーザーとして Microsoft 365 に同期されてしまった場合は、その後オンプレミス AD 側にてメール アドレスや UPN を修正して同期しても、重複エラーが発生し、ソフト マッチは実施されません。
この場合は、Microsoft 365 側に作成された新規ユーザーを PowerShell コマンド (Remove-MgUser) にて完全削除したうえで、改めてディレクトリ同期を実施する必要があります。
その他の注意事項として、現在、Microsoft 365 側で何らかの管理者権限が付与されているクラウドユーザーはソフトマッチを行うことが制限されており、管理者アカウントに対しソフト マッチを試みた場合はアドレスの競合によるエラーが発生します。
そのため、既存の管理者アカウントを同期済みユーザーに変換する要件がある場合は、一時的に一般ユーザーに降格してソフトマッチを実施し、同期済みユーザーに変換された後に改めて管理者権限を付与する方法をご検討ください。
また、以下の公開情報に記載があるとおり、ハイブリッド展開の環境などオンプレミス AD 側の [msExchRemoteRecipientType] 属性に値が設定されている場合は影響がありますのでご注意ください。
[msExchRemoteRecipientType] 属性が未設定や存在しない場合は影響がありません。
また、ソフトマッチの作業について、定期同期により予期しないタイミングで Azure AD へユーザーが同期されることを防ぐため作業中は下記のコマンドにて定期同期を停止することをお勧めします。
PowerShell コマンドにて 同期スケジューラを無効にする方法
<コマンド>
Set-ADSyncScheduler -SyncCycleEnabled $false
PowerShell コマンドにて 同期スケジューラを有効にする方法
<コマンド>
Set-ADSyncScheduler -SyncCycleEnabled $True
[スケジューラの構成] - [スケジューラを無効にする] 項目をご確認ください。