手元にある Microsoft 365 のテスト環境をいじっていたところ、誤って AD 環境を潰してしまいました。
いや、 AD を潰すのは意識して行ったのですが、 Windows Hello for Business のため ADFS と AzureAD Connect を用意していたことをすっかり忘れていて Microsoft 365 側でエラーが出てしまっていたのです。
https://admin.microsoft.com/#/dirsyncmanagement
上記は 15 時間ほどディレクトリ連携がされていないよ。という内容ですが、 1 日経つと同期が停止している。とメールが飛んでくるようになります。
こんな感じのメールですね。
で、この連携を止めるには PowerShell で制御する必要があります。
もともと MSO のモジュールで行えたのですが、 MSO モジュールの EOS に伴って Graph API で実行する必要が出ています。
その方法を見ていきましょう。
まずは Microsoft.Graph をインストールしていきます。
2024 年 8 月時点の最新バージョンであればこの動作を行えるようになっています。過去バージョンが入っていても force オプションを付けることで最新版をインストールできます。
Install-Module Microsoft.Graph -force
続いてサインインです。
スコープとして Organization.ReadWrite.All を付けておく必要があります。
Connect-MgGraph -Scopes "Organization.ReadWrite.All"
その前に、以下のアドレスにアクセスしてテナント ID を取得しておきましょう。
https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Overview
中央にあるコピーボタンを利用すると簡単です。
元の PowerSehll に戻り以下のコマンドレットを実行していきます。テナント ID に当たる部分には先ほどコピーした値を設定します。
Update-MgOrganization -OrganizationId テナント ID –OnPremisesSyncEnabled:$false
このコマンドレットの戻りは特にないので、最初のステータス画面に戻ってみましょう。
すると Directory sync が Off となったことが見て取れます。
https://admin.microsoft.com/#/dirsyncmanagement
これで切り離すことができました。
連携を行っていたユーザー On-Premises Directory Synchronization Service Account は削除できないようですが、これで連携は解除されているため、エラーが発生することはなくなりました。
音楽:Moon flower
