※この手法はMicrosoftによりサポートされておりません

Office365のディレクトリ同期ツールを利用すると、ローカルのActive Directoryからユーザやグループの情報がOffice365側に同期されます。

この時、対象となるOUなどを絞ることはできず、フォレスト全体を対象として同期が実施されますが、一部条件に該当するのアカウント（例えば、isCriticalSystemObjectがTrueのオブジェクトなど）は同期されず、結果的にほとんどのビルトインアカウント（AdministratorやDomain Adminsなど）は同期されません。

しかし、DnsUpdateProxyグループやディレクトリ同期ツール専用のアカウントなど、同期する必要は無いのに同期されてしまっている物があって気持ち悪いと感じる方の為に、フィルタリングする方法を紹介します。

1.非同期対象とするオブジェクトを特定します。今回はDnsAdmins他、4つのセキュリティグループを非同期にします。

2.ディレクトリ同期サーバにログインし、Identity Managerを起動し、Metaverse Searchから対象のオブジェクトを検索します。
Object Typeを【group】とし、結果のColumnsの選択でCommonNameを選択して表示させます。

3.オブジェクトを選択し、Propertiesを開きます。

4.【Connectors】のペインを開きます。

5.ローカルADのオブジェクトとOffice365側のオブジェクトの関連付けが表示されますので、【SourceAD】側のオブジェクトを選択し、【Disconnect】を選択し、【Explicit Disconnector】を選択します。

6.同様に、他の対象オブジェクトについてもDisconnctとした後に、差分同期をかけるとOffice365側から当該オブジェクトが削除されます。

これを利用すれば、ローカルのActive Directoryのオブジェクトを削除せずにOffice365側のオブジェクトを削除することができますので、Office365を独自ドメインで利用する の注意事項で記載したディレクトリ同期下でのドメイン削除を、より安全なやり方で実施できます。