mailソフトマッチとは

すでにEntraID上にユーザーが存在している状態において、EntraConnectを使ってオンプレADと同期し、オンプレADのユーザーと統合したい場合に利用する。

表示名や、属性などはオンプレADの情報で上書きされ、Entra上では編集できなくなる。

詳細はこの公式サポートブログがわかりやすい。

https://jpazureid.github.io/blog/azure-active-directory-connect/aboutSoftMatching/

代替IDとしてmail属性を指定している場合、ソフトマッチはできるのか？

具体的なシチュエーション

・EntraConnectのインストール時に、Microsoft Entra のサインイン構成＞Entra ID の UPN をオンプレミスの mail 属性を指定している

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-install-custom#microsoft-entra-sign-in-configuration

・AD、EntraID上に下記のように既存ユーザーが存在する

例）

ADのUPN：mailto:12345@xxx.co.jp

ADのMail属性：mailto:tanaka@xxx.co.jp

例）

EntraのUPN：mailto:tanaka@xx.co.jp

・このユーザーをソフトマッチをさせたい。

結果

代替 ID として mail 属性を指定している場合、 Entra ID 上の UPN とオンプレミス AD 上の紐づけたいユーザーの mail が一致している場合、ソフトマッチされる。

そのため想定するシチュエーションでは、オンプレミス AD 上の mail 属性と Entra ID 上の UPN が一致している状態かと存じますので、ソフトマッチされる。

サインイン中にソフトマッチしても問題ないか

Entra ID 上の UPN はソフトマッチ後も変更されない場合は、問題ない。

ソフトマッチにより、 UPN が変更される場合は、 Entra ID 観点としては一度サインアウト、およびサインインする必要がある。