スケジュールされたActive Directory（AD）のインポートはすべて増分インポートとして実行され、前回の増分インポート以降に更新された属性uSNChangedの値を持つユーザーオブジェクトとグループオブジェクトのみがスキャンされます。この記事では、一部の属性が増分インポート時には更新されず、手動でのフルインポート後に更新される理由について説明します。

• ディレクトリ
• Active Directory
• 増分インポート
• uSNChanged

構築された属性として定義されている特定のAD属性では、変更を加えてもADオブジェクトのuSNChanged属性が更新されません。その結果、増分インポートでは、構築された属性が変更されるとオブジェクトがスキャンされません。構築された属性は、他の属性やオブジェクトに基づいて計算されます。
ADスキーマで構築された属性かどうかを判断するには、次のPowerShellコマンドを実行します。

(Get-ADObject -SearchBase (Get-ADRootDSE).SchemaNamingContext -LDAPFilter “(&(systemFlags:1.2.840.113556.1.4.803:=4)(ObjectClass=attributeSchema))” | Select-Object Name,DistinguishedName | Sort-Object Name)

スケジュールされたインポートが環境内で使用されている場合、構築されたAD属性をOktaプロファイルにマッピングすることはお勧めしません。

関連資料

• 構築された属性
• ADの増分インポートの仕組み