SharePoint Server サブスクリプション エディションでユーザー ピッカーを構成する
適用対象:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
SAML 1.1 や OIDC 1.0 などの先進認証 (信頼できる ID プロバイダー) が使用されている場合、ユーザー選択コントロールは、C# 経由でカスタム クレーム プロバイダーの書き込みを行わない場合は、ユーザーやグループの検索、解決、検証を行うことができません。 SharePoint Server サブスクリプション エディションでは、ユーザー ピッカーが強化され、ユーザー プロファイル アプリケーション (UPA) のプロファイルに基づいてユーザーやグループを解決できるようになりました。
UPA は、信頼できる ID プロバイダーのメンバーシップ ストアからユーザーとグループを同期するように構成する必要があります。 これにより、ユーザー ピッカーは、カスタム クレーム プロバイダーが必要なく、有効なユーザーやグループのみを解決することができます。 詳細については、「先進認証用に強化されたユーザー ピッカー」を参照してください。
この記事では、PowerShell コマンドレットを使用して SharePoint Server Subscription Edition で People Picker を構成するのに役立ちます。
People Picker では LDAPS (TLS 接続暗号化) がサポートされます
組織がネットワーク経由の暗号化されていない通信のリスクを認識するにつれて、すべてのネットワーク接続に暗号化を必要とするポリシーを実装することを選択する人もいます。 HTTP は、組織が保護する最も一般的なプロトコルの 1 つですが、他のネットワーク通信プロトコルもあります。 そのうちの 1 つは、アプリケーションがディレクトリ サービスにアクセスするために使用するライトウェイト ディレクトリ アクセス プロトコル (LDAP) です。 SharePoint People Picker 機能では、LDAP を使用して Active Directory フォレストとドメイン内のユーザーとグループを検索します。 LDAP は既定では暗号化プロトコルではありませんが、暗号化を有効にするオプションがいくつかあります。
LDAP トラフィックの暗号化を必要とする組織を容易にするために、SharePoint People Picker 機能により、SharePoint Server サブスクリプション エディション バージョン 23H2 の Secure LDAP (LDAPS) のサポートが追加されました。 これにより、People Picker は TLS 接続暗号化を使用して、TCP ポート 636 および 3269 への LDAP トラフィックを保護できます。
SharePoint People Picker で Secure LDAP (LDAPS) を有効にするには、 SecureSocketsLayer
スイッチ パラメーターを Set-SPPeoplePickerConfig
と powerShell コマンドレット Add-SPPeoplePickerSearchADDomain
使用します。
例:
Set-SPPeoplePickerConfig -WebApplication https://team.contoso.local -SecureSocketsLayer
Add-SPPeoplePickerSearchADDomain -WebApplication https://team.contoso.local -DomainName "contoso.local" -SecureSocketsLayer
詳細については、「 SharePoint でのユーザー選択ウィンドウの計画」を参照してください。
People Picker を構成するための PowerShell コマンドレット
SharePoint Server サブスクリプション エディションでは、PowerShell コマンドレットを使用して、 stsadm.exe
コマンドの代わりに People Picker 設定を構成できます。
Get-SPPeoplePickerConfig
指定した Web アプリケーションの People Picker 設定を取得するには、次の PowerShell コマンドレットを使用します。
Get-SPPeoplePickerConfig
-WebApplication <SPWebApplicationPipeBind>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Get-SPPeoplePickerConfig
を参照してください。
Set-SPPeoplePickerConfig
Set-SPPeoplePickerConfig
コマンドレットを使用して、指定した Web アプリケーションの次の People Picker 設定を構成します。
- People Picker クエリを使用して AD に送信されるカスタマイズされたクエリ フィルター
- People Picker クエリを使用して AD に送信されるカスタマイズされたクエリ
- AD 検索のタイムアウト前の時間
- [名前の確認] ボタンをクリックしたときに、People Picker コントロールがサイト コレクション ユーザーのみを返す必要があるかどうか
- [ユーザーとグループの選択] ダイアログ ボックスを使用する場合に、People Picker コントロールがサイト コレクション ユーザーのみを返す必要があるかどうか
- Web アプリケーションがフォーム ベースの認証を使用する場合に Active Directory 以外のユーザーのみを返すかどうか
Set-SPPeoplePickerConfig
-WebApplication <SPWebApplicationPipeBind>
[-ActiveDirectoryCustomFilter <String>]
[-ActiveDirectoryCustomQuery <String>]
[-ActiveDirectorySearchTimeout <Int32>]
[-PeopleEditorOnlyResolveWithinSiteCollection]
[-OnlySearchWithinSiteCollection]
[-NoWindowsAccountsForNonWindowsAuthenticationMode]
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Set-SPPeoplePickerConfig
を参照してください。
Add-SPPeoplePickerSearchADDomain
このコマンドレットを使用して、ユーザーピッカーがユーザーを検索するときに使用する一覧にフォレストまたはドメインを追加します。
Add-SPPeoplePickerSearchADDomain
-WebApplication <SPWebApplicationPipeBind>
-DomainName <String>
[-IsForest]
[-Index <Int32>]
[-Credential <PSCredential>]
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Add-SPPeoplePickerSearchADDomain
を参照してください。
Clear-SPPeoplePickerSearchADDomain
このコマンドレットを使用して、指定した Web アプリケーションの People Picker 検索フォレストとドメインの一覧をクリアします。
Clear-SPPeoplePickerSearchADDomain
-WebApplication <SPWebApplicationPipeBind>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Clear-SPPeoplePickerSearchADDomain
を参照してください。
Get-SPPeoplePickerSearchADDomain
このコマンドレットを使用して、ユーザー選択ウィンドウでユーザーを検索するときに使用するすべての Active Directory フォレストまたはドメインを返します。
Get-SPPeoplePickerSearchADDomain
-WebApplication <SPWebApplicationPipeBind>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Get-SPPeoplePickerSearchADDomain
を参照してください。
Remove-SPPeoplePickerSearchADDomain
このコマンドレットを使用して、ユーザーピッカーがユーザーを検索するときに使用するドメインのフォレストを一覧から削除します。
Remove-SPPeoplePickerSearchADDomain
-WebApplication <SPWebApplicationPipeBind>
-DomainName <String>
[-IsForest]
[-UserName <String>]
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Remove-SPPeoplePickerSearchADDomain
を参照してください。
Add-SPPeoplePickerDistributionListSearchDomain
このコマンドレットを使用して、People Picker 配布リストの検索ドメインにドメインを追加します。
Add-SPPeoplePickerDistributionListSearchDomain
-WebApplication <SPWebApplicationPipeBind>
-DomainName <String>
[-Index <Int32>]
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Add-SPPeoplePickerDistributionListSearchDomain
を参照してください。
Clear-SPPeoplePickerDistributionListSearchDomain
このコマンドレットを使用して、People Picker 配布リストの検索ドメインの一覧をクリアします。
Clear-SPPeoplePickerDistributionListSearchDomain
-WebApplication <SPWebApplicationPipeBind>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Clear-SPPeoplePickerDistributionListSearchDomain
を参照してください。
Get-SPPeoplePickerDistributionListSearchDomain
このコマンドレットを使用して、People Picker 配布リストの検索ドメイン内のすべてのドメインを返します。
Get-SPPeoplePickerDistributionListSearchDomain
-WebApplication <SPWebApplicationPipeBind>
[-DomainName <String>]
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Get-SPPeoplePickerDistributionListSearchDomain
を参照してください。
Remove-SPPeoplePickerDistributionListSearchDomain
このコマンドレットを使用して、People Picker 配布リストの検索ドメインからドメインを削除します。
Remove-SPPeoplePickerDistributionListSearchDomain
-WebApplication <SPWebApplicationPipeBind>
-DomainName <String>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Remove-SPPeoplePickerDistributionListSearchDomain
を参照してください。
Add-SPPeoplePickerServiceAccountDirectoryPath
このコマンドレットを使用して、ユーザー 選択ウィンドウ サービス アカウントのディレクトリ パスの一覧に OU を追加します。
Add-SPPeoplePickerServiceAccountDirectoryPath
-WebApplication <SPWebApplicationPipeBind>
-OrganizationalUnitName <String>
[-Index <Int32>]
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Add-SPPeoplePickerServiceAccountDirectoryPath
を参照してください。
Clear-SPPeoplePickerServiceAccountDirectoryPath
このコマンドレットを使用して、People Picker サービス アカウントのディレクトリ パスの一覧の OU をクリアします。
Clear-SPPeoplePickerServiceAccountDirectoryPath
-WebApplication <SPWebApplicationPipeBind>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Clear-SPPeoplePickerServiceAccountDirectoryPath
を参照してください。
Remove-SPPeoplePickerServiceAccountDirectoryPath
このコマンドレットを使用して、People Picker サービス アカウントのディレクトリ パスの一覧から OU を削除します。
Remove-SPPeoplePickerServiceAccountDirectoryPath
-WebApplication <SPWebApplicationPipeBind>
-OrganizationalUnitName <String>
[-AssignmentCollection <SPAssignmentCollection>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
詳細については、Remove-SPPeoplePickerServiceAccountDirectoryPath
を参照してください。