SharePoint Server 2013 でユーザーとグループのプロファイルを同期する
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
プロファイルの同期 (profile sync) を構成するには、多数の手順が必要です。 この記事では、この構成プロセスをいくつかの短いフェーズに分けているので、進行状況を確認したり、間違った場合に戻る必要がある手順の数を減らしたりすることができます。 プロファイルの同期を構成するためのフェーズは 4 つあります。 状況によっては、いずれかのフェーズを実行する必要がない場合があります。 この記事には、フェーズ 0 もあり、プロファイルの同期を構成できるようにするために必要な前提条件の構成方法を説明しています。
SharePoint Server 2013 は、ユーザー プロファイルとグループを使用することにより、ユーザーに代わって、サーバー間認証を使用して他のサーバーと相互にアクセスしてリソースを要求します。 サーバー間認証の詳細については、「 SharePoint Server でのサーバー間認証とユーザー プロファイル」を参照してください。
重要
この記事は、SharePoint Server 2013 にのみ適用されます。
開始する前に
この操作を開始する前に、前提条件に関する以下の情報を確認してください。
プロファイルの同期を構成するときには、ユーザー インターフェイスで質問に答えるときに使用する情報が必要です。 また、適切なアクセス許可が割り当てられたアカウント、および一部が既に構成されている SharePoint Server 2013 ファームが必要です。 ここでは、プロファイルの同期を構成するときの前提条件について説明します。
情報を収集する
この記事の手順を実行する前に、SharePoint Server 2013 用のユーザー プロファイル プロパティとプロファイルの同期の計画のワークシートを作成する必要があります。 この記事の手順を実行するときに、このワークシートに記入した情報を使用します。
Connection Planning ワークシート: 作成する各プロファイル同期接続の詳細情報を記入します。 記事「プロファイルの同期を計画する (SharePoint Server 2013)」には、ワークシートの記入方法が記載されています。
User Profile Properties ワークシート: ユーザー プロファイル プロパティと、プロパティが外部データ ソースにマップされる方法を確認します。 SharePoint Server でのユーザー プロファイルの計画に関する記事では、ワークシートの大部分を完了する方法について説明し、記事「SharePoint Server 2013 のプロファイル同期を計画する」に、プロパティ マッピング情報を追加する方法について説明します。
Profile Synchronization Planning ワークシート: User Profile Service アプリケーションとその前提条件の作成に必要な情報を収集します。 User Profile Service アプリケーションが既にファームに組み込まれている場合は、このワークシートを省略できます。
同期サーバーの名前を知る必要があります。 同期サーバーは、User Profile Synchronization Service が実行されるサーバーです。 「SharePoint Server 2013 のプロファイル同期を計画する」の「同期サーバーの計画」セクションには、同期サーバーを選択する方法に関するガイダンスが含まれています。
アカウントにアクセス許可を付与する
プロファイル同期を構成するには、ファーム アカウントとファーム アカウントのパスワードを知る必要があります。同期するディレクトリ サービスごとに同期アカウントが必要です。 各アカウントに必要なアクセス許可については、「SharePoint Server 2013 のプロファイル同期を計画する」の「アカウントのアクセス許可の計画」セクションで説明されています。 アカウントに適切なアクセス許可がない場合は、構成手順の一部を進めるまで、アクセス許可が間違っていることがわからない可能性があります。
注:
アクセス許可が正しくないことは、プロファイルの同期を構成するときに発生するエラーの最も一般的な原因です。
前提条件のインストール
プロファイルの同期を設定するには、SharePoint Server 2013がファーム構成にインストールされている必要があります。
Express エディションではなく、SQL Server の完全インストールが必要です。 SharePoint Server 2013 をインストールした場合、プロファイル同期は機能しません。これは、「 組み込みのデータベースを使用して SharePoint 2013 を単一サーバーにインストールする」の手順に従います。
フェーズ 0: ファームを構成する
このフェーズでは、プロファイルを同期するためのインフラストラクチャを構成します。
このフェーズでは、次の作業を行います。
[PowerShell を使用してユーザー プロファイルの同期に NetBIOS ドメイン名を有効にする](configure-profile-synchronization.md# Proc)
このフェーズでタスクを実行するには、ファーム管理者 SharePoint グループのメンバーであり、SharePoint Server 2013 を実行しているコンピューター上の Administrators グループのメンバーである必要があります。
個人用サイトをホストする Web アプリケーションを作成する
この手順では、個人用サイトを配置する Web アプリケーションを作成します。 Web アプリケーションは他のグループ作業サイトと共有されるアプリケーション プールに配置するか、共有 IIS Web サイトの別のアプリケーション プールに配置できますが、個人用サイトを別個の Web アプリケーションに配置することをお勧めします。 SharePoint Server 2013 のサイト、アプリケーション プール、および IIS Web サイトの詳細については、「SharePoint (IT 技術者向け)」の「アーキテクチャ」を参照してください。 Web アプリケーションを作成する方法の詳細については、「 SharePoint Server で Web アプリケーションを作成する」を参照してください。
Web アプリケーションを作成するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
サーバーの全体管理 の [ アプリケーション構成の管理] セクションで、[ Web アプリケーションの管理] をクリックします。
リボンの [ 新規] をクリックします。
[ 新しい Web アプリケーションの作成] ページの [ 認証] セクションで、この Web アプリケーションに使用する認証モードを選択します。
[ IIS Web サイト] セクションで、次の 2 つのオプションのどちらかを選択して、新しい Web アプリケーションの設定を構成できます (Profile Synchronization Planning ワークシートを参照)。
[ 既存の Web サイトを使用する] をクリックし、新しい Web アプリケーションをインストールする Web サイトを選択します。
[ 新しい IIS Web サイトを作成する] をクリックし、[ 名前] ボックスに Web サイトの名前を入力します。
新しい IIS Web サイトのポート番号、ホスト ヘッダー、またはパスを指定することもできます。
[ セキュリティの構成] セクションで、認証プロバイダーを選択し、匿名アクセスを許可するかどうか、および Secure Sockets Layer (SSL) を使用するかどうかを指定します。
[ アプリケーション プール] セクションで、次のどちらかを実行します。
個人用サイトのアプリケーション プール (Profile Synchronization Planning ワークシートを参照) が既存のアプリケーション プールの場合、[ 既存のアプリケーション プールを使用する] をクリックし、ドロップダウン メニューから個人用サイトのアプリケーション プールを選択します。
個人用サイトのアプリケーション プール (Profile Synchronization Planning ワークシートを参照) が新規のアプリケーション プールの場合、[ 新しいアプリケーション プールを作成する] をクリックして個人用サイトのアプリケーション プールの名前を入力し、アプリケーション プールを実行するときに使用するアカウント (Profile Synchronization Planning ワークシートを参照) を選択するか、アプリケーション プールを実行するときに使用する新しい管理アカウントを作成します。
[ データベース名と認証] セクションで、新しい Web アプリケーションのデータベース サーバー、データベース名、および認証方法を選択します。
データベース ミラーリングを使用する場合は、[ フェールオーバー サーバー] セクションの [ フェールオーバー データベース サーバー] ボックスに、コンテンツ データベースに関連付ける特定のフェールオーバー データベース サーバーの名前を入力します。
[ サービス アプリケーションの接続] セクションで、Web アプリケーションで使用可能になるサービス アプリケーション接続を選択します。
[ カスタマー エクスペリエンス向上プログラム] セクションで、[ はい] または [ いいえ] をクリックします。
[ OK] をクリックして、新しい Web アプリケーションを作成します。
[ 作成済みアプリケーション] ページが表示されたら、[ OK] をクリックします。
Profile Synchronization Planning ワークシートの [ My Site Web application] 行に Web アプリケーションの名前を入力します。 この情報は後で必要になります。
個人用サイトの管理パスを作成する
個人用サイトホストとユーザーの個人用サイトを、まだ管理パスを持たない URL にしたい場合は、「 SharePoint Server で管理パスを定義 する」の手順を使用して、以前に作成した個人用サイト Web アプリケーションに個人用サイトの管理パスを作成します。 ほとんどの場合、既存の管理パスで十分です。
個人用サイトのホスト サイト コレクションを作成する
この手順では、ユーザーの個人用サイトをホストするサイト コレクションを作成します。 サイト コレクションを作成する方法の詳細については、「 SharePoint Server でサイト コレクションを作成する」を参照してください。
個人用サイト ホストのサイト コレクションを作成するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
サーバーの全体管理 の [ アプリケーション構成の管理] セクションで、[ サイト コレクションの作成] をクリックします。
[ サイト コレクションの作成] ページの [ Web アプリケーション] セクションで、個人用サイト Web アプリケーション (Profile Synchronization Planning ワークシートを参照) を選択します。
[ タイトルと説明] セクションで、サイト コレクションのタイトルと説明を入力します。
[ Web サイトのアドレス] セクションで、個人用サイトのホストの URL に使用するパスを選択します。 ほとんどの場合、ルート ディレクトリ (/) を使用できます。
[ テンプレートの選択] セクションで、[ エンタープライズ] タブをクリックし、[ 個人用サイトのホスト] を選択します。
[ サイト コレクション管理者 (プライマリ)] セクションに、サイト コレクション管理者になるユーザーのユーザー名を <ドメイン>\ <ユーザー名> の形式で入力します。
[ 代理のサイト コレクション管理者] セクションに、サイト コレクションの代理の管理者のユーザー名を入力します。
クォータを使用してサイト コレクションの記憶域を管理する場合は、[ クォータ テンプレート] セクションの [ クォータ テンプレートの選択] 一覧でテンプレートをクリックします。
[OK] をクリックします。
個人用サイトのホスト サイト コレクションが作成されると、[ トップレベル サイトが作成されました] ページが表示されます。 Profile Synchronization Planning ワークシートの [ My Site Host site collection URL] 行にこの URL を入力します。 サイト コレクションのルートを参照するためのリンクをクリックできますが、リンクをクリックすると、ユーザー プロファイルを読み込むことができないことが原因でエラーが発生します。 この時点では、ユーザー プロファイルがインポートされていないので、これは予想どおりの動作です。
User Profile Service アプリケーションを作成する
この手順では、プロファイルの同期を管理するときに使用する User Profile Service アプリケーションを作成します。
User Profile Service アプリケーションの詳しい作成方法については、「User Profile Service アプリケーションを作成する」を参照してください。
ユーザー プロファイル サービス アプリケーションを作成するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページのリボンで、[ 新規]、[ User Profile Service アプリケーション] の順にクリックします。
[ 名前] セクションに、User Profile Service アプリケーションの名前を入力します (Profile Synchronization Planning ワークシートを参照)。
[ アプリケーション プール ] セクションで、ユーザー プロファイル サービス アプリケーションが実行されるアプリケーション プール (存在する場合) を選択するか、新しいアプリケーション プールを作成します。 (プロファイル同期計画ワークシートを参照してください)。
(別の名前を使用する場合を除いて) プロファイル データベース、同期データベース、およびソーシャル タグ データベースの既定の設定をそのまま使用し、フェールオーバー サーバーを使用している場合はそのサーバーを指定します。
[ プロファイルの同期インスタンス] セクションで、同期サーバーを選択します (Profile Synchronization Planning ワークシートを参照)。
[ 個人用サイトのホストの URL] セクションで、前の手順で作成した個人用サイトのホスト サイト コレクションの URL を入力します (Profile Synchronization Planning ワークシートを参照)。
In the My Site Managed Path section, enter the part of the path which, when appended to the My Site host URL, will give the path of users' My Sites (see the Profile Synchronization Planning worksheet). たとえば、個人用サイトのホスト URL が http://server:12345/ で、各ユーザーの個人用サイトを http://server:12345/personal/user-nameする場合は、個人用サイトの管理パスに「/personal」と入力します。 The managed path that you enter is created automatically. There does not already have to be a managed path with the name that you provide.
[ サイトの名前付け形式] セクションで、名前付けスキームを選択します。
[ 既定のプロキシ グループ] セクションで、この User Profile Service のプロキシをこのファームの既定のプロキシ グループのメンバーにするかどうかを選択します。
[ 作成] をクリックします。
[ 新しい User Profile Service アプリケーションの作成] ページにメッセージ「 プロファイル サービス アプリケーションが正しく作成されました」が表示されたら、[ OK] をクリックします。
User Profile Service アプリケーションが作成されたことを確認するには、[ サービス アプリケーションの管理] ページを更新します。 [ 名前] 列の値が事前に作成した User Profile Service アプリケーションに対して指定した名前である 2 つのエントリが表示されるはずです。 1 つ目のエントリは、サービス アプリケーションです。 2 つ目のエントリは、サービス アプリケーションへの接続 (つまり、「プロキシ」) です。
PowerShell を使用してユーザー プロファイルの同期に NetBIOS ドメイン名を有効にする
同期対象のいずれかのドメインの NetBIOS 名がその完全修飾ドメイン名と異なる場合は、User Profile Service アプリケーションで NetBIOS ドメイン名を有効にする必要があります。 すべての NetBIOS 名がドメイン名と同じ場合は、この手順を省略できます。
PowerShell を使用してユーザー プロファイルの同期に NetBIOS ドメイン名を有効にするには
- 次のメンバーシップがあることを確認します。
SQL Server インスタンスにおける securityadmin 固定サーバー ロール。
更新するすべてのデータベースに対する db_owner 固定データベース ロール。
PowerShell コマンドレットを実行するサーバーでの Administrators グループ。
「about_Execution_Policies」を参照してください。
管理者は Add-SPShellAdmin コマンドレットを使用して、SharePoint Server 2013 のコマンドレットを使用するアクセス許可を付与できます。
注:
アクセス許可がない場合は、セットアップ管理者または SQL Server 管理者に連絡してアクセス許可を要求してください。 PowerShell の権限の追加情報については、「アクセス許可」および「Add-SPShellAdmin」を参照してください。
メモ帳などのテキスト エディターに次のコードを貼り付けます。
-
$ServiceApps = Get-SPServiceApplication $UserProfileServiceApp = "" foreach ($sa in $ServiceApps) {if ($sa.DisplayName -eq "<UPSAName>") {$UserProfileServiceApp = $sa} } $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1 $UserProfileServiceApp.Update()
<UPSAName> をユーザー プロファイル サービス アプリケーションの名前に置き換えます。
ファイルを保存し, .ps1 という拡張子を付加します (例: EnableNetBIOS.ps1)。
注:
別のファイル名を使用することもできますが、ファイルは拡張子が .ps1 の ANSI 形式のテキスト ファイルとして保存する必要があります。
SharePoint 2013 管理シェル を起動します。
ファイルの保存先のディレクトリに移動します。
PowerShell コマンド プロンプトで、次のコマンドを入力します。
& .\EnableNetBIOS.ps1
注:
コマンドライン管理タスクを実行するときには Windows PowerShell を使用することが推奨されています。 Stsadm コマンドライン ツールは推奨されていませんが、製品の以前のバージョンとの互換性をサポートするために含まれています。
User Profile Service を開始する
この手順では、User Profile Service を開始します。
ユーザー プロファイル サービスを開始するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
サーバーの全体管理で、[ システム設定] セクションの [ サーバーのサービスの管理] をクリックします。
[ サーバーのサービス] ページで [ サーバー] ボックスの一覧から同期サーバーを選択します (Profile Synchronization Planning ワークシートを参照)。
[ サービス] 列の値が [ User Profile Service] である行を見つけます。 [状態] 列の値が [停止中] の場合、[処理] 列の [開始] をクリックします。
フェーズ 1: User Profile Synchronization Service を開始する
このフェーズでは、User Profile Synchronization Service を開始します。
このフェーズでは、次の作業を行います。
このフェーズでタスクを実行するには、ファーム管理者 SharePoint グループのメンバーであり、SharePoint Server 2013 を実行しているコンピューター上の Administrators グループのメンバーである必要があります。
User Profile Synchronization Service を開始する
この手順では、User Profile Synchronization Service を開始します。 User Profile Synchronization Service は、Microsoft Forefront Identity Manager (FIM) を使用して情報を外部システムと同期します。
ユーザー プロファイル同期サービスを開始するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
サーバーの全体管理で、[ システム設定] セクションの [ サーバーのサービスの管理] をクリックします。
[ サーバーのサービス] ページで [ サーバー] ボックスの一覧から同期サーバーを選択します。
[ サービス] 列の値が [ User Profile Synchronization Service] である行を見つけます。 [ 状態] 列の値が [ 停止中] の場合、[ 処理] 列の [ 開始] をクリックします。
[ User Profile Synchronization Service] ページの [ ユーザー プロファイル アプリケーションを選択します] セクションで、User Profile Service アプリケーションを選択します。
[ サービス アカウント名とパスワード] セクションでは、ファーム アカウントが既に選択されています。 ファーム アカウントのパスワードを [ パスワード] ボックスと [ パスワードの確認] ボックスに入力します。
[ OK] をクリックします。
[ サーバーのサービス] ページに、User Profile Synchronization Service の状態が [ 開始処理中] であることが表示されます。 ユーザー プロファイル同期サービスを開始すると、SharePoint Server 2013 は同期に参加するように FIM をプロビジョニングします。 これには、10 分かかることがあります。 User Profile Synchronization Service が開始されたかどうかを確認するには、[ サーバーのサービス] ページを更新します。
User Profile Synchronization Service が開始されていない場合は、ファーム アカウントに同期サーバーで必要なアクセス許可が付与されていることを確認します。 どのアクセス許可が必要かについては、「プロファイルの同期を計画する」の「アカウントのアクセス許可を計画する」セクションを参照してください。
不要なアクセス許可を削除する
User Profile Synchronization Service を開始した後は、日常の操作を行うファーム アカウントが、同期サービスを実行しているコンピューターの Administrators グループのメンバーである必要はありません。 SharePoint Server 2013 のインストールのセキュリティを強化するには、同期サービスを実行しているコンピューターの Administrators グループからファーム アカウントを削除します。 ただし、ユーザー プロファイル アプリケーションのバックアップを実行するときに、同期サービスは再びユーザー プロファイル アプリケーションを準備します。 ユーザー プロファイル アプリケーションを準備している間は、ファーム アカウントを停止して同期サービス開始する必要があります。 これを行うには、ファーム アカウントが同期サービスを実行しているコンピューターの Administrators グループのメンバーである必要があります。 このため、バックアップを実行する前に、同期サービスを実行しているコンピューターの Administrators グループにファーム アカウントを追加してください。 バックアップの実行が完了したら、Administration グループからファーム アカウントを削除できます。
ファーム アカウントに Microsoft FIM 2010 へのリモート有効化アクセス許可を付与するには
Synchronization Service を実行しているサーバーで、[ スタート] をクリックします。
[ 実行] をクリックして "wmimgmt.msc" を入力後、[OK] をクリックします。
[ WMI コントロール] を右クリックし、[ プロパティ] をクリックします。
[ WMI コントロールのプロパティ ] ダイアログで、[ セキュリティ ] タブをクリックします。
[ ルート] リストを展開し、Microsoft FIM 2010 の名前空間 [ MicrosoftIdentityIntegrationServer] を選択します。
[ セキュリティ] ボタンをクリックします。
グループとユーザーのリストにファーム アカウントを追加し、[ 認証ユーザーの権限] ボックスの [ リモートの有効化] の許可で [ 許可] を選択します。
[ OK] を クリックして [セキュリティ for ROOT\MicrosoftIdentityIntegrationServer ] ダイアログを閉じ、[ OK] を クリックして [WMI コントロールのプロパティ ] ダイアログを閉じます。
IIS をリセットする
SharePoint サーバーの全体管理 Web サイトと User Profile Synchronization Service を同じサーバーで実行している場合は、User Profile Synchronization Service の開始後に IIS をリセットする必要があります。 それぞれ異なるサーバーで実行している場合は、この手順を省略できます。
IIS をリセットするには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
システム特権でコマンド プロンプトを開始します。
[ ユーザー アカウント制御 ] ダイアログで、[ はい] をクリックします。
[管理者: コマンド プロンプト] ウィンドウで、「iisreset」と入力し、Enter キーを押します。
「 インターネット サービスは正常に再開されました」というメッセージが表示されたら、[ 管理者: コマンド プロンプト] ウィンドウを閉じます。
注:
IIS をリセットした後、サーバーの全体管理のページを読み込むのに数秒かかります。
フェーズ 2: 接続を構成し、ディレクトリ サービスからデータをインポートする
プロファイルをインポートするには、ディレクトリ サービスに対する 1 つ以上の同期接続が必要です。 このフェーズでは、プロファイルをインポートする各ディレクトリ サービスへの同期接続を作成します。 1 つの接続を作成するたびに同期することも、すべての接続を作成してから一度に同期することもできます。 接続を作成するたびに同期すると、時間はかかりますが、発生する可能性がある問題のトラブルシューティングを簡単に行うことができます。
この手順を実行するには、ファーム管理者または User Profile Service アプリケーションの管理者である必要があります。 ファーム管理者でない場合は、[ プロファイル サービスの管理] ページを使用して各手順を開始します。
このフェーズでは、次の作業を行います。
ディレクトリ サービスへの同期接続を作成する
この手順では、ディレクトリ サービスへの接続を作成します。 接続では、同期するアイテムを指定し、ディレクトリ サービスとやり取りするときに使用する資格情報を追加します。 Connection Planning ワークシートに基づいて情報を入力します。
ディレクトリ サービスへのプロファイル同期接続を作成するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者であるか、User Profile Service アプリケーションの管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
この手順を実行するユーザー アカウントがファーム管理者である場合は、以下の手順を実行します。 ユーザー アカウントがファーム管理者でない場合は、この次の手順へ進みます。
サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
サーバーの全体管理の [ プロファイル サービスの管理] ページにある [ 同期] セクションで、[ 同期接続の構成] をクリックします。
[ 同期接続] ページで、[ 新しい接続の作成] をクリックします。
[新しい同期接続の追加] ページで、[接続名] ボックスに同期接続の名前を入力します。
[ 種類] ボックスの一覧から、接続先のディレクトリ サービスの種類を選択します。
[ 接続の設定] セクションで、作成する接続の対象のディレクトリ サービスに応じて入力します。
Active Directory ドメイン サービス (AD DS) の場合、次の手順を実行します。
[ フォレスト名] ボックスに、フォレストの名前を入力します。
次のどちらかの操作を行います。
フォレストに存在するのが 1 つのドメイン コントローラーのみの場合は、[ ドメイン コントローラーの自動検出] をクリックします。
フォレストに複数のドメイン コントローラーがある場合は、[ ドメイン コントローラーの指定] を選択し、ドメイン コントローラーの名前を [ ドメイン コントローラー名] ボックスに入力します。
[認証プロバイダーの種類] ボックスで、認証プロバイダーの種類を選択します。
[フォーム認証] または [信頼できるクレーム プロバイダー認証] を選択した場合、[認証プロバイダー インスタンス] ボックスで認証プロバイダーを選択します。
[認証プロバイダー インスタンス] の一覧には、現在 Web アプリケーションによって使用されている認証プロバイダーのみが表示されます。
ヒント
認証プロバイダーの一覧が表示されるようにするには、[ 認証プロバイダーの種類] ボックスで、[ 信頼できるクレーム プロバイダー認証]、[ フォーム認証] の順に選択する必要がある場合があります。
[ アカウント名] ボックスに、同期アカウントを入力します。
[ パスワード] ボックスに、同期アカウントのパスワードを入力します。
[ パスワードの確認] ボックスに、同期アカウントのパスワードをもう一度入力します。
[ ポート] ボックスに、接続ポートを入力します。
ディレクトリ サービスに接続するために Secure Sockets Layer (SSL) 接続が必要な場合、[ SSL でセキュリティ保護された接続の使用] チェック ボックスをオンにします。
重要
SSL 接続を使用する場合は、ドメイン コントローラーの証明書を Active Directory サーバーからエクスポートして、同期サーバーにインポートする必要があります。
Novell eDirectory、Sun Java System Directory Server、または IBM Tivoli Directory Server (ITDS) の場合、次の手順を実行します。
[ ディレクトリ サービス サーバー名] ボックスに、ディレクトリ サービス サーバーの名前を入力します。
[認証プロバイダーの種類] ボックスで、認証プロバイダーの種類を選択します。
[ 認証プロバイダー インスタンス] ボックスで、認証プロバイダーを選択します。
[認証プロバイダー インスタンス] の一覧には、現在 Web アプリケーションによって使用されている認証プロバイダーのみが表示されます。
ヒント
認証プロバイダーの一覧が表示されるようにするには、[ 認証プロバイダーの種類] ボックスで、[ 信頼できるクレーム プロバイダー認証]、[ フォーム認証] の順に選択しなければならない場合があります。
[ アカウント名] ボックスに、LDAP 形式 (例: uid=username,ou=ouname,dc=yourcompany,dc=Com) で同期アカウントを入力します。
[ パスワード] ボックスに、同期アカウントのパスワードを入力します。
[ パスワードの確認] ボックスに、同期アカウントのパスワードをもう一度入力します。
[ ポート] ボックスに、接続ポートを入力します。
[ SSL でセキュリティ保護された接続の使用] チェック ボックスがオフになっていることを確認します。 これらのディレクトリ サービスに対して SSL 接続はサポートされていません。
[ ユーザー名の属性] ボックスに、各プロファイルの一意識別子の役割を果たすディレクトリ サービスの属性の名前を入力します。
[コンテナー] セクションで、[コンテナーの作成] をクリックし、同期するコンテナーをディレクトリ サービスから選択します。
[OK] をクリックします。
同期接続の除外フィルターを定義する
この手順では、同期から除外するユーザー プロファイルとグループを示す接続のフィルターを定義します。 Connection Planning ワークシートに基づいて情報を入力します。
接続フィルターを定義するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者であるか、User Profile Service アプリケーションの管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
この手順を実行するユーザー アカウントがファーム管理者である場合は、以下の手順を実行します。 ユーザー アカウントがファーム管理者でない場合は、この次の手順へ進みます。
サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
サーバーの全体管理の [ プロファイル サービスの管理] ページにある [ 同期] セクションで、[ 同期接続の構成] をクリックします。
[ 同期接続] ページで、ユーザー プロファイルの同期接続フィルターを構成する接続を右クリックし、[ 接続のフィルターの編集] をクリックします。
[ 接続のフィルターの編集] ページの [ ユーザーの除外フィルター] セクションで、フィルターの句を結合するために使用する演算子を選択します。
フィルターのすべての句が該当するように指定するには、[ すべてを適用 (AND)] を選択します。
フィルターの句の少なくとも 1 つが該当するように指定するには、[ いずれかを適用 (OR)] を選択します。
[ 属性] ボックスの一覧で、比較するディレクトリ サービス属性を選択します。
[ 演算子] ボックスの一覧で、使用する比較演算子を選択します。
注:
利用できる演算子は、選択した属性のデータ型に応じて異なります。 各データ型で使用できる演算子の一覧については、「 SharePoint Server 2013 の接続フィルター データ型と演算子」を参照してください。
[ フィルター] ボックスに、属性と比較する値を入力します。
[追加] をクリックします。
追加した句は、[ ユーザーの除外フィルター] 領域に表示されます。
その他の句をフィルターに追加するには、手順 5 ~ 9 を繰り返します。
同期されるグループをフィルター処理するには、ページの [ グループの除外フィルター] セクションを使用して、手順 5 ~ 9 を繰り返します。
接続フィルターの追加が完了したら、[OK] をクリックします。
ユーザー プロファイルのプロパティをマップする
この手順では、SharePoint Server 2013 ユーザー プロファイルのプロパティが、ディレクトリ サービスから取得されたユーザー情報にどのようにマップされるかを決定します。 User Profile Properties ワークシートの User Profile Properties データ シートでユーザー プロファイルのプロパティをマップする方法を決定しておく必要があります。
後のフェーズでこの手順に戻り、ユーザー プロファイル プロパティをビジネス システムから取得された情報にマップし、SharePoint Server 2013 のユーザー プロファイル プロパティを使用してディレクトリ サービスに情報を書き戻す方法をマップします。 このフェーズまで進んでいない場合は、ビジネス システムとデータのエクスポートに関する手順の部分は省略してください。
ユーザー プロファイルのプロパティをマップするには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者であるか、User Profile Service アプリケーションの管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
この手順を実行するユーザー アカウントがファーム管理者である場合は、以下の手順を実行します。 ユーザー アカウントがファーム管理者でない場合は、この次の手順へ進みます。
サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
サーバーの全体管理の [ プロファイル サービスの管理] ページにある [ 人] セクションで、[ ユーザー プロパティの管理] をクリックします。
[ ユーザーのプロパティの管理 ] ページで、ディレクトリ サービス プロパティにマップする SharePoint Server 2013 プロパティを右クリックし、[ 編集] をクリックします。
既存のマッピングを削除するには、[同期のためのプロパティ マッピング] セクションで、削除するマッピングを選択し、[削除] をクリックします。
新しいマッピングを追加するには、次の操作を行います。
[ 新しいマッピングの追加 ] セクションの [ ソース データ接続 ] の一覧で、SharePoint Server 2013 プロパティをマップする外部システムを表すデータ接続を選択します。
[ 属性] ボックスの一覧で、プロパティをマップする外部システム内の属性の名前を選択します。
ヒント
データ型に互換性がある場合に限り、ユーザー プロファイルのプロパティを外部システムの属性にマップできます。 新しいマッピングを作成するときにユーザー プロファイルにマップする属性が一覧表示されない場合は、ユーザー プロファイルのプロパティと属性のデータ型が一致していない可能性があります。 どのデータ型に互換性があるかについては、「ユーザー プロファイルのプロパティのデータ型 (SharePoint 2013)」を参照してください。
[ 方向] ボックスの一覧で、マッピングの方向を選択します。
インポートの方向は、外部システムの属性の値が SharePoint Server 2013 にインポートされ、SharePoint Server 2013 プロパティの値を設定するために使用されることを意味します。 エクスポートの方向は、SharePoint Server 2013 のプロパティの値が外部システムにエクスポートされ、外部システムの属性の値を設定するために使用されることを意味します。
注:
マッピングは編集できません。 マッピングの方向を変更するには、最初に古い方向が指定されたマッピングを削除してから、新しい方向でマッピングを作成し、そのマッピングを追加する必要があります。
[追加] をクリックします。
[ OK] をクリックします。
手順 4 ~ 7 を繰り返して、他のプロパティをマップします。
プロファイルの同期を開始する
この手順を使用して、ディレクトリ サービス、ビジネス システムなどの外部システムと SharePoint Server 2013 の間でプロファイル情報を同期します。
プロファイル同期を開始するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者であるか、User Profile Service アプリケーションの管理者である。
この手順を実行するユーザー アカウントは、SharePoint Server 2013 を実行しているコンピューターの Administrators グループのメンバーです。
- 既にユーザーをインポートしているか個人用サイトを作成しており、さらに NetBIOS ドメイン名を有効にしている場合は、プロファイルの同期を開始する前に、個人用サイト クリーンアップのタイマー ジョブを無効にする必要があります。
注:
このタイマー ジョブの詳細については、「 SharePoint Server 2013 の既定のタイマー ジョブ」を参照してください。 このタイマー ジョブを有効または無効にするために使用する PowerShell コマンドレットの詳細については、「 SharePoint Server コマンドレット リファレンス」を参照してください。
この手順を実行するユーザー アカウントがファーム管理者である場合は、以下の手順を実行します。 ユーザー アカウントがファーム管理者でない場合は、この次の手順へ進みます。
サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
サーバーの全体管理の [ プロファイル サービスの管理] ページにある [ 同期] セクションで、[ プロファイルの同期の開始] をクリックします。
[ プロファイルの同期の開始] ページで、初めて同期する場合、および最後に同期してから同期接続またはプロパティ マッピングを追加または変更した場合は [ 完全同期の開始] を選択します。 最後に同期してから変更された情報だけを同期する場合は、[増分同期の開始] を選択します。
[ OK] をクリックします。
[ プロファイル サービスの管理] ページが表示されます。
個人用サイト クリーンアップのタイマー ジョブを有効にする場合は、この追加の手順を完了してからジョブを有効にします。
このセクションに記載されている手順で、プロファイル同期を再度実行します。
2 回目のプロファイルの同期が完了したら、サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
User Profile Service アプリケーション名をクリックし、[ ユーザー プロファイルの管理] をクリックします。
[ プロファイル サービスの管理] ページの [ 人] セクションで、[ ユーザー プロファイルの管理] をクリックします。
[ ビュー] の横の [ インポートに含まれていないプロファイル] を選択します。
[ プロファイルの検索] ボックスにプロファイルのドメインを入力し、[ 検索] をクリックします。
返されるプロファイルごとに、そのプロファイルの状態について、Active Directory などの元のディレクトリ サービスを確認します。 ディレクトリ内の返された任意のプロファイルの状態が無効になっていない、または削除されていない場合は、個人用サイトのクリーンアップ ジョブを有効にしないでください。 さらにサポートが必要な場合は、Microsoft サポートにお問い合わせください。 それ以外の場合は、個人用サイトのクリーンアップ ジョブを有効にします。 このタイマー ジョブを有効または無効にするために使用する PowerShell コマンドレットの詳細については、「 SharePoint Server コマンドレット リファレンス」を参照してください。
完全同期は終了するまでに時間がかかる可能性があります。 [ プロファイル サービスの管理] ページを更新すると、同期ジョブの進行状況をページの右側で確認できます。 プロファイルの同期は複数の段階で構成されており、プロファイルはすぐにはインポートされません。 同期処理が進行しても [プロファイル サービスの管理] ページは自動的に更新されません。
フェーズ 3: 接続を構成し、ビジネス システムからデータをインポートする
人事システム、財務システムなど、ビジネス システムからデータをインポートし、そのデータを使用して、プロパティを既存のユーザー プロファイルに追加できます。 外部システムの情報を SharePoint Server 2013に追加する外部コンテンツ タイプを既に作成している必要があります。 ビジネス システムと同期するために外部コンテンツ タイプを作成する方法については、「プロファイルの同期を計画する (SharePoint Server 2013)」を参照してください。
このフェーズは省略できます。
この手順を実行するには、ファーム管理者または、User Profile Service アプリケーションと Business Data Connectivity Service アプリケーションの両方の管理者である必要があります。 ファーム管理者でない場合は、[ プロファイル サービスの管理] ページで各手順を開始します。
このフェーズでは、次の作業を行います。
User Profile Service アプリケーションに外部コンテンツ タイプを使用するためのアクセス許可を付与する
この手順を使用して、外部コンテンツ タイプに対して操作を実行するためのアクセス許可をファーム アカウントに付与します。 外部コンテンツ タイプに対するアクセス許可を設定する方法については、「外部コンテンツ タイプに対するアクセス許可を設定する」を参照してください。
注:
Business Connectivity Services では、外部コンテンツ タイプに対するアクセス許可とビジネス システムに対するアクセス許可を使用して、承認規則を特定します。 ファーム アカウントにはビジネス システムにアクセスするためのアクセス許可も必要です。 認証とアクセス許可の詳細については、「 SharePoint Server の Business Connectivity Services セキュリティ タスクの概要」を参照してください。
外部コンテンツ タイプを使用するアクセス許可をユーザー プロファイル サービス アプリケーションに付与するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
この手順を実行するユーザー アカウントがファーム管理者か、Business Data Connectivity Service アプリケーションの管理者である。
この手順を実行するユーザー アカウントが同期対象の外部コンテンツ タイプに対して「アクセス許可を設定する」権限が付与されている。
- この手順を実行するユーザー アカウントがファーム管理者である場合は、以下の手順を実行します。 ユーザー アカウントがファーム管理者でない場合は、この次の手順へ進みます。
- SharePoint サーバーの全体管理 Web サイトの [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
サーバーの全体管理の [ サービス アプリケーションの管理] ページで、Business Data Connectivity Service アプリケーションを選択します。
同期する情報を表している外部コンテンツ タイプのチェック ボックスをオンにします。
[ 権限] グループの [ オブジェクトの権限の設定] をクリックします。
ボックスにファーム アカウントを入力し、[ 追加] をクリックします。
[ <アカウント> の権限] ボックスで、[ 実行] を選択します。
注:
ファーム アカウントが [ <アカウント>の権限] ボックスに表示される唯一のアカウントである場合は、ファーム アカウントに、外部コンテンツ タイプに対するアクセス許可の設定を付与する必要があります。 外部コンテンツ タイプのアクセス制御リストにある 1 つ以上のユーザー、グループ、またはクレームに、「アクセス許可を設定する」権限が必要です。
[ OK] をクリックします。
[ アクセス許可をこの外部コンテンツ タイプのすべてのメソッドに伝達します。これにより、既存のアクセス許可が上書きされます。] チェック ボックスがオンになっていることを確認します。
これらの手順を繰り返して、他の外部コンテンツ タイプに対するアクセス許可を設定します。
Business Data Connectivity 同期接続を構成する
この手順では、各外部コンテンツ タイプの接続を作成します。 接続では、ビジネス システムのデータとプロファイルのプロパティを関連付ける方法を指定します。 Connection Planning ワークシートに基づいて情報を入力します。
ユーザー プロファイル同期接続を作成するには
- この手順を実行するユーザー アカウントに以下の資格情報があることを確認します。
- この手順を実行するユーザー アカウントがファーム管理者であるか、User Profile Service アプリケーションおよび Business Data Connectivity Service アプリケーションの両方の管理者である。
この手順を実行するユーザー アカウントがファーム管理者である場合は、以下の手順を実行します。 ユーザー アカウントがファーム管理者でない場合は、この次の手順へ進みます。
サーバーの全体管理の [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
サーバーの全体管理の [ プロファイル サービスの管理] ページにある [ 同期] セクションで、[ 同期接続の構成] をクリックします。
[ 同期接続] ページで、[ 新しい接続の作成] をクリックします。
[ 新しい同期接続の追加] ページで、[ 接続名] ボックスに同期接続の名前を入力します。
[ 種類] ボックスの一覧で、[ Business Data Connectivity] を選択します。
[ Business Data Connectivity エンティティ] ボックスに、外部コンテンツ タイプの名前を入力します。
ヒント
外部コンテンツ タイプの名前がわからない場合は、[ 外部コンテンツ タイプを選択します] ボタンをクリックしてすべての外部コンテンツ タイプを表示します。 一覧から外部コンテンツ タイプを選択し、[ OK] をクリックします。
各ユーザー プロファイルが 1 つの外部コンテンツ タイプのインスタンスにだけマップされる場合は、次の手順を実行します。
[ ユーザー プロファイル ストアを、Business Data Connectivity エンティティに 1 対 1 マッピングとして接続する] をクリックします。
[ このプロファイル プロパティで識別されたアイテムを返す ] ボックスの一覧で、ユーザー プロファイルを外部コンテンツ タイプ インスタンスと照合するために使用するユーザー プロファイル プロパティを選択します。 ユーザー プロファイル プロパティと外部コンテンツ タイプ識別子は、ユーザー プロファイルと外部コンテンツ タイプの間の 1 対 1 の関係を定義し、インポートされたプロパティが正しいユーザー プロファイルに確実に適用されるようにするために使用されます。
ヒント
[ このプロファイル プロパティで特定されたアイテムを返す] ボックスの一覧には、外部コンテンツ タイプの識別子とデータ型が似ているすべてのユーザー プロファイルのプロパティが表示されます。
ユーザー プロファイルが複数の外部コンテンツ タイプのインスタンスにマップできる場合、次の手順を実行します。
[ ユーザー プロファイル ストアを、Business Data Connectivity エンティティに 1 対多マッピングとして接続する] をクリックします。
[ アイテムのフィルター条件] ボックスの一覧で、ユーザー プロファイルに適用する外部コンテンツ タイプのインスタンスを見つけるときに使用するフィルターを指定します。
注:
[ アイテムのフィルター条件] ボックスの一覧には、外部コンテンツ タイプに定義されているすべてのフィルターが表示されます。
[ このプロファイル プロパティをフィルター値として使用する] ボックスの一覧で、ユーザー プロファイルと外部コンテンツ タイプ インスタンスを対応付けるときに使用するユーザー プロファイル プロパティを選択します。
[ OK] をクリックします。
手順 4 ~ 10 を繰り返して、接続を追加します。
ユーザー プロファイルのプロパティを追加または編集する
ビジネス システムのデータをインポートできるようにするには、ビジネス システムのデータをユーザー プロファイルのプロパティにマップする方法を指定する必要があります。 [ユーザー プロファイル プロパティ] ワークシートの [ユーザー プロファイル プロパティ] データ シートには、インポートするビジネス システム プロパティと、それらのプロパティが SharePoint Server 2013 プロファイル ストアのプロファイル プロパティにどのようにマップされるかが一覧表示されます。
「ユーザー プロファイルのプロパティをマップする」セクションの手順に従って、その他のユーザー プロファイルのプロパティをマップします。 データを既存のユーザー プロファイルのプロパティにマップする場合、そのプロパティを編集して、新しいマッピングを追加します。 データを既存のユーザー プロファイルのプロパティにマップしない場合は、新しいカスタム プロパティを追加し、そのプロパティをマップします。
データをインポートする
データをビジネス システムからインポートするには、完全同期を実行する必要があります。 「プロファイルの同期を開始する」セクションの手順に従って、完全同期を開始します。
フェーズ 4: 接続を構成し、データをディレクトリ サービスにエクスポートする
前のフェーズでは、必要なプロファイル同期接続を構成しました。 プロファイル情報をディレクトリ サービスに書き戻すには、マッピング方向の [エクスポート] を使用して、プロファイル プロパティをディレクトリ サービス内の属性にマップします。 次にプロファイルの同期を実行したときに、プロパティは、構成したマッピングに従ってインポートおよびエクスポートされます。
注:
プロファイル データは、Business Connectivity Services を使用してビジネス システムからインポートできますが、ビジネス システムにエクスポートできません。
このフェーズは省略できます。
この手順を実行するには、ファーム管理者または User Profile Service アプリケーションの管理者である必要があります。 ファーム管理者でない場合は、[ プロファイル サービスの管理] ページを使用して各手順を開始します。
プロパティをエクスポートするために新しい同期接続を作成しないでください。 プロパティをディレクトリ サービスにエクスポートするには、プロパティをディレクトリ サービスからインポートするために作成した同期接続を使用します。 プロパティをエクスポートするためだけに同期接続を使用することはできません。
次の手順に従って、 ユーザー プロファイルのプロパティ をもう一度マップします。今回は、マッピング方向に [エクスポート ] を選択します。 マップするプロパティは、SharePoint Server 2013 から、接続を選択したディレクトリ サービスにエクスポートされます。
手順に従って プロファイル同期 をもう一度開始します。今回は、増分同期を実行することを選択します。 ディレクトリ サービス属性にエクスポートするようにマップされた SharePoint Server 2013 プロファイル プロパティの値が更新されます。
注:
一部のディレクトリ サービスでは、データをディレクトリ サービスに書き戻すために別のアクセス許可が必要な場合があります。 「プロファイル同期の計画」の「 アカウントのアクセス許可の計画 」セクションの情報を確認し、同期アカウントに必要なアクセス許可があることを確認します。
謝辞
SharePoint Server 2013 Content Publishing チームは、この記事の作成に協力していただいたエンタープライズ アーキテクトの Spencer Harbar 氏に感謝の意を表します。 Harbar 氏のブログは、http://www.harbar.netに掲載されています。
関連項目
概念
ユーザー プロファイルの同期を管理する (SharePoint Server)