SharePoint の Active Directory インポートを使用してプロファイルの同期を構成する (SharePoint Server)
適用対象:2016 2019 Subscription Edition SharePoint in Microsoft 365
SharePoint Active Directory インポート オプション (AD インポート) は、Microsoft Identity Manager (MIM) を使用して、ドメイン内の Active Directory Domain Services (AD DS) からユーザー プロファイル データをインポートする代わりに使用できます。
AD インポートを使用するインポート操作は、MIM を使用するのと同じ操作よりもはるかに高速です。 ただし、AD インポートは Active Directory Domain Services (AD DS) でのみ機能し、他のディレクトリ サービスでは機能しません。 さらに、AD インポートを使用する場合、MIM またはその他の外部 ID マネージャーは、ビジネス アプリケーションなどの他のデータ ソースへの接続には使用できません。
この記事の手順を実行するには、Farm Administrators グループのメンバーである必要があります。 接続を構成するには、同期アクセス許可を持つドメイン資格情報も必要です。
注:
MIM は、SharePoint Server 2016 および SharePoint Server 2019 でのみ使用できる外部プロバイダーです。
Microsoft 365 での SharePoint のユーザー プロファイル同期について説明します。
AD インポートでサポートされていない状況
このオプションを使用するかどうかを決定する際は、次の状況を考慮し、AD のインポート オプションがサポートしないものについて注意してください。
AD インポート オプションでは、双方向の同期は実行されません。 つまり、SharePoint ユーザー プロファイルに対する変更はドメイン コントローラーには反映されません。
ユーザーおよびグループ間の参照整合性は 1 つの Active Directory フォレスト内でのみ維持されます。
AD インポート オプションでは、1 つのファーム レベルのプロパティ マッピングのみを構成および使用します。
AD インポート オプションでは、Active Directory から SharePoint Server 2016 に写真が自動的に同期されることはありません。
AD インポート オプションは、(AD 以外の) 一般的な LDAP ソースをサポートしていません。
AD インポート オプションはソース スキーマ ディスカバリをサポートしていません。
AD インポート オプションは、次のような複数フォレストのシナリオをサポートしていません。
2 つのフォレスト間で信頼関係がある場合、信頼対象フォレスト オブジェクはインポートされません。
AD インポートでは、ドメインごとに 1 つの同期接続を作成する場合、複数のドメインからのユーザーのインポートがサポートされます。 別の方法として、Microsoft Identity Manager の使用を検討してください。
AD インポート オプションは、Contact オブジェクト (別名: クロス オブジェクト ポインター) をサポートしていません。
AD インポート オプションは、ユーザーおよびグループに加え、カスタム オブジェクト クラスもサポートしていません。
AD インポート オプションは、複雑なブール式を作成するためにユーザー インターフェイスのフィルター処理は行いません。
AD インポート オプションは、オブジェクト プロパティ値に基づくオブジェクト フィルターは提供しません (単純な LDAP フィルターを使用する必要があります)。
AD インポート オプションでは、ログオンおよびリソース フォレストをサポートしていません。 つまり、複数のソースのデータをカスタマイズして結合します。
AD インポート オプションは、Business Connectivity Services インポートをサポートしていません。
AD インポート オプションは、写真や特別な AD 型などの複雑な型のプロパティ マッピングをサポートしていません。
AD インポート オプションは、SharePoint からディレクトリ ソースへのデータのエクスポートはサポートしていません。
AD インポート オプションでは、FIM ベースの接続のアップグレード/変換、または AD インポートへの構成の同期 (または逆順) はサポートされていません。
AD インポート オプションは、各オブジェクト プロパティの単一マスタを保証しません (現行では、最後のライターが優先されます)。
AD インポート オプションは、テナント別のプロパティ マッピングは実行しません。
SharePoint Active Directory のインポートを設定する
サーバーの全体管理 では 3 つの手順を実行して AD インポートを構成します。
最初の手順では、MIM などの外部 ID マネージャーの代わりに AD Import を使用するように SharePoint Server を構成します。
2 番目の手順では、AD DS への同期接続を作成します。 接続は、同期する項目を識別し、AD DS との対話に使用される資格情報を含みます。
3 番目の手順では、SharePoint Server のユーザー プロファイルのプロパティが、AD DS から取得されたユーザー情報にどのようにマップされるかを決定します。
AD Import を使用するように SharePoint Server を構成するには
SharePoint サーバーの全体管理 Web サイトの [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理 ] ページで、ユーザー プロファイル サービス アプリケーションのリンクをクリックします。
[プロファイル サービスの管理] ページの [同期] セクションで、[同期設定の構成] をクリックします。
[同期設定の構成] ページの [同期のオプション] セクションで、[SharePoint Active Directory インポートを使用する] オプションを選択し、[OK] をクリックします。
プロファイルをインポートするには、AD DS に対する 1 つ以上の同期接続が必要です。 複数の AD DS サーバーに対する接続を作成できます。 次の手順を使用して、プロファイルをインポートする各 AD DS サーバーへの同期接続を作成します。 1 つの接続を作成するたびに同期することも、すべての接続を作成してから一度に同期することもできます。 各接続の後の同期には時間がかかりますが、このプロセスにより、発生する可能性のある問題のトラブルシューティングが容易になります。
インポート用のディレクトリ サービスへの接続を作成するには
SharePoint サーバーの全体管理 Web サイトの [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理 ] ページで、ユーザー プロファイル サービス アプリケーションのリンクをクリックします。
[プロファイル サービスの管理] ページの [同期] セクションで、[同期接続の構成] をクリックします。
[同期接続] ページで、[新しい接続の作成] をクリックします。
[新しい同期接続の追加] ページで、[接続名] ボックスに同期接続の名前を入力します。
[種類] ボックスの一覧で、[Active Directory のインポート] を選択します。
次の手順に従って、[接続設定] セクションに情報を入力します。
[ 完全修飾ドメイン名 ] ボックスに、ドメインの完全修飾ドメイン名を入力します。
[認証プロバイダーの種類] ボックスで、認証プロバイダーの種類を選択します。
[フォーム認証] または [信頼できるクレーム プロバイダー認証] を選択した場合、[認証プロバイダー インスタンス] ボックスで認証プロバイダーを選択します。
[認証プロバイダー インスタンス] の一覧には、現在 Web アプリケーションによって使用されている認証プロバイダーのみが表示されます。
[ アカウント名 ] ボックスに、同期を実行するために AD インポート ツールで使用するアカウントの名前を入力します。 フォーム <DOMAIN>\ <UserName> を使用します。 同期アカウントには、フォレストのルートにあるレプリケート ディレクトリのアクセス許可が必要です。
[ パスワード ] ボックスと [ パスワードの確認 ] ボックスに、アカウントのパスワードを入力します。
[ ポート] ボックスに、AD インポート ツールによる同期の際に AD DS への接続に使用する接続ポートを入力します。
ディレクトリ サービスに接続できるように Secure Sockets Layer (SSL) 接続が必要な場合は、[ SSL でセキュリティ保護された接続の使用] チェック ボックスをオンにします。
重要
SSL 接続を使用する場合は、AD DS サーバーからドメイン コントローラーの証明書をエクスポートし、SSL 証明書が SharePoint サーバーによって信頼されていない場合は、証明書を同期サーバーにインポートする必要があります。
AD DS で無効になっているユーザーを除外する場合は、[無効なユーザーを 除外 する] チェック ボックスをオンにします。
ディレクトリ サービスからインポートするオブジェクトをフィルターするには、[Active Directory のインポートに対し、LDAP 構文でフィルター処理します] ボックスに、標準の LDAP クエリ式を入力してフィルターを定義します。
[コンテナー] セクションで、[コンテナーの作成] をクリックし、同期するコンテナーをディレクトリ サービスから選択します。 選択された組織単位 (OU) すべてが、その子 OU と同期されます。 現時点では、親 OU を選択し、その任意の子 OU を同期から除外するユーティリティは用意されていません。
注:
オブジェクトのフィルター処理は、そのオブジェクトの最初のインポート中にのみ行われます。 インポート後のフィルターの変更は、既にインポートされているオブジェクトには影響しません。
[OK] をクリックします。
新しく作成された接続が [同期接続] ページに表示されます。
ヒント
[ 同期接続] ページで、同期接続の名前をクリックし、[ 編集] または [ 削除 ] をクリックして接続を編集または削除できます。
ユーザー プロファイルのプロパティをマップするには
SharePoint サーバーの全体管理 Web サイトの [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理 ] ページで、ユーザー プロファイル サービス アプリケーションのリンクをクリックします。
[プロファイル サービスの管理] ページの [人] セクションで、[ユーザー プロパティの管理] をクリックします。
[ ユーザー プロパティの管理 ] ページで、ディレクトリ サービス属性にマップするプロパティの名前をクリックし、[ 編集] をクリックします。
既存のマッピングを削除するには、[同期のためのプロパティ マッピング] セクションで、削除するマッピングを選択し、[削除] をクリックします。
新しいマッピングを追加するには、次のタスクを実行します。
[新しいマッピングの追加] セクションの [ソースへのデータ接続] ボックスの一覧で、ユーザー プロファイル プロパティをマップするディレクトリ サービスを表すデータ接続を選択します。
[属性] ボックスに、プロパティをマップするディレクトリ サービスの属性の名前を入力します。
[追加] をクリックします。
注:
複数のマッピングを追加したり、マッピングを編集したりすることはできません。 プロパティのマッピングの設定を変更するには、既存のマッピングを削除してから、新しいマッピングを作成します。
[OK] をクリックします。
さらにプロパティをマップするには、手順 4 から 7 を繰り返します。
プロファイルの同期を開始するには
SharePoint サーバーの全体管理 Web サイトの [ アプリケーション構成の管理] セクションで、[ サービス アプリケーションの管理] をクリックします。
[ サービス アプリケーションの管理] ページで、User Profile Services アプリケーションのリンクをクリックします。
[ プロファイル サービスの管理] ページの [ 同期] セクションで、[ プロファイルの同期の開始] をクリックします。
[ プロファイル同期の開始 ] ページで、初回同期の場合、または同期の最後の時刻以降に同期接続を追加または変更した場合は、[完全同期の 開始 ] を選択します。 最後に同期してから変更された情報だけを同期する場合は、[増分同期の開始] を選択します。
[ OK] をクリックします。
[プロファイル サービスの管理] ページが表示されます。このページに右側のウィンドウには、プロファイルの同期状態が表示されています。
関連項目
概念
ユーザー プロファイルの同期を管理する (SharePoint Server)
プロファイルの同期を計画する (SharePoint Server 2013)
SharePoint Server 2013 でユーザーとグループのプロファイルを同期する
SharePoint Server でプロファイルの同期をスケジュールする