SQL の委任された管理者アクセス許可を使用して Microsoft Entra Connect をインストールする
最新の Microsoft Entra Connect ビルドの前に、SQL を必要とする構成をデプロイするときの管理委任はサポートされていませんでした。 Microsoft Entra Connect をインストールする必要があるユーザーは、SQL サーバーに対するサーバー管理者 (SA) アクセス許可を持っている必要があります。
Microsoft Entra Connect の最新リリースでは、SQL 管理者が帯域外でデータベースをプロビジョニングできるようになり、Microsoft Entra Connect 管理者はデータベース所有者の権限を使用してデータベースをインストールできます。
開始する前に
この機能を使用するには、複数の可動部分があり、それぞれに組織内の異なる管理者が関与する可能性があることを認識する必要があります。 次の表は、この機能を使用して Microsoft Entra Connect を展開する場合の個々のロールとそれぞれの職務をまとめたものです。
| 役割 | 説明 |
|---|---|
| ドメインまたはフォレスト AD 管理者 | Microsoft Entra Connect が同期サービスを実行するために使用するドメイン レベルのサービス アカウントを作成します。 サービス アカウントの詳細については、「アカウントとアクセス許可の」を参照してください。 |
| SQL 管理者 | ADSync データベースを作成し、Microsoft Entra Connect 管理者とドメイン/フォレスト管理者によって作成されたサービス アカウントへのログイン + dbo アクセス権を付与します。 |
| Microsoft Entra Connect 管理者 | Microsoft Entra Connect をインストールし、カスタム インストール時にサービス アカウントを指定します。 |
SQL の委任されたアクセス許可を使用して Microsoft Entra Connect をインストールする手順
帯域外にデータベースをプロビジョニングし、データベース所有者のアクセス許可を持つ Microsoft Entra Connect をインストールするには、次の手順を使用します。
手記
必須ではありませんが、データベースを作成するときは、Latin1_General_CI_AS 照合順序を選択することを強くお勧めします。
SQL 管理者に、ADSync データベースを大文字と小文字を区別しない照合順序 (Latin1_General_CI_AS)で作成するよう依頼してください。 Microsoft Entra Connect がインストールされると、復旧モデル、互換性レベル、包含の種類が正しい値に更新されます。 ただし、SQL 管理者は照合順序を正しく設定する必要があります。 それ以外の場合、Microsoft Entra Connect によってインストールがブロックされます。 SA を復旧するには、データベースを削除して再作成する必要があります。
照合順序
Microsoft Entra Connect 管理者とドメイン サービス アカウントに次のアクセス許可を付与します。
- SQL サインイン
- データベース所有者 (dbo) 権限。
手記
Microsoft Entra Connect では、入れ子になったメンバーシップを持つログインはサポートされていません。 つまり、Microsoft Entra Connect 管理者アカウントとドメイン サービス アカウントは、dbo 権限が付与されたログインにリンクされている必要があります。 単に dbo 権限を持つログインに割り当てられているグループのメンバーにすることはできません。
Microsoft Entra Connect のインストール時に使用する SQL サーバーとインスタンス名を示す電子メールを Microsoft Entra Connect 管理者に送信します。
追加情報
データベースがプロビジョニングされると、Microsoft Entra Connect 管理者は、オンプレミスの同期を便利にインストールして構成できます。
SQL 管理者が以前の Microsoft Entra Connect バックアップから ADSync データベースを復元した場合は、既存のデータベースを使用して新しい Microsoft Entra Connect サーバーをインストールする必要があります。 既存のデータベースと共に Microsoft Entra Connect をインストールする方法の詳細については、「既存の ADSync データベースを使用した Microsoft Entra Connect のインストール
次の手順
- 簡単設定を使用した Microsoft Entra Connect の開始
- Microsoft Entra Connect のカスタム インストール
- 既存の ADSync データベース を使用して Microsoft Entra Connect をインストールする