MENU
IT&ガジェット 徒然なる日々のメモ
  1. ホーム
  2. Active Directory
  3. Azure AD Connect 同期アカウントの権限設定

Azure AD Connect 同期アカウントの権限設定

Active Directory Azure
【PR】この記事には広告を含む場合があります。

Azure AD Connect(AADC)のカスタムインストール時に、「同期アカウントを自動で作成する方法」と「オンプレミスADアカウントを利用する方法」の2つの方法があります。

今回カスタムインストール時に「オンプレミスADアカウントを利用する方法」を選んでみたものの、Permisson-issues 8344 とかエラーが出てなかなかうまく同期しませんでした。

同期アカウントの権限が足りていない場合に、権限についてのエラーが発生しますので、アカウントの権限を別途付与することでAADCの同期が可能になることがあります。

今回、AADCインストール後にAADCサーバー上でアカウントの権限を変更する方法をご紹介します。

スポンサーリンク

目次

同期アカウントには権限が必要

AADCインストール時に「ソースアンカー」と呼ばれる設定項目があります。
Azure側で任せた際のソースアンカーは「ms-DS-ConsistencyGuid 機能」となっています。

つまり、ms-DS-ConsistencyGuid 属性への権限付与がまず必要になってきます。

次に、AADC同期の内容によって権限をいくつか別途付与します。
権限まわりは以下の項目になります。

  • ms-DS-ConsistencyGuid 機能
  • パスワード ハッシュの同期
  • Exchange ハイブリッドのデプロイメント
  • Exchange メールのパブリック フォルダ
  • パスワードの書き戻し
  • デバイスの書き戻し
  • グループの書き戻し

◆参考URL:Azure AD Connect: AD DS コネクタ アカウントのアクセス許可の構成 – Microsoft Entra | Microsoft Learn

Powershellでコマンドレット追加(インポート)する

まずは、Powershell コマンドレット「ADSyncConfig モジュール」をインポートしていきます。

その前に、サーバ側に「AD DS 用のリモート サーバー管理ツール(RSAT)」が必要。
管理者権限でPowershell起動し、以下のコマンドでインストールしておきます。
Install-WindowsFeature RSAT-AD-Tools

AADCインストール後には、”AdSyncConfig.psm1″というファイルが存在します。
Powershellコンソールより、インポートします。
Import-Module “C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1”

【補足】
ドメインコントローラーサーバーにはRSATがすでにインストールされています。
AADCサーバーの ADSyncConfig.psm1 ファイルをDCサーバーへコピーすることで、DCサーバーでもPowerShellモジュールを使用することができます。

以下のコマンドでAdSyncConfig がインポートされていることが確認できます。
Get-Command -Module AdSyncConfig

AD DS 同期用アカウントのアクセス許可

主なアクセス許可は5つです。
それぞれ利用する機能によって、権限を付与するかを判断して、実行します。

MS-DS-Consistency-Guid

AADCのデフォルトのソースアンカーは”MS-DS-Consistency-Guid”になっています、
アクセス許可を付与するには以下のコマンドを実行します。
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <アカウント名> -ADConnectorAccountDomain <ドメイン名>

パスワード ハッシュ同期

AzureADにパスワード同期させるための設定です。
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <アカウント名> -ADConnectorAccountDomain <ドメイン名>

パスワード ライトバック

パスワードの変更をオンプレミス側へ書き戻すための設定。たとえばパスワードリセットする場合。
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <アカウント名> -ADConnectorAccountDomain <ドメイン名>

グループの書き戻し

グループ情報を書き戻す場合。
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <アカウント名> -ADConnectorAccountDomain <ドメイン名>

Exchange ハイブリッド

オンプレミスにExchange環境がある場合。
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <アカウント名> -ADConnectorAccountDomain <ドメイン名>

詳細は割愛してますので、詳しい説明は以下のURLにて確認ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-configure-ad-ds-connector-account

Active Directory Azure

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

関連記事

目次