プロファイルの同期を計画する (SharePoint Server 2013)
適用対象:
2016 2019 Subscription Edition SharePoint in Microsoft 365
プロファイル同期 ("プロファイル同期" とも呼ばれます) を使用すると、組織内で使用されている他のシステムから情報をインポートすることで、ユーザー プロファイルを作成できます。 この記事を読む前に、 SharePoint Server 2013 のプロファイル同期の概要に関する記事で紹介されている概念を理解しておく必要があります。 プロファイル同期は、サーバー間認証でも使用されます。これにより、サーバーはユーザーに代わって別のサーバーからリソースにアクセスして要求できます。 詳細については、「SharePoint Server のサーバー間認証とユーザー プロファイル」を参照してください。
この記事の内容
プロファイルの同期の構成に必要な情報を取得する方法。
必要な情報を収集するときに協力する必要のある関係者。
作成する必要のある外部コンテンツ タイプ (ある場合)。
この記事では、計画を実装する方法については説明しません。 実装方法については、記事「SharePoint Server 2013 でユーザーとグループのプロファイルを同期する」を参照してください。
開始する前に
この記事の計画作業を進める前に、以下のことを完了しておく必要があります。
SharePoint Server 2013 でプロファイルを持つユーザーを把握します。
「 SharePoint Server でユーザー プロファイルを計画する」の記事で説明されているように、ユーザー プロファイルに含まれるプロパティを把握し、[ユーザー プロファイルプロパティの計画] ワークシートに入力します。
ディレクトリ サービスに関する一般的な概念を理解します。
プロファイルの同期の計画について
プロファイルの同期の計画の最初の手順として、同期接続を識別し、接続を作成するときに必要な情報を収集します。 外部コンテンツ タイプが必要な場合は、外部コンテンツ タイプの要件のドキュメントを作成し、それを開発者に渡して、ビジネス システムへの同期接続を指定するときに使用する詳細を受け取ります。
次に、ユーザー プロファイルのプロパティを外部システムの情報にマップする方法を確認し、両者を同期できるようにします。
最後に、グループを同期するかどうか、同期サービスの実行に使用するサーバー、プロファイル情報を同期する頻度など、さらに直接的な項目を決定します。
同期接続を計画する
ユーザーのプロファイルの各プロパティは、外部システムから取得できます。 外部システムには、ディレクトリ サービスとビジネス システムの 2 種類があります。 この記事で "ビジネス システム" という用語を使用する場合は、ディレクトリ サービスではない外部システムを意味します。 SAP、Siebel、SQL Server、カスタム アプリケーションは、すべてビジネス システムの例です。
注:
サポートされているディレクトリ サービスの一覧については、「 プロファイル同期の概要」を参照してください。
SharePoint Server 2013 では、同期接続は、外部システムからユーザー プロファイル情報を取得する方法です。 サポートされるディレクトリ サービスのいずれかからプロファイルをインポートするには、そのディレクトリ サービスに対する同期接続を作成します。 ビジネス システムから追加のプロファイル プロパティをインポートするには、外部コンテンツ タイプを作成してビジネス システムから SharePoint Server 2013 にデータを取り込み、外部コンテンツ タイプへの同期接続を作成します。 以下のセクションでは、各同期接続について必要な情報を収集する方法を説明します。
ディレクトリ サービスへの接続
SharePoint Server 2013 でプロファイルを作成する各ユーザーには、ディレクトリ サービスに ID が必要です。 ユーザーについての情報が含まれるディレクトリ サービスを識別します。 ディレクトリ サービスに自分でアクセスできない場合にのみ、ディレクトリ サービスの管理者も明らかにする必要があります。 同期接続の作成に必要な情報の中には、収集する際に管理者のサポートが必要なものがあります。
接続計画ワークシートには、接続の種類ごとに収集する必要がある情報のテンプレートが含まれています。 各テンプレートは異なるタブになっており、そのテンプレートが適用されるディレクトリ サービス プロバイダーの名前がラベルとして使用されています。 識別したディレクトリ サービスごとに、タブを作成してください。 ディレクトリ サービスの種類のテンプレートを新しいタブにコピーします。次の表に従って、新しい各タブの情報を入力します。
| ワークシートの行名 | 適用される接続の種類 | 指示 |
|---|---|---|
| Synchronization connection name |
すべて |
接続先のディレクトリ サービスを容易に記憶できる名前を選択します。 |
| Connection type |
すべて |
接続先のディレクトリ サービスの種類です。 この情報は、各タブに既に入力されています。 |
| Forest |
AD DS |
ディレクトリ サービスのフォレストの名前です。 |
| Domain controller |
AD DS |
優先的に使用するドメイン コントローラーの名前です。 フォレスト内に複数のドメイン コントローラーがあり、特定のドメイン コントローラーと同期する場合にのみ、この項目を指定する必要があります。 |
| Authentication provider type |
すべて |
SharePoint Server 2013 は、ディレクトリ サービスへの接続に使用する必要がある認証の種類です。 次のいずれかです。 Windows 認証 フォームベース認証 クレーム ベース認証 この情報はシステム アーキテクトから得ることができます。 |
| Authentication provider |
すべて |
フォームベース認証またはクレーム ベース認証を使用する場合は、信頼できるプロバイダーの名前を記入します。 この情報はシステム アーキテクトから得ることができます。 Windows 認証の場合、認証プロバイダーは必要ありません。 |
| Synchronization account |
すべて |
ディレクトリ サービスへの接続に使用するアカウントです (ドメインを含む)。 同期アカウントは、通常、ディレクトリ サービスの管理者が作成します。 注: 同期アカウントに必要なアクセス許可については、このトピックの「 アカウントのアクセス許可の計画 」セクションを参照してください。 |
| Synchronization account password |
すべて |
同期アカウントのパスワードです。 注: 同期アカウントのパスワードを知っている必要があります。 パスワードはワークシートには記入しないことをお勧めします。 |
| Connection port |
すべて |
ディレクトリ サービスへの接続に使用するポートです。 |
| Use SSL? |
AD DS |
SSL でセキュリティ保護された接続を使用してディレクトリ サービスに接続するかどうか。 SSL は AD DS に接続する場合にのみサポートされます。 |
| Directory service server |
Tivoli、Sun、eDirectory |
ディレクトリ サービス サーバーの名前です。 |
| Username attribute |
Tivoli、Sun、eDirectory |
各プロファイルに対する一意の識別子としてディレクトリ サービスで使用される属性の名前です。 通常は、既定のユーザー名属性 "uid" で問題ありません。 |
| Containers |
すべて |
同期対象のプロファイルを含むディレクトリ サービス コンテナーの名前です。組織単位 (OU) とも呼ばれます。 |
| Filter for users |
すべて |
詳細については、「除外フィルターについて」を参照してください。 |
| Filter for groups |
すべて |
「グループを同期する」を参照してください。 |
除外フィルターについて
SharePoint Server 2013 は、フィルターを使用してプロファイルを除外しない限り、特定したコンテナーからすべてのプロファイルを同期します。 たとえば、アカウントが無効になっているユーザーを除外するフィルターを作成できます。
フィルターは、一連の句と、句を結合するコネクタで構成されます。 各句には 3 つの部分があります。
属性: 比較するディレクトリ サービスの属性。
値: 属性と比較する値。
演算子: 比較の種類。
除外フィルターの句を結合するには 2 つの方法があります。
すべてが該当 (AND): すべての句が該当する場合に、アカウントはフィルターと一致します。
いずれかが該当 (OR): いずれかの句が該当する場合に、アカウントはフィルターと一致します。
1 つのフィルターで AND と OR の両方は使用できません。
たとえば、組織内の臨時従業員には、"T-" で始まる Active Directory アカウントが与えられるものとします。 アカウントが無効ではないすべての正社員 (臨時従業員以外) のプロファイルを同期する必要があります。 このような場合は、次の表の句を使用するフィルターを作成できます。
注:
フィルターに変更を行った後は、完全同期が必要です。
| 属性 | 演算子 | 値 |
|---|---|---|
| sAMAccountName |
starts with |
T- |
| userAccountControl |
bit on equals |
2 |
これらの句をいずれかが該当 (OR) で結合します。
注:
AD DS では、 userAccountControl はユーザー アカウントのステータスについての役に立つ複数の情報を表すビットマスクです。 userAccountControl 属性を使用して作成できる、より頻繁に使用されるフィルターの一覧については、「UserAccountControl フラグを使用してユーザー アカウントのプロパティを操作する方法」を参照してください。
ディレクトリ サービス グループ内のメンバーシップに基づくフィルターは作成できません (配布リストなど)。 グループ メンバーシップに基づいてユーザーをインポートする代わりに、「グループ メンバーシップに 基づいてユーザーをインポートできない」を参照してください。
ビジネス システムへの接続
ビジネス システムからプロパティをインポートするには、外部システムと SharePoint Server 2013 の間でプロパティ値を結び付ける外部コンテンツ タイプが必要です。 この記事では、外部コンテンツ タイプの作成方法については説明しません。 この作業は、通常、開発者が行います。 この記事では、収集して開発者に渡す必要のあるデータ、および受け取った情報に対する処理について説明します。 開発者向けの情報については、「SharePoint 2013 の外部コンテンツ タイプ」を参照してください。
SharePoint Server 2013 用のユーザー プロファイル プロパティとプロファイルの同期の計画のワークシートを使用して、作成する外部コンテンツ タイプを指定できます。 「SharePoint Server でユーザー プロファイルを計画する」の記事を読んだときに完了したユーザー プロファイルプロパティ計画ワークシートを参照してください。 External Content Type Planning ワークシートでは、ビジネス システムから取り込むユーザー プロファイルのプロパティごとに 1 つの行を作成します。 次の表に説明に従って、各行の最初の 3 列に記入します。
| ワークシートの列 | 指示 |
|---|---|
| Business system |
プロパティを含むビジネス システムを示す適当な名前。 |
| Item |
プロパティに対応するビジネス システム内のデータ。 できる限り具体的に記述します。 たとえば、ビジネス システムがデータベースの場合、既知であれば、テーブルと列の名前を指定します。 |
| Possible identifiers |
ユーザーを一意に識別できるユーザー プロファイル プロパティのリスト。 |
各行の最初の 3 列に記入した後、ワークシートを外部コンテンツ タイプの開発者に渡します。 開発者は次の手順を実行した後、ワークシートを戻す必要があります。
ワークシートで説明されている外部システム データを提供するための外部コンテンツ タイプを作成します。
各外部コンテンツ タイプに適切な識別子を選択します。
ユーザー プロファイルと外部コンテンツ タイプの項目の間に 1 対 1 の関係がある場合は、Specific Finder メソッドを作成します。 ユーザーの生年月日を含む外部コンテンツ タイプは、1 対 1 の関係の例です。 各ユーザー プロファイルは、外部コンテンツ タイプの 1 つの項目と一致します。
ユーザー プロファイルが外部コンテンツ タイプの項目と 1 対多の関係を持つ場合は、finder メソッドと比較フィルターを作成します。 ユーザーが所有する車両のナンバー プレートを含む外部コンテンツ タイプは、一対多リレーションシップの例です。 1 人のユーザーが複数の車両を所有している可能性があります。 したがって、各ユーザー プロファイルは、外部コンテンツ タイプの複数の項目と一致する可能性があります。
ワークシートを更新し、作成した外部コンテンツ タイプを記述します。
接続計画ワークシート (ユーザー プロファイルのプロパティとプロファイル同期計画ワークシート) には、ビジネス システムへの接続のタブが含まれています。 外部コンテンツ タイプの開発者から戻された情報を受け取ったら、同じ外部コンテンツ タイプを共有するすべてのユーザー プロファイル プロパティをまとめます。 各外部コンテンツ タイプの [接続計画] ワークシートにタブを作成し、[ ビジネス システム ] タブから新しい各タブに情報をコピーします。作成した各タブで、次の表の手順に従って情報を入力します。
| ワークシートの行 | 指示 |
|---|---|
| Synchronization connection name |
接続先のビジネス システムを容易に記憶できる名前を選択します。 |
| Connection type |
"Business data connectivity" この情報は、既に入力されています。 |
| Business data connectivity entity |
外部コンテンツ タイプの名前です。 |
| One-to-one or one-to-many mapping |
特定のユーザー プロファイルと一致する可能性のある外部コンテンツ タイプの項目の数です。 "1 対 1" または "1 対多" のどちらか該当する方を入力します。 |
| Profile property to match against |
外部コンテンツ タイプの識別子に対応するユーザー プロファイル プロパティの名前です。 |
| Comparison filter |
比較フィルターの名前です。 フィルターは、1 対多マッピングに対してのみ必要です。 |
プロパティのマッピングを識別する
ユーザー プロファイル プロパティが外部システムから取得されていることを示すには、そのプロパティを外部システムの特定の属性にマップします。 既定では、特定のユーザー プロファイル プロパティがマップされます。 プロファイル プロパティは、データ型が プロパティのデータ型と互換性のある属性にのみマップできます。 たとえば、 SPS-HireDate ユーザー プロファイル プロパティを homePhone Active Directory 属性にマップすることはできません。 SPS-HireDate は日付であり、 homePhone は Unicode 文字列であるためです。 どのユーザー プロファイル プロパティ データ型がどの AD DS データ型と互換性があるかの一覧については、「 SharePoint Server 2013 のユーザー プロファイル プロパティ データ型」を参照してください。
プロファイル情報を同期すると、外部システムからプロファイル プロパティをインポートするだけでなく、ディレクトリ サービスにデータを書き戻すこともできます。 ビジネス システムにデータを書き戻すことはできません。 SharePoint Server 2013 でユーザー プロファイル プロパティをエクスポートする必要があることを示すには、プロパティをマップし、マッピングの方向を [エクスポート] に設定します。 各プロパティは、1 方向にのみマップできます。 同じユーザー プロファイル プロパティをインポートおよびエクスポートすることはできません。 エクスポートされたデータは、ディレクトリ サービスに既に存在する可能性がある値を上書きします。 これは、複数値のプロパティにも当てはまります。エクスポートされた値は既存の値に追加されず、上書きされます。
「SharePoint Server でユーザー プロファイルを計画する」トピックを読んで完了したユーザー プロファイルプロパティ計画ワークシートを調べます。 値が外部システムからインポートされる各行 (プロパティ) については、次の表の説明に従って最後の 3 列を記入します。
| ワークシートの行 | 指示 |
|---|---|
| 方向 |
プロパティが SharePoint Server 2013 にインポートされることを示す "Import"。 |
| Synchronization connection |
このプロパティが提供される同期接続の名前。 |
| Attribute |
ユーザー プロファイル プロパティの値を提供する外部システム要素の名前。 同期接続がディレクトリ サービスに対するものである場合、これはディレクトリ サービスの属性の名前です。 同期接続がビジネス システムに対するものである場合、これは外部コンテンツ タイプの列の名前です。 |
注:
ビジネス システムへの接続を使用して、 Stream アクセサー メソッドを実装するプロパティに、バイナリ プロパティをマップすることはできません。
値がディレクトリ サービスにエクスポートされる各行 (プロパティ) については、次の表の説明に従って最後の 3 列を記入します。
| ワークシートの行 | 指示 |
|---|---|
| 方向 |
プロパティが SharePoint Server 2013 からディレクトリ サービスにエクスポートされることを示す "Export"。 |
| Synchronization connection |
このプロパティがエクスポートされる同期接続の名前。 ディレクトリ サービスに対する接続のみが有効です。 |
| Attribute |
ユーザー プロファイル プロパティの値で値を更新する必要のあるディレクトリ サービス属性の名前。 |
グループを同期させる
既定では、SharePoint Server 2013 は、ユーザー プロファイルを同期するときに、配布リストなどのグループを同期します。 この機能は、サーバーの全体管理の [同期設定の構成] ページで無効にできます。 グループの同期は、AD DS でのみサポートされます。
ユーザーに加えてグループを同期する場合、SharePoint Server 2013 では、グループに関する情報と、グループのメンバーであるユーザーに関する情報がインポートされます。 グループを同期しても、グループのプロファイルは作成されず、新しいユーザー プロファイルが作成されることもありません。 SharePoint Server 2013 では、グループは対象ユーザーの作成と、訪問者が訪問している個人用サイトのユーザーと共通するメンバーシップを表示するためにのみ使用されます。
グループを同期する場合、SharePoint Server 2013 は、フィルターを使用してグループを除外しない限り、同期するディレクトリ サービス コンテナーに存在するすべてのグループに関する情報をインポートします。 グループを除外するためのフィルターはユーザーを除外するためのフィルターとは別のものですが、どちらも形式は同じです。
Connection Planning ワークシートに戻り、[Filter for groups] セルに入力します。
同期サーバーを計画する
同期接続を決定し、プロパティ マッピングを識別したら、次にプロファイルの同期のさらに直接的な部分を計画する必要があります。 まず最初に、同期サーバーを識別します。
1 つのファームで実行できる User Profile Synchronization Service のインスタンスは 1 つだけです。 User Profile Synchronization Service が実行されるコンピューターは、"同期サーバー" と呼ばれます。 User Profile Service アプリケーションを作成するときに、同期サーバーを指定します。 SharePoint Server 2013 では、同期に参加するために、このコンピューターにバージョンの Microsoft Forefront Identity Manager (FIM) がプロビジョニングされます。
SharePoint Server 2013 は、プロファイルを同期するときに、ネットワークを使用して同期サーバーとドメイン コントローラー間の通信を行います。 ドメイン コントローラーに物理的に近い同期サーバーを選択すると、同期に必要な時間が短くなります。
同期スケジュールを計画する
SharePoint Server 2013 と外部システムの間でプロファイル情報を初めて同期するときは、完全同期を実行する必要があります。 その後、ユーザー プロファイルの増分同期タイマー ジョブを構成し、定期的に増分同期を実行します。 タイマー ジョブを実行する間隔は、数分ごと、毎時間、毎日、毎週、毎月などに構成できます。 毎時間、毎日、毎週、毎月を使用する場合は、タイマー ジョブを開始する日時を指定します。
同期タイマー ジョブの実行間隔が短いほど、同期される変更は少なくなり、したがってジョブは短時間で終了します。 既定の頻度は毎日です。 ネットワークの使用量が少ないときに同期が開始するようにスケジュール設定することをお勧めします。
ユーザー プロファイル増分同期タイマー ジョブを構成する方法については、「 SharePoint Server でプロファイル同期をスケジュールする」を参照してください。
アカウントのアクセス許可を計画する
Connection Planning ワークシートでは、ディレクトリ サービスごとに同期アカウントの名前を指定しました。 同期サービスがディレクトリ サービスから必要な情報を取得できるように、これらの同期アカウントには特定のアクセス許可を付与する必要があります。 以下のセクションでは、ディレクトリ サービスの種類ごとに必要なアクセス許可を示します。 ディレクトリ サービスの管理者と協力して、アカウントに適切なアクセス許可を付与してください。
Active Directory Domain Services (AD DS)
Active Directory ドメイン サービス (AD DS) に接続する同期アカウントには、次のアクセス許可が必要です。
同期対象のドメインに対するディレクトリの変更のレプリケート アクセス許可が必要です。
ディレクトリの変更のレプリケート アクセス許可を付与されたアカウントは、ディレクトリでの変更をクエリできます。 ただし、ディレクトリで変更を行うことはできません。
ドメイン コントローラーが Windows Server 2003 を実行している場合は、同期アカウントは Pre-Windows 2000 Compatible Access 組み込みグループのメンバーである必要があります。
ドメインの NetBIOS 名が完全修飾ドメイン名と異なる場合は、同期カウントには、cn=configuration コンテナーに対するディレクトリの変更のレプリケート アクセス許可が必要です。 たとえば、NetBIOS ドメイン名が contoso で、完全修飾ドメイン名が contoso-corp.com である場合は、cn=configuration コンテナーに対するディレクトリの変更のレプリケート アクセス許可を付与する必要があります。
SharePoint Server 2013 から AD DS にプロパティ値をエクスポートする場合、同期アカウントには、同期する組織単位 (OU) に対する子オブジェクトの作成 (このオブジェクトとすべての子孫) およびすべてのプロパティ (このオブジェクトとすべての子孫) の書き込みアクセス許可が必要です。
Novell eDirectory version 8.7.3
Novell eDirectory に接続する同期アカウントには、次のアクセス許可が必要です。
入力の権限: 指定されたツリーの参照の権限。
すべての属性の権限: 指定されたツリーの読み取り、書き込み、および比較の権限。
Sun Java System Directory Server version 5.2
Sun Java System Directory Server に接続する同期アカウントには、次のアクセス許可が必要です。
RootDSE に対する読み取り、書き込み、比較、および検索の権限。
増分同期を実行するには、同期アカウントに変更ログ (cn=changelog) に対する読み取り、比較、および検索の権限が必要です。 変更ログがない場合は、同期する前にそのログを作成する必要があります。
IBM Tivoli version 5.2
IBM Tivoli に接続する同期アカウントには、次のアクセス許可が必要です。
- 同期アカウントは、管理グループのメンバーである必要があります。
ファーム アカウント
User Profile Synchronization Service は、ファーム アカウントで実行します。 プロファイル同期を構成するには、ファーム アカウントに特定のアクセス許可が必要です。 同期サーバーでの管理者権限があれば、これらのアクセス許可を付与できます。
アカウントは、同期サーバーの Administrators グループのメンバーである必要があります。 このアクセス許可は、User Profile Synchronization Service を構成した後で削除できます。
アカウントは、同期サーバーにローカルでログオンできる必要があります。
注:
ファーム アカウントとファーム管理者のアカウントは異なります。 ファーム アカウントを確認するには、サーバーの全体管理で、[ サービス アカウントの構成]、[ ファーム アカウント] の順にクリックします。
外部コンテンツ タイプを使用してユーザー プロファイルをビジネス システムと同期する場合は、ファーム アカウントには外部コンテンツ タイプに対して操作を実行するためのアクセス許可も必要です。 ファーム管理者は、「外部コンテンツ タイプに対するアクセス許可を設定する」の手順を使用して、同期対象の各外部コンテンツ タイプに対する実行アクセス許可をファーム アカウントに付与できます。
次の手順
プロファイル同期計画を実装するには、記事「SharePoint Server 2013 でユーザーとグループのプロファイルを同期する」の手順に従います。 プロファイル同期と同期プロファイル情報を初めて構成したら、「 SharePoint Server でプロファイル同期をスケジュールする」の記事で説明されている手順に従って、同期スケジュールを実装します。
ワークシート
接続計画ワークシート、外部コンテンツ タイプ計画ワークシート、およびユーザー プロファイル計画ワークシートをダウンロードするには、 SharePoint Server 2013 のユーザー プロファイルプロパティとプロファイル同期計画ワークシートに移動します。
関連項目
概念
SharePoint Server 2013 のプロファイル同期の概要
SharePoint Server でユーザー プロファイルを計画する
SharePoint Server 2013 でユーザーとグループのプロファイルを同期する