SharePoint Server のプロファイルの同期をサポートするようにマネージド ドメインを構成するConfigure a managed domain to support profile synchronization for SharePoint Server

SharePoint Server には、ユーザー プロファイルの同期に使用する User Profile Service が用意されています。SharePoint Server includes a User Profile Service that is used for user profile synchronization. User Profile Service を設定するには、Active Directory ドメインで適切なアクセス許可を付与する必要があります。To set up the User Profile Service, appropriate permissions need to be granted on an Active Directory domain. 詳細については、「SharePoint Server 2013 でプロファイルを同期するために Active Directory Domain Services のアクセス許可を付与する」をご覧ください。For more information, see grant Active Directory Domain Services permissions for profile synchronization in SharePoint Server 2013.

この記事では、SharePoint Server のユーザー プロファイルの同期サービスをデプロイするために、Azure AD Domain Services のマネージド ドメインを構成する方法について説明します。This article explains how you can configure Azure AD Domain Services managed domains to deploy the SharePoint Server User Profile Sync service.


この記事のタスクを完了する前に、Azure AD Domain Services に対するパスワード ハッシュ同期を有効にしてください。Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Azure AD ディレクトリにおけるユーザーの種類に応じて、以下の手順に従います。Follow the instructions below, depending on the type of users in your Azure AD directory. ご利用の Azure AD ディレクトリに、クラウド専用ユーザー アカウントと同期済みユーザー アカウントが混在している場合は、両方の手順を実行してください。Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory.

"AAD DC Service Accounts" グループThe 'AAD DC Service Accounts' group

マネージド ドメインの "ユーザー" 組織単位では、"AAD DC Service Accounts" と呼ばれるセキュリティ グループを使用できます。A security group called 'AAD DC Service Accounts' is available within the 'Users' organizational unit on your managed domain. このグループは、マネージド ドメインの [Active Directory ユーザーとコンピューター] MMC スナップインに表示されます。You can see this group in the Active Directory Users and Computers MMC snap-in on your managed domain.

"AAD DC Service Accounts" セキュリティ グループ

このセキュリティ グループのメンバーには、次の特権が委任されます。Members of this security group are delegated the following privileges:

  • マネージド ドメインのルート DSE での "ディレクトリの変更のレプリケート" 特権。The 'Replicate Directory Changes' privilege on the root DSE of the managed domain.
  • マネージド ドメインの構成名前付けコンテキスト (cn=configuration container) での "ディレクトリの変更のレプリケート" 特権。The 'Replicate Directory Changes' privilege on the Configuration naming context (cn=configuration container) of the managed domain.

このセキュリティ グループは、組み込みの Pre-Windows 2000 Compatible Access グループのメンバーでもあります。This security group is also a member of the built-in group Pre-Windows 2000 Compatible Access.

"AAD DC Service Accounts" セキュリティ グループ

マネージド ドメインで SharePoint Server のユーザー プロファイルの同期をサポートできるようにするEnable your managed domain to support SharePoint Server user profile sync

AAD DC Service Accounts グループに、SharePoint のユーザー プロファイルの同期に使用するサービス アカウントを追加できます。You can add the service account used for SharePoint user profile synchronization to the AAD DC Service Accounts group. これにより、同期アカウントはディレクトリの変更をレプリケートするための適切な特権を取得します。As a result, the synchronization account gets adequate privileges to replicate changes to the directory. この構成手順により、SharePoint Server のユーザー プロファイルの同期を正しく動作させることができます。This configuration step enables SharePoint Server user profile sync to work correctly.

AAD DC Service Accounts - メンバーの追加

AAD DC Service Accounts - メンバーの追加