SQL によって委任された管理者のアクセス許可を使用した Azure AD Connect のインストールInstall Azure AD Connect using SQL delegated administrator permissions

以前の Azure AD Connect ビルドでは、SQL を必要とする構成をデプロイするとき、管理の委任はサポートされていませんでした。Prior to the latest Azure AD Connect build, administrative delegation, when deploying configurations that required SQL, was not supported. Azure AD Connect をインストールするユーザーには、SQL サーバーにおけるサーバー管理者 (SA) アクセス許可が必要でした。Users who wanted to install Azure AD Connect needed to have server administrator (SA) permissions on the SQL server.

Azure AD Connect の最新のリリースでは、SQL 管理者が帯域外でデータベースのプロビジョニングを実行し、データベース所有者権限を持つ Azure AD Connect 管理者がインストールできます。With the latest release of Azure AD Connect, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights.

開始する前にBefore you begin

この機能を使用するには、動的なパーツが複数あり、それぞれに組織内の異なる管理者が関与する可能性があることを認識する必要があります。To use this feature, you need to realize that there are several moving parts and each one may involve a different administrator in your organization. 次の表に、この機能を使用して Azure AD Connect をデプロイするときの各ロールとそれぞれの役割をまとめます。The following table summarizes the individual roles and their respective duties in deploying Azure AD Connect with this feature.

RoleRole 説明Description
ドメインまたはフォレスト AD 管理者Domain or Forest AD administrator 同期サービスを実行するときに Azure AD Connect によって使用されるドメイン レベルのサービス アカウントを作成します。Creates the domain level service account that is used by Azure AD Connect to run the sync service. サービス アカウントの詳細については、アカウントとアクセス許可に関するページをご覧ください。For more information on service accounts, see Accounts and permissions.
SQL 管理者SQL administrator ADSync データベースを作成し、ログインと dbo アクセス権を、Azure AD Connect 管理者、およびドメイン/フォレスト管理者によって作成されたサービス アカウントに付与します。Creates the ADSync database and grants login + dbo access to the Azure AD Connect administrator and the service account created by the domain/forest admin.
Azure AD Connect 管理者Azure AD Connect administrator Azure AD Connect をインストールし、カスタム インストール中にサービス アカウントを指定します。Installs Azure AD Connect and specifies the service account during custom installation.

SQL によって委任されたアクセス許可を使用して Azure AD Connect をインストールする手順Steps for installing Azure AD Connect using SQL delegated permissions

帯域外でデータベースをプロビジョニングし、データベース所有者アクセス許可で Azure AD Connect をインストールするには、次の手順に従います。To provision the database out of band and install Azure AD Connect with database owner permissions, use the following steps.

注意

必須ではありませんが、データベースを作成するときは、Latin1_General_CI_AS 照合順序を選択することを強くお勧めしますAlthough it is not required, it is highly recommended that the Latin1_General_CI_AS collation is selected when creating the database.

  1. SQL 管理者に、大文字と小文字を区別しない照合順序 (Latin1_General_CI_AS) で ADSync データベースを作成してもらいます。Have the SQL Administrator create the ADSync database with a case insensitive collation sequence (Latin1_General_CI_AS). データベースの名前は ADSync にします。The database must be named ADSync. Azure AD Connect のインストール時に、復旧モデル、互換性レベル、およびコンテインメントの種類が正しい値に更新されます。The recovery model, compatibility level, and containment type are updated to the correct values when Azure AD Connect is installed. ただし、照合順序は、SQL 管理者が正しく設定する必要があります。これを行わないと、Azure AD Connect によってインストールがブロックされます。However the collation sequence must be set correctly by the SQL administrator otherwise Azure AD Connect will block the installation. 復旧するには、SA はデータベースを削除して、再作成する必要があります。To recover the SA must delete and recreate the database.

    Collation

  2. Azure AD Connect 管理者とドメイン サービス アカウントに次のアクセス許可を付与します。Grant the Azure AD Connect administrator and the domain service account the following permissions:

    • SQL ログインSQL Login
    • データベース所有者 (dbo) 権限。database owner(dbo) rights.

    アクセス許可

    注意

    Azure AD Connect は入れ子になったメンバーシップでのログインはサポートしていません。Azure AD Connect does not support logins with a nested membership. つまり、Azure AD Connect 管理者アカウントとドメイン サービス アカウントは、dbo 権限が付与されているログインにリンクされている必要があります。This means your Azure AD Connect administrator account and domain service account must be linked to a login that is granted dbo rights. 単に dbo 権限によるログインに割り当てられているグループのメンバーとすることはできません。It cannot simply be the member of a group that is assigned to a login with dbo rights.

  3. Azure AD Connect のインストール時に使用する必要がある SQL サーバーとインスタンス名を示す電子メールを、Azure AD Connect 管理者に送信します。Send an email to the Azure AD Connect administrator indicating the SQL server and instance name that should be used when installing Azure AD Connect.

追加情報Additional information

データベースがプロビジョニングされたら、Azure AD Connect 管理者は、必要に応じてオンプレミスの同期をインストールおよび構成できます。Once the database is provisioned, the Azure AD Connect administrator can install and configure on-premises synchronization at their convenience.

SQL 管理者が以前の Azure AD Connect のバックアップから ADSync データベースを復元している場合、既存のデータベースを使用して新しい Azure AD Connect サーバーをインストールする必要があります。In case the SQL Administrator has restored ADSync database from a previous Azure AD Connect backup, you will need to install the new Azure AD Connect server by using an existing database. 既存のデータベースを使用した Azure AD Connect のインストールの詳細については、「既存の ADSync データベースを使用して Azure AD Connect をインストールする」を参照してください。For more information on installing Azure AD Connect with an existing database, see Install Azure AD Connect using an existing ADSync database.

次の手順Next steps