MIM 2016 のインストール: Active Directory と MIM サービスを同期する

Note

このチュートリアルでは、"Contoso" という架空の会社の名前と値を使用します。 これらは独自の値に置き換えてください。 次に例を示します。

  • ドメイン コントローラー名 - mimservername
  • ドメイン名 - contoso
  • パスワード - Pass@word1

既定では、MIM 同期サービス (Sync) にはコネクタが何も構成されていません。 一般的な最初の手順では、MIM 同期を使用して、MIM サービス データベースに、既存の Active Directory アカウントを設定します。 このためには、MIM 同期サービス アプリケーションを使用します。

MIM 管理エージェントを作成する

MIM 管理エージェント (MA) は、MIM 同期が MIM サービスに接続するためのコネクタです。 このコネクタを作成するには、[管理エージェントを作成する] ウィザードを使用します。

MIM 管理エージェントを構成するときには、ユーザー アカウントを指定する必要があります。 このドキュメントでは、このアカウントの名前として MIMMA を使用します。

Note

MIM 管理エージェントで使用するアカウントは、MIM サービスのインストール時に指定したのと同じアカウントである必要があります。 "MIMSync アカウントの使用" 機能を有効にする場合は、グループの管理されたサービス アカウントを使用して MIM 同期サービスをインストールする必要があります。

MIM MA を作成するには

  1. Synchronization Service Manager を開きます。

  2. [管理エージェントを作成する] ウィザードを開くには、[Management Agents]\(管理エージェント\) ページに切り替えて、[操作] メニューで、[作成] をクリックします。

  3. [管理 エージェントの作成] ページで 、次の設定を入力し、[次へ] を クリックします

    • 管理エージェント:FIM サービス管理エージェント

    • 名前:MIMMA

  4. [データベースに接続] ページで、次の設定を行い、[次へ] をクリックします。

    • サーバー: localhost

    • データベース :FIMService

    • MIM サービス ベース アドレス: http://localhost:5725

    • 認証モード:Windows 統合認証

    • ユーザー名: mimma

    • [パスワード]:Pass@word

    • ドメイン: contoso

  5. [選択したオブジェクトの種類] ページで、以下に一覧したオブジェクトの種類が選択されていることを確認し、[次へ] をクリックします。

    • DetectedRuleEntry

    • ExpectedRuleEntry

    • Group

    • Person

    • SynchronizationRule

  6. [属性の選択] ページで、[すべて表示] をオンにして一覧表示されたすべての属性が選択されていることを確認し、[次へ] をクリックします。

  7. [コネクタ フィルターを構成する] ページで、[次へ] をクリックします。

  8. [オブジェクトの種類のマッピングを構成する] ページで、次のマッピングを追加し、[次へ] をクリックします。

    • [データ ソース オブジェクト タイプ] リストで、[個人] を選択します。
    • [マッピングの追加] をクリックして、マッピングのダイアログ ボックスを開きます。
    • [Metaverse object type (メタバース オブジェクトの種類)] リストで、[個人] を選択します。
    • [OK] をクリックして、マッピングのダイアログ ボックスを閉じます。
    • [データ ソース オブジェクト タイプ] リストで、[グループ] を選択します。
    • [マッピングの追加] をクリックして、マッピングのダイアログ ボックスを開きます。
    • [メタバース オブジェクトの種類] リストで、[グループ] を選択します。
    • [OK] をクリックして、マッピングのダイアログ ボックスを閉じます。
  9. [属性フローを構成する] ページで、以下に示すように属性フロー マッピングを作成し、[次へ] をクリックします。

    • データ ソースとメタバース オブジェクトの種類として [個人] を選択します。

    • [マッピング の種類 ] として [直接] を選択します。

    • 次のテーブルの行ごとに、以下の手順を実行します。

      • テーブル内の該当する行に対して表示される [フローの方向] を選択します。

      • テーブル内の該当する行に対して表示される [データ ソース属性] を選択します。

      • テーブル内の該当する行に対して表示される [メタバース属性] を選択します。

      • フロー マッピングを適用するには、[新規] をクリックします。

    データ ソース属性 フローの方向 メタバース属性
    AccountName エクスポート accountName
    DisplayName エクスポート displayName
    Domain エクスポート domain
    電子メール エクスポート mail
    EmployeeID エクスポート employeeID
    EmployeeType エクスポート employeeType
    FirstName エクスポート firstName
    LastName エクスポート lastName
    ObjectSID エクスポート objectSid
    • データ ソースの種類とメタバース オブジェクトの種類として [グループ] を選択します。

    • [マッピング の種類 ] として [直接] を選択します。

    • 次のテーブルの行ごとに、以下の手順を実行します。

      • テーブル内の該当する行に対して表示される [フローの方向] を選択します。

      • テーブル内の該当する行に対して表示される [データ ソース属性] を選択します。

      • テーブル内の該当する行に対して表示される [メタバース属性] を選択します。

      • フロー マッピングを適用するには、[新規] をクリックします。

    データ ソース属性 フローの方向 メタバース属性
    AccountName エクスポート accountName
    DisplayName エクスポート displayName
    Domain エクスポート domain
    電子メール エクスポート mail
    MailNickName エクスポート mailNickName
    メンバー エクスポート member
    ObjectSID エクスポート objectSid
    スコープ エクスポート scope
    種類 エクスポート type
    MembershipAddWorkflow エクスポート membershipAddWorkflow
    MembershipLocked エクスポート membershipLocked
    AccountName [インポート] accountName
    DisplayedOwner [インポート] displayedOwner
    DisplayName [インポート] displayName
    MailNickName [インポート] mailNickName
    メンバー [インポート] member
    スコープ [インポート] scope
    種類 [インポート] type
  10. [プロビジョニング解除の構成] ページで、[次へ] をクリックします。

  11. 管理エージェントを作成するには、[拡張機能を構成する] ページで [完了] をクリックします。

AD 管理エージェントを作成する

Active Directory 管理エージェントは、AD ドメイン サービス用のコネクタです。 このコネクタを作成するには、[管理エージェントを作成する] ウィザードを使用します。

  1. [管理エージェントを作成する] ウィザードを開くには、[操作] メニューで、[作成] をクリックします。

  2. [管理エージェントを作成する] ページで、次の設定を行い、[次へ] をクリックします。

    • 管理エージェント:Active Directory Domain Services
    • 名前:ADMA
  3. [Active Directory フォレストに接続する] ページで、次の設定を行い、[次へ] をクリックします。

    • フォレスト名: contoso.local
    • ユーザー名: administrator
    • パスワード: <アカウントのパスワード>
    • ドメイン: contoso
  4. [ディレクトリ パーティションを構成する] ページで、次の設定を行い、[次へ] をクリックします。

    • [ディレクトリ パーティションの選択] 一覧で、[DC = CONTOSO, DC = local] を選択します。

    • [コンテナーの選択] ダイアログ ボックスを開くには、コンテナーをクリックします。

    • MIM に特定のコンテナー内のオブジェクトの管理だけをさせるようにコンテナーを変更する場合、[DC = CONTOSO, DC = local] ノードをクリックしてから、目的のコンテナーのノードをクリックします。

    • [コンテナーの選択] ダイアログ ボックスを閉じるには、[OK] をクリックします。

  5. [プロビジョニング階層を構成する] ページで、[次へ] をクリックします。

  6. [オブジェクトの種類を選択する] ページで、次の設定を行い、[次へ] をクリックします。

    • [オブジェクトの種類] リストで、ユーザーおよびグループを選択します。
  7. [属性を選択する] ページで、[すべて表示] をオンにし、以下の属性を選択して、[次へ] をクリックします。

    • company
    • displayName
    • employeeID
    • employeeType
    • givenName
    • groupType
    • managedBy
    • manager
    • member
    • objectSid
    • sAMAccountName
    • sAMAccountType
    • sn
    • unicodePwd
    • userAccountControl
  8. [コネクタ フィルターを構成する] ページで、[次へ] をクリックします。

  9. [参加および保護ルールを構成する] ページで、[次へ] をクリックします。

  10. [属性フローを構成する] ページで、[次へ] をクリックします。

  11. [プロビジョニング解除を構成する] ページで、[次へ] をクリックします

  12. [拡張機能を構成する] ページで、[完了] をクリックします。

実行プロファイルの作成

ADMA および MIMMA コネクタの実行プロファイルを作成します。

ADMA コネクタの実行プロファイルの作成

この表では、ADMA コネクタ用に作成する 5 つの実行プロファイルを示しています。

名前 種類
Profile1 フル インポート (ステージのみ)
Profile2 完全同期
Profile3 デルタ インポート (ステージのみ)
Profile4 差分同期
Profile5 エクスポート

ADMA コネクタの実行プロファイルを作成するには

  1. アプリケーションを開Sychronization Service Manager[ツール] メニュー [管理エージェント] をクリックします

  2. 管理エージェントの一覧で、ADMA を選択します。

  3. [実行プロファイルの構成] ダイアログ ボックスを開く場合は、 [アクション] メニューの [実行プロファイルの構成] をクリックします

  4. テーブル内の各実行プロファイルに対し、以下の手順を実行します。

    • [実行プロファイルを構成する] ウィザードを開くには、[新しいプロファイル] をクリックします。

    • テーブルのプロファイル名を [名前] ボックスに入力し、[次へ] をクリックします。

    • [種類] ボックスでは、テーブルのステップの種類を選択し、[次へ] をクリックします。

    • [完了] をクリックして、実行プロファイルを作成します。

  5. [実行プロファイルの構成] ダイアログ ボックスを閉じるには 、[OK] をクリックします

MIMMA コネクタの実行プロファイルの作成

この表では、MIMMA コネクタの対応する 5 つの実行プロファイルを示します。

名前 種類
Profile1 フル インポート (ステージのみ)
Profile2 完全同期
Profile3 デルタ インポート (ステージのみ)
Profile4 差分同期
Profile5 エクスポート

MIMMA コネクタ用のプロファイルを作成するには

  1. アプリケーションを開Sychronization Service Manager[ツール] メニュー [管理エージェント] をクリックします

  2. [管理エージェント ] の一覧で[MIMMA] を選択します

  3. [実行プロファイルの構成] ダイアログ ボックスを開く場合は、 [アクション] メニューの [実行プロファイルの構成] をクリックします

  4. テーブル内の各実行プロファイルに対し、以下の手順を実行します。

    • [実行プロファイルを構成する] ウィザードを開くには、[新しいプロファイル] をクリックします。

    • テーブルのプロファイル名を [名前] ボックスに入力し、[次へ] をクリックします。

    • [種類] ボックスでは、テーブルのステップの種類を選択し、[次へ] をクリックします。

    • [完了] をクリックして、実行プロファイルを作成します。

  5. [実行プロファイルの構成] ダイアログ ボックスを閉じるには 、[OK] をクリックします

MIM サービスの構成

MIM ポータルを使用して、MIM サービスの AD ユーザー受信同期規則を作成します。

AD ユーザー受信同期規則を作成するには:

  1. MIM ポータル ホーム ページのナビゲーション バーで、[管理] をクリックします。

  2. [同期規則] ページを開くには、[同期規則] をクリックします。

  3. [同期規則の作成] ウィザードを開くには、ツールバーで [新規] をクリックします。

  4. [全般] タブで、次の情報を指定し、[次へ] をクリックします。

    • 表示名:AD ユーザー受信同期規則
    • データ フローの方向受信
  5. [スコープ] タブで、次の情報を指定し、[次へ] をクリックします。

    • メタバース リソースの種類: 個人
    • 外部システム:ADMA
    • 外部システム リソースの種類: ユーザー
  6. [関係] タブで、次の情報を指定し、[次へ] をクリックします。

    • リレーションシップ条件を構成するには、MetaverseObject:person(属性) リストおよび ConnectedSystemObject:person(属性) リストから ObjectSID を選択します。

    • [FIM 内にリソースを作成] を選択します。

  7. [受信属性フロー] ページで、次の情報を指定し、[次へ] をクリックします。

    フロー ルール source 宛先
    規則 1 samAccountName accountName
    規則 2 displayName displayName
    規則 3 EmployeeType employeeType
    規則 4 givenName firstName
    規則 5 sn lastName
    規則 6 管理者 manager
    規則 7 objectSID ObjectSID
    規則 8 "Contoso" domain

    テーブル内の行ごとに、次の手順を実行します。

    • [フロー定義] ダイアログ ボックスを開くには、[新しい属性フロー] をクリックします。

    • [ソース] タブ上で、テーブル内の該当する行に対して表示される属性を選択します。

    • [送信先] タブ上で、テーブル内の該当する行に対して表示される属性を選択します。

    • 属性フローの構成を適用するには、[OK] をクリックします。

  8. [概要] タブで、[送信] をクリックします。

テスト環境の初期化

AD データを使用して MIM 構成のテストを行うには、以下の 4 つの手順を実行する必要があります。

プロビジョニングを有効にする

  1. Synchronization Service Manager を開きます。

  2. [オプション] ダイアログ ボックスを開くには、[ツール] メニューの [オプション] をクリックします

  3. [同期規則のプロビジョニングを有効にする] を選択します。

  4. [オプション] ダイアログ ボックスを閉じるには、[OK] をクリックします。

MIMMA を初期化する

このコネクタで、完全な同期サイクルを実行します。 サイクル全体は、次の実行プロファイルで構成されます。

  • フル インポート
  • 完全同期
  • エクスポート
  • 差分インポート

次の手順に従い、4 つの実行プロファイルをそれぞれ実行します。

  1. [管理エージェントSychronization Service Manager開き、[ ツール] メニュー [管理エージェント] をクリックします

  2. [管理エージェント ] の一覧で[MIMMA] を選択します

  3. [管理エージェントの実行] ダイアログ ボックスを開く場合は、[アクション] メニュー [実行] を クリックします

  4. 上に示した各実行プロファイルに対し、以下の手順を実行します。

    • [管理エージェントの実行] ダイアログ ボックスを開く場合は、[アクション] メニュー [実行] を クリックします

    • [実行プロファイル] の一覧で、実行する実行プロファイルを選択します

    • 実行プロファイルを開始するには、[OK] をクリックします。

属性フローの優先順位の構成

構成した同期規則は、MIM コネクタの初期化中にメタバースに取り込まれました。

このコネクタから提供される属性の属性フロー優先順位を調整し、AD 内に既に存在する属性が確実に、メタバースに配置され、その後 MIM サービス データベースにも配置されるようにします。

ADMA の初期化

Active Directory コネクタを初期化するには、それに対してフル インポートおよび完全な同期を実行する必要があります。 フル インポートでは、AD の既存のオブジェクトがコネクタ領域に取り込まれます。 完全な同期では、同期規則が、MIM コネクタの同期規則と対応するように更新されます。

  1. Synchronization Service Manager を開き、[ツール] メニューの [管理エージェント] をクリックします。

  2. 管理エージェントの一覧で、ADMA を選択します。

  3. [管理エージェントの実行] ダイアログ ボックスを開く場合は、[アクション] メニュー [実行] を クリックします

  4. 上に示した各実行プロファイルに対し、以下の手順を実行します。

    • [管理エージェントの実行] ダイアログ ボックスを開く場合は、[アクション] メニュー [実行] を クリックします

    • [実行プロファイル] の一覧で、実行する実行プロファイルを選択します

    • 実行プロファイルを開始するには、[OK] をクリックします。

MIM サービス データベースの設定

MIM サービス データベースにオブジェクトを設定するには、MIMMA コネクタで同期サイクルを実行する必要があります。 このサイクルでは以下の操作を行います。

  • エクスポート
  • フル インポート
  • 完全同期

次の手順に従い、3 つの実行プロファイルをそれぞれ実行します。

  1. Synchronization Service Manager を開き、[ツール] メニューの [管理エージェント] をクリックします。

  2. 管理エージェントの一覧で、MIMMA を選択します。

  3. [アクション ] メニューの [ 実行] をクリックして、[管理エージェントの実行] ダイアログ ボックスを開きます。

  4. 上に示した各実行プロファイルに対し、以下の手順を実行します。

    • [アクション ] メニューの [ 実行] をクリックして、[管理エージェントの実行] ダイアログ ボックスを開きます。
    • [実行プロファイル] の一覧で、実行する実行プロファイルを選択します
    • [OK] をクリックして、実行プロファイルを開始します。