Project Server でセキュリティ グループと Active Directory との同期を管理する
概要:Project Web Appで Project Server セキュリティ グループを構成して、Active Directory のセキュリティ グループまたは配布グループと同期できます。
適用対象: Project Server サブスクリプション エディション、Project Server 2019、Project Server 2016、Project Server 2013
注:
セキュリティ グループProject Web App Active Directory 同期を構成するには、Project Server インスタンスが Project Server アクセス許可モードである必要があります。 設定は SharePoint アクセス許可モードでは使用できません。 Project Server アクセス許可モードの詳細については、「Project Server でのユーザー アクセスの計画」を参照してください。
Project Server セキュリティ グループの同期では、Active Directory ディレクトリ サービスのグループ メンバーシップに基づいて、指定した Project Server セキュリティ グループに対してユーザーを自動的に追加および削除することで、Project Server セキュリティ グループのメンバーシップが制御されます。 各 Project Server セキュリティ グループをマップできる Active Directory グループは 1 つです。 さらに、Active Directory グループには、メンバーも同期される入れ子になったグループを含めることができます。
Project Server セキュリティ グループの同期プロセスでは次の処理を行うことができます。
新しい Project Server ユーザー アカウントを Active Directory アカウントに基づいて作成できます。
既存の Project Server ユーザーを Project Server セキュリティ グループから削除できます。
既存の Project Server ユーザーを Project Server セキュリティ グループに追加できます。
Active Directory で更新されていた場合に、既存の Project Server ユーザー アカウントのメタデータ (名前、電子メール アドレスなど) を更新できます。
この手順を実行する前に、次の点を確認してください。
Project Web App (PWA) を使用して Project Server にアクセスするアカウントには、[Active Directory 設定の管理] と [ユーザーとグループの管理] グローバル アクセス許可の両方が有効になっています。
Project Server インスタンスの Service Application サービス アカウントには、同期に関連するすべての Active Directory グループとユーザー アカウントに対する読み取りアクセス権があります。 このアカウントは、SharePoint サーバーの全体管理 Web サイトの [サービス アプリケーション] ページで確認できます。
セキュリティ グループの同期シナリオ
セキュリティ グループの同期が行われるときに発生する可能性のあるシナリオと対応するアクションを次に示します。
| シナリオ | 操作 |
|---|---|
| ユーザーが Active Directory に存在しており、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバです。 このユーザーは Project Server には存在しません。 |
対応する新しいユーザー アカウントが Project Server に作成され、現在の Project Server セキュリティ グループのメンバシップが許可されます。 |
| ユーザーが、現在の Project Server セキュリティ グループにマップされた Active Directory グループのメンバではありません。 このユーザーは Project Server に存在しており、現在の Project Server セキュリティ グループのメンバです。 |
既存の Project Server ユーザーが、現在の Project Server セキュリティ グループのメンバから削除されます。 |
| ユーザーが Active Directory に存在しており、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバです。 このユーザーは Project Server に存在していますが、現在の Project Server セキュリティ グループのメンバではありません。 |
この既存の Project Server ユーザーに、現在の Project Server セキュリティ グループのメンバシップが許可されます。 |
| ユーザーが Active Directory に存在しており、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバです。 このユーザーは Project Server に存在しており、現在の Project Server セキュリティ グループのメンバです。 そのユーザー情報が Active Directory で更新されました。 |
対応する Project Server ユーザーの情報が更新されます (該当する場合)。 |
| ユーザーが Active Directory に存在しており、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバです。 このユーザーは、非アクティブ アカウントとして Project Server に存在しています。 |
[現在無効になっているユーザーが同期中に Active Directory で見つかった場合、自動的に再有効化する] オプションが Project Server で選択されていると、このアカウントは再アクティブ化され、現在の Project Server セキュリティ グループに追加されます。 このオプションが選択されていない場合、Project Server のアカウントは非アクティブのままになります。 |
Active Directory グループとのセキュリティ グループの同期を構成する
Project Web Appセキュリティ グループと Active Directory グループの同期は、Project Web App サーバー設定の [グループの管理] ページで行います。
セキュリティ グループの同期を構成するには
[Project Web App サーバーの設定] ページの [セキュリティ] セクションで、[グループの管理] をクリックします。
[グループの管理] ページの [グループ名] 列で、同期させるセキュリティ グループの名前をクリックします。
選択したグループの [追加または編集] ページの [ Active Directory グループ ] セクションで、この PWA グループと同期する Active Directory グループの名前または SAM アカウントを入力します。 グループ名を入力すると、テキスト文字列を含む Active Directory グループが結果に表示されます。 結果から同期する Active Directory グループを選択します。
リモート フォレストからグループを選択するには、グループの完全修飾ドメイン名 (例: group@corp.contoso.com) を入力します。
注:
どの範囲 (ローカル、グローバル、またはユニバーサル) のセキュリティ グループまたは配布グループにも同期できます。
[保存] をクリックして設定を保存します。
[グループの管理] ページ で、[Active Directory グループ同期オプション] をクリックします。
[Active Directory とセキュリティ グループProject Web App同期] ダイアログ ページで、非アクティブなユーザー アカウントが同期中に Active Directory グループ内にある場合に再アクティブ化できるようにします。 これを行うには、 同期中に Active Directory で見つかった場合は、[現在非アクティブなユーザーを自動的に再アクティブ化する] を選択します。たとえば、このオプションを有効にした場合、従業員が再雇用された場合、従業員のユーザー アカウントが再アクティブ化されます。
[保存] をクリックして設定を保存します。 Project Server セキュリティ グループをすぐに同期する場合は、[ 保存して今すぐ 同期] をクリックします。 [状態] セクションでは、Project Web Appグループが Active Directory と同期された最後の時刻について説明します。
注:
[ Save and Synchronize Now]\(今すぐ保存して同期\) ボタンをクリックすると、すべてのセキュリティ グループが構成された Active Directory グループに同期されます。 Active Directory グループ同期オプションをクリックする前に、[グループの管理] ページで個々のセキュリティ グループを選択しないでください。これは、同期されるグループには影響しません。
[グループの管理] ページを表示すると、どの PWA セキュリティ グループが Active Directory グループに同期され、セキュリティ グループごとに最後に同期が行われたかを確認できます。
[Active Directory グループ] 列には、PWA セキュリティ グループと同期するように構成されている Active Directory グループが表示されます。
[最後の同期] 列には、グループごとに同期が最後に正常に行われた時刻が表示されます。
PWA セキュリティ グループへの Active Directory 同期をスケジュールする
Active Directory と PWA セキュリティ グループの同期が発生する頻度をスケジュールするには、サーバーの全体管理の [Project Server: AD とセキュリティ グループの同期 ] タイマー ジョブ構成設定を使用します。 これは、分、日、週、または月の定義された期間にスケジュールできます。 次の手順では、サーバーの全体管理で Project Server: AD とセキュリティ グループの タイマー ジョブ構成設定の同期にアクセスする方法と、使用可能なスケジュール オプションについて説明します。
PWA セキュリティ グループへの Active Directory 同期をスケジュールするには
サーバーの全体管理で [ 監視] をクリックします。
[監視] ページの [ タイマー ジョブ ] セクションで、[ ジョブ定義の確認] をクリックします。
[ジョブの定義] ページで、[ Project Server: AD と PWAIntanceName のセキュリティ グループの同期] を見つけてクリックします。
たとえば、Project Server: のセキュリティ グループとの AD の同期 https://contoso/pwa.
ジョブの [タイマー ジョブの編集] ページの [ 定期的なスケジュール ] セクションで、同期を定期的に実行するタイミングを構成できます。 [ このタイマー ジョブは実行するようにスケジュールされています ] セクションで、組織の要件に基づいて、次のいずれかのオプションを選択できます。
分: ジョブを実行する頻度 ( x 分ごと) を指定できます。
時間単位: ジョブをランダムに実行する間隔を指定できます。 1 時間から 1 時間を過ぎた x 分から 1 時間を過ぎた後 y 分までの 1 時間ごとに開始します。
日単位: ジョブをランダムに実行する間隔を指定できます。x 時刻から y 時刻までの間に毎日開始されます。
週単位: ジョブをランダムに実行する方法を指定できます。 x 曜日と x 時刻の間、および y 曜日と y 時刻の間で毎週開始します。
月単位: 2 つのオプションがあります。
ジョブをランダムに実行する間隔を指定できます。 日付: x 時刻と x 日の間で毎月開始し、y 日から y 日までの間隔を指定できます。
タイマー ジョブが実行される月の正確な時刻を指定できます。 日単位: 毎月の開始 x 時刻、曜日の y、月の z 週。 たとえば、 最初の日曜日の午前 12:00 などです。
[OK] をクリックして構成の変更を保存します。
注:
いつでも [今すぐ実行] をクリックして、タイマー ジョブをすぐに実行できます。
いくつかのオプションでは、正確な時刻または頻度ではなく、ジョブを実行するための実行時間の期間が提供されます。 実行期間を指定するオプションを選択すると、タイマー サービスが各アプリケーション サーバーでジョブを実行する時刻をパラメーター内でランダムに選択します。 実行時間の長いオプションを使用することは、ファーム内の複数のサーバーで実行される負荷の高いジョブに適しています。 この種のジョブをすべてのサーバーで同時に実行すると、ファームに大きな負荷がかかる場合があります。
さまざまな要因により、 Project Server: Ad とセキュリティ グループのタイマー ジョブの同期 を実行する頻度を決定するのに役立つ場合があります。 環境内でユーザーが頻繁に別のグループに移動する場合、または会社が頻繁に従業員を雇用または解放する場合は、このタイマー ジョブをより頻繁に実行することもできます。 Project Server ユーザーが機密データを操作している場合は、ジョブをより頻繁に実行することもできます。
関連項目
Project Server 2013 で Active Directory とリソース共有元の同期を管理する
Project Server でセキュリティ グループを管理する
Project Server 2013 でエンタープライズ リソース共有元との同期を行うように Active Directory グループを構成するためのベスト プラクティス