BPOSで一部のユーザーだけディレクトリ同期する方法

前回の投稿でも紹介しましたが、最近のマイクロソフト テクノロジーではActive Directoryデータベースの情報を引用して
サービスを実行する際に、MIIS / ILM / FIM が使われることが多くなってきているような気がします。
マイクロソフトが提供している、SaaS型クラウドソリューションであるBPOSもそのひとつです。
BPOSはあらかじめユーザーを作成してから利用開始しますが、
このときに、ユーザーを手作業で作成するのではなく、オンプレミスのActive Directoryからユーザーを
インポートする方法があります。この機能をBPOSではディレクトリ同期と呼んでいますが、
このディレクトリ同期にMIISが使われています。

ところが、実際にBPOSでディレクトリ同期を行うと、Active Directoryドメインに格納されている、
すべてのユーザーがインポートされてしまいます。
これを一部のユーザーだけにできないものか、というのが今回の投稿のテーマです。
(申し訳ないですが、ディレクトリ同期の基本的な使い方はここでの主題ではないので、他のメディアを参照してくださいね)

ディレクトリ同期を利用するときには、ディレクトリ同期ツールをオンプレミス(自社運用)のサーバーにインストールするのですが、
ディレクトリ同期ツールを実際にインストールすると、MIISも一緒にインストールされます。
MIISはエンジンだけでなく、管理ツールも一緒にインストールされるので、管理ツールを使うことで簡単に同期対象を変えることができます。

では、やり方を見てみましょう。

まず、ディレクトリ同期ツールをインストールしたサーバーから、MIISの管理ツールを起動します。
パスはc:\Program Files\Microsoft Online Directory Sync\SYNCBUS\UIShell\miisclient.exeです。
BPOSsync025

管理ツール(Identity Manager)を開くと、最初からSourceADとTargetWebServiceの2つの管理エージェントが作られていることがわかります。SourceADがActive Directory用の管理エージェント、TargeWebServiceがBPOS用の管理エージェントです。
BPOSsync026 

SourceADのプロパティを開くと、Active Directoryからどうやってユーザーをインポートするか、について定義できます。そこで、資格情報を指定し、
(デフォルトでは,MSOL_Syncというユーザーが指定されていますが、このユーザーのパスワードはランダムに設定されてしまうので、パスワードがわかりません。ここでは、MSOL_Syncユーザーの代わりにAdministratorを使っています。必要な権限はEnterprise Adminsグループのメンバーということだそうなので、その権限を持ったユーザーの資格情報を指定すれば、それでも良いと思います。)
BPOSsync028

左ペインからConfigure Directory Partitionsを選んで、Containersをクリックすれば、
BPOSsync029

インポート対象(同期対象)のOUが選択できます。
BPOSsync030

あとはディレクトリ同期を実行するだけです。
ディレクトリ同期は自動で3時間ごとに実行するか、もしくは[ディレクトリ同期の構成]ツールを使って今すぐ実行するか、ですが、
ディレクトリ同期の構成ツールを使って今すぐ実行するには毎回資格情報を入力しなければならないので、
ここでは、MIISの管理ツールを使って今すぐ同期を実行してみたいと思います。

管理ツールから、SourceAD管理エージェントを右クリックして、Runをクリックすると、Run Profileが出てきますので、Full Import Full Syncを実行します。
BPOSsync031 

すると、Active Directoryから同期が始まります。続いて、TargeWebService管理エージェントを右クリックして、Runをクリックすると、Run Profileが出てきますので、Full Confirming Import → Exportの順に実行します。すると、BPOSへのエクスポートが完了します。
BPOSsync032

これで、特定のOUに所属するユーザーの情報だけがBPOSへ同期されました。

MIISでは、必ずメタバースというデータベースを経由してインポート/エクスポートが行われます。メタバースには、ディレクトリ同期ツールをインストールしたときに、一緒にインストールされるSQL Server 2005 Express Editionを使いますので、興味のある人はデータベースの内容などもご覧になってみると面白いと思います。

紹介 sophiakunii
国井 傑(株式会社ソフィアネットワーク)… インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとして、IT Pro分野全般のトレーニングを担当。また、2006年から連続してMicrosoft MVP(Directory Services)を受賞している。主な著書に「プロが教えるWindows Server 2012システム管理」(アスキーメディアワークス)、「Windows Server 2008イントラネット構築ガイド」(CQ出版)、「PowerShellによるWindowsサーバ管理術」(ソフトバンク クリエイティブ)などがある。

One Response to BPOSで一部のユーザーだけディレクトリ同期する方法

  1. ピンバック: ディレクトリ同期を今すぐ実行する方法 – 2014年版 | Always on the clock

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中