同期したユーザーの情報変更はADで実施

Office 365の管理ポータル上では、ADから同期されたユーザーのアイコンは通常のユーザーと異なる。

図5 : Office 365で登録したユーザーとADから同期されたユーザーはアイコンが異なる

同期済みユーザーの情報はポータルから変更できなくなるため、ユーザー情報を変更するにはAD側で変更を行い、その後Office 365 とのディレクトリ同期を実行する必要がある。

デフォルトでは、ディレクトリ同期は3時間に一度行われるが、ADで変更した情報の内容によっては自動起動のタイミングを待たずに即時に同期させる必要もあるだろう。そのような場合は「C:\Program Files\Microsoft Online Directory Sync\DirSyncConfigShell.psc1」を実行してPowerShell コンソールを開き、「Start-OnlineCoexistenceSync」コマンドレットを実行すると、手動でディレクトリ同期を実行することができる。

ディレクトリ同期の実行状況は、「C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell\miisclient.exe」を実行して確認することが可能だ。

図6 : miisclient.exeを使用した同期状況の確認

なお、ディレクトリ同期でエラーが発生した場合は、ポータルで設定した技術担当者の電子メール宛にメールが送信されるようになっている。エラーを見落とさないためにも、正しいメールアドレスを設定しておくようにしよう。

図7 : エラー発生時に送信される電子メールと電子メールの送信先の設定

以上でディレクトリ同期の設定は終了だ。

ディレクトリ同期を設定しておけば、、システム管理者はADとOffice 365の両方ではなく、ADの情報のみを変更すればよくなるため、人事情報が頻繁に変更されるような環境であってもシステム管理者の手間は低減できるだろう。。

なお、同期の対象となるAD情報は公開されているのでADの情報を設定する前に一読しておきたい。

*  *  *

さて、ディレクトリ同期が終了するとOffice 365にADのユーザー情報が反映されるが、この状態では企業内ADとOffice 365のパスワードは別管理となっている。そのため、ADのパスワードを使用してOffice 365 にシングルサインオンすることはできない。シングルサインオンを実現するためにはAD FS、AD FS Proxyの導入をする必要がある。

次回はAD FS、AD FS Proxyを導入し、シングルサインオンの環境を試してみたい。