SQL の委任された管理者権限を使用した Microsoft Entra Connect をインストールする

  • [アーティクル]

以前の Microsoft Entra Connect ビルドでは、SQL を必要とする構成をデプロイするとき、管理の委任はサポートされていませんでした。 Microsoft Entra Connect をインストールするユーザーには、SQL サーバーにおけるサーバー管理者 (SA) 権限が必要でした。

Microsoft Entra Connect の最新のリリースでは、SQL 管理者が帯域外でデータベースのプロビジョニングを実行し、データベース所有者権限を持つ Microsoft Entra Connect 管理者がインストールできるようになりました。

開始する前に

この機能を使用するには、動的なパーツが複数あり、それぞれに組織内の異なる管理者が関与する可能性があることを認識する必要があります。 次の表に、この機能を使用して Microsoft Entra Connect をデプロイするときの各ロールとそれぞれの役割をまとめます。

Role 説明
ドメインまたはフォレスト AD 管理者 同期サービスを実行するときに Microsoft Entra Connect によって使用されるドメイン レベルのサービス アカウントを作成します。 サービス アカウントの詳細については、アカウントとアクセス許可に関するページをご覧ください。
SQL 管理者 ADSync データベースを作成し、ログインと dbo アクセス権を、Microsoft Entra Connect 管理者、およびドメイン/フォレスト管理者によって作成されたサービス アカウントに付与します。
Microsoft Entra Connect 管理者 Microsoft Entra Connect をインストールし、カスタム インストール中にサービス アカウントを指定します。

SQL の委任されたアクセス許可を使用して Microsoft Entra Connect をインストールする手順

帯域外でデータベースをプロビジョニングし、データベース所有者のアクセス許可で Microsoft Entra Connect をインストールするには、次の手順に従います。

Note

必須ではありませんが、データベースを作成するときは、Latin1_General_CI_AS 照合順序を選択することを強くお勧めします

  1. SQL 管理者に、大文字と小文字を区別しない照合順序 (Latin1_General_CI_AS) で ADSync データベースを作成してもらいます。 Microsoft Entra Connect のインストール時に、復旧モデル、互換性レベル、および包含の種類が正しい値に更新されます。 ただし、照合順序は、SQL 管理者が正しく設定する必要があります。これを行わないと、Microsoft Entra Connect によってインストールがブロックされます。 復旧するには、SA はデータベースを削除して、再作成する必要があります。

    Collation

  2. Microsoft Entra Connect 管理者とドメイン サービス アカウントに次のアクセス許可を付与します。

    • SQL ログイン
    • データベース所有者 (dbo) 権限。

    Permissions

    Note

    Microsoft Entra Connect は入れ子になったメンバーシップでのログインはサポートしていません。 つまり、Microsoft Entra Connect 管理者アカウントとドメイン サービス アカウントは、dbo 権限が付与されているログインにリンクされている必要があります。 単に dbo 権限によるログインに割り当てられているグループのメンバーとすることはできません。

  3. Microsoft Entra Connect のインストール時に使用する必要がある SQL サーバーとインスタンス名を示す電子メールを、Microsoft Entra Connect 管理者に送信します。

追加情報

データベースがプロビジョニングされたら、Microsoft Entra Connect 管理者は、必要に応じてオンプレミスの同期をインストールおよび構成できます。

SQL 管理者が以前の Microsoft Entra Connect のバックアップから ADSync データベースを復元している場合、既存のデータベースを使用して新しい Microsoft Entra Connect サーバーをインストールする必要があります。 既存のデータベースを使用した Microsoft Entra Connect のインストールの詳細については、「既存の ADSync データベースを使用して Microsoft Entra Connect をインストールする」を参照してください。

次のステップ