Microsoft Entra Connect: AD DS コネクタ アカウントのアクセス許可を構成する
ADSyncConfig.psm1 という名前の PowerShell モジュールがビルド 1.1.880.0 (2018 年 8 月にリリース) で導入されました。これには、Microsoft Entra Connect のデプロイ用の適切な Active Directory アクセス許可を構成するのに役立つコマンドレットのコレクションが含まれています。
概要
以下の PowerShell コマンドレットを使うと、AD DS コネクタ アカウントの Active Directory アクセス許可を、Microsoft Entra Connect で有効にする機能ごとに設定することができます。 問題を防ぐため、フォレストに接続するためにカスタム ドメイン アカウントを使って Microsoft Entra Connect をインストールしたい場合は、必ず事前に Active Directory のアクセス許可を準備してください。 この ADSyncConfig モジュールは、Microsoft Entra Connect のデプロイ後にアクセス許可を構成する場合も使用できます。
Microsoft Entra Connect の高速インストールでは、自動的に生成されたアカウント (MSOL_nnnnnnnnnn) が、必要なすべてのアクセス許可が付与されて Active Directory に作成されます。そのため、組織単位または Microsoft Entra ID に同期する特定の Active Directory オブジェクトでアクセス許可の継承がブロックされている場合を除き、この ADSyncConfig モジュールを使う必要はありません。
アクセス許可の概要
次の表で、AD オブジェクトに必要なアクセス許可の概要を示します。
| 機能 | アクセス許可 |
|---|---|
| ms-DS-ConsistencyGuid 機能 | 「設計概念 - sourceAnchor としての ms-DS-ConsistencyGuid の使用」に記載された ms-DS-ConsistencyGuid 属性に対する読み取りと書き込みのアクセス許可。 |
| パスワード ハッシュの同期 | |
| Exchange ハイブリッドのデプロイメント | ユーザー、グループ、連絡先用の「Exchange ハイブリッドの書き戻し」に記載された属性への読み取りと書き込みのアクセス許可。 |
| Exchange メールのパブリック フォルダー | パブリック フォルダーに関して、「Exchange メールのパブリック フォルダー」に記載された属性への読み取りアクセス許可。 |
| パスワードの書き戻し | ユーザー向けの「パスワード管理の概要」に記載された属性への読み取りと書き込みのアクセス許可。 |
| デバイスの書き戻し | 「デバイスの書き戻し」に記載されているデバイスのオブジェクトとコンテナーに対する読み取りと書き込みのアクセス許可。 |
| グループの書き戻し | 同期された Office 365 グループのグループ オブジェクトの読み取り、作成、更新、削除。 |
ADSyncConfig PowerShell モジュールの使用
ADSyncConfig モジュールは AD DS PowerShell モジュールとツールに依存するため、AD DS 用のリモート サーバー管理ツール (RSAT) が必要です。 AD DS 用の RSAT をインストールするには、「管理者として実行」して Windows PowerShell ウィンドウを開いて、次のように実行します。
Install-WindowsFeature RSAT-AD-Tools
Note
AD DS 用の RSAT が既にインストールされているドメイン コントローラーにファイル C:\Program Files\Microsoft Entra Connect\AdSyncConfig\ADSyncConfig.psm1 をコピーし、そこでこの PowerShell モジュールを使うこともできます。 一部のコマンドレットは Microsoft Entra Connect をホストしているコンピューター上でのみ実行できることに注意してください。
ADSyncConfig の使用を開始するには、Windows PowerShell ウィンドウにモジュールを読み込む必要があります。
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
このモジュールに含まれているすべてのコマンドレットを確認するには、次のように入力できます。
Get-Command -Module AdSyncConfig
各コマンドレットには、AD DS コネクタ アカウントや AdminSDHolder スイッチを入力するものと同じパラメーターがあります。 AD DS コネクタ アカウントを指定するには、アカウント名とドメインと入力することも、アカウントの識別名 (DN) だけを入力することもできます。
例:
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <ADAccountName> -ADConnectorAccountDomain <ADDomainName>
または、
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <ADAccountDN>
<ADAccountName>、<ADDomainName>、<ADAccountDN> をお使いの環境の値に変更してください。
AdminSDHolder コンテナーに対するアクセス許可を変更する場合は、スイッチ -IncludeAdminSdHolders を使用します。 これは推奨されないことにご注意ください。
既定では、すべてのアクセス許可設定コマンドレットが、フォレスト内の各ドメインのルートに対して AD DS のアクセス許可を設定しようとします。つまり、PowerShell セッションを実行するユーザーには、フォレスト内の各ドメインに対するドメイン管理者権限が必要になります。 この要件により、フォレストのルートからエンタープライズ管理者を使用することをお勧めします。 Microsoft Entra Connect のデプロイに複数の AD DS コネクタがある場合は、AD DS コネクタのある各フォレストで同じコマンドレットを実行する必要があります。
また、パラメーター -ADobjectDN に続いて、アクセス許可を設定するターゲット オブジェクトの DN を使用して、特定の OU または AD DS オブジェクトにアクセス許可を設定することもできます。 ターゲット ADobjectDN を使用する場合、このコマンドレットはこのオブジェクトにのみアクセス許可を設定し、ドメインのルートまたは AdminSDHolder コンテナーには設定しません。 このパラメーターは、アクセス許可の継承が無効になっている特定の OU または AD DS オブジェクトがある場合に便利です (「アクセス許可の継承が無効になっているオブジェクトの検索」を参照)
これらの一般的なパラメーターの例外は、AD DS コネクタ アカウント自体に対するアクセス許可の設定に使用する Set-ADSyncRestrictedPermissions コマンドレットと、パスワード ハッシュ同期に必要な権限がそのドメインのルートにのみ設定され、そのために -ObjectDN パラメーターまたは -IncludeAdminSdHolders パラメーターが含まれない、Set-ADSyncPasswordHashSyncPermissions コマンドレットです。
AD DS コネクタ アカウントの確認
Microsoft Entra Connect が既にインストールされていて、Microsoft Entra Connect で現在使用中の AD DS コネクタ アカウントを確認したい場合は、次のコマンドレットを実行できます。
Get-ADSyncADConnectorAccount
アクセス許可の継承が無効になっている AD DS オブジェクトの検索
アクセス許可の継承が無効になっている AD DS オブジェクトがあるかどうかを確認する場合は、次のように実行できます。
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>'
既定では、このコマンドレットは継承が無効になっている OU のみを検索しますが、-ObjectClass パラメーターにその他の AD DS オブジェクト クラスを指定することも、次のようにすべてのオブジェクト クラスとして ' *' を使用することもできます。
Get-ADSyncObjectsWithInheritanceDisabled -SearchBase '<DistinguishedName>' -ObjectClass *
オブジェクトの AD DS アクセス許可の表示
下のコマンドレットを使用すると、Active Directory オブジェクトの DistinguishedName を指定することで、そのオブジェクトに現在設定されているアクセス許可の一覧を表示できます。
Show-ADSyncADObjectPermissions -ADobjectDN '<DistinguishedName>'
AD DS コネクタ アカウントのアクセス許可の構成
基本的な読み取り専用のアクセス許可の構成
Microsoft Entra Connect 機能を使用しない場合に、AD DS コネクタ アカウントに対して基本的な読み取り専用のアクセス許可を設定するには、次のコマンドを実行します。
Set-ADSyncBasicReadPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
または、
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | デバイスの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | InetOrgPerson の子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | コンピューターの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | foreignSecurityPrincipal の子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | グループの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | ユーザーの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | 連絡先の子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | ディレクトリの変更のレプリケート | このオブジェクトのみ (ドメインのルート) |
MS-DS-Consistency-Guid のアクセス許可の構成
ソース アンカーとして ms-Ds-Consistency-Guid 属性を使用している (「自分のソース アンカーを Azure で管理できるようにする」オプションとも言います) ときに、AD DS コネクタ アカウントのアクセス許可を設定するには、次のように実行します。
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
または、
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | プロパティの読み取り/書き込み | ユーザーの子孫オブジェクト |
パスワード同期のアクセス許可
パスワード ハッシュ同期を使用しているときに、AD DS コネクタ アカウントのアクセス許可を設定するには、次のように実行します。
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [<CommonParameters>]
または、
Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountDN <String> [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | ディレクトリの変更のレプリケート | このオブジェクトのみ (ドメインのルート) |
| Allow | AD DS コネクタ アカウント | ディレクトリの変更すべてのレプリケート | このオブジェクトのみ (ドメインのルート) |
パスワード ライトバックのアクセス許可
パスワード ライトバックを使用しているときに、AD DS コネクタ アカウントのアクセス許可を設定するには、次のように実行します。
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
または、
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | パスワードのリセット | ユーザーの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | プロパティ lockoutTime の書き込み | ユーザーの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | プロパティ pwdLastSet の書き込み | ユーザーの子孫オブジェクト |
グループの書き戻しのアクセス許可
グループの書き戻しを使用しているときに、AD DS コネクタ アカウントのアクセス許可を設定するには、次のように実行します。
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
または、
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | 汎用の読み取り/書き込み | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
| Allow | AD DS コネクタ アカウント | 子オブジェクトの作成/削除 | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
| Allow | AD DS コネクタ アカウント | 削除/ツリー オブジェクトの削除 | オブジェクトの種類のグループとサブオブジェクトのすべての属性 |
Exchange ハイブリッドのデプロイのアクセス許可
Exchange ハイブリッドのデプロイを使用しているときに、AD DS コネクタ アカウントのアクセス許可を設定するには、次のように実行します。
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
または、
Set-ADSyncExchangeHybridPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り/書き込み | ユーザーの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り/書き込み | InetOrgPerson の子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り/書き込み | グループの子孫オブジェクト |
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り/書き込み | 連絡先の子孫オブジェクト |
Exchange メールのパブリック フォルダーのアクセス許可
Exchange メールのパブリック フォルダー機能を使用しているときに、AD DS コネクタ アカウントのアクセス許可を設定するには、次のように実行します。
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountName <String> -ADConnectorAccountDomain <String> [-IncludeAdminSdHolders] [<CommonParameters>]
または、
Set-ADSyncExchangeMailPublicFolderPermissions -ADConnectorAccountDN <String> [-ADobjectDN <String>] [<CommonParameters>]
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | AD DS コネクタ アカウント | すべてのプロパティの読み取り | パブリック フォルダーの子孫オブジェクト |
AD DS コネクタ アカウントのアクセス許可の制限
この PowerShell スクリプトは、パラメーターとして指定された AD コネクタ アカウントに対するアクセス許可のセキュリティを強化します。 アクセス許可のセキュリティの強化には、次の手順が含まれます。
指定したオブジェクトの継承を無効にします
特定のオブジェクトのすべての ACE を削除します。ただし、SELF については既定のアクセス許可を維持するために、SELF に固有の ACE を除きます。
-ADConnectorAccountDN パラメーターは、アクセス許可のセキュリティを強化する必要がある AD アカウントです。 これは、通常、AD DS コネクタに構成されている MSOL_nnnnnnnnnnnn ドメイン アカウントです (「AD DS コネクタ アカウントの確認」を参照)。 -Credential パラメーターは、ターゲットの AD オブジェクトに対する Active Directory のアクセス許可を制限するために必要な特権を持つ、管理者アカウントを指定するために必要です (このアカウントは、ADConnectorAccountDN アカウントとは異なるものにする必要があります)。 これは通常、企業またはドメインの管理者です。
Set-ADSyncRestrictedPermissions [-ADConnectorAccountDN] <String> [-Credential] <PSCredential> [-DisableCredentialValidation] [-WhatIf] [-Confirm] [<CommonParameters>]
たとえば次のようになります。
$credential = Get-Credential
Set-ADSyncRestrictedPermissions -ADConnectorAccountDN 'CN=ADConnectorAccount,OU=Users,DC=Contoso,DC=com' -Credential $credential
このコマンドレットは、次のアクセス許可を設定します。
| Type | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| Allow | SYSTEM | フル コントロール | このオブジェクト |
| Allow | Enterprise Admins | フル コントロール | このオブジェクト |
| Allow | Domain Admins | フル コントロール | このオブジェクト |
| Allow | 管理者 | フル コントロール | このオブジェクト |
| Allow | Enterprise Domain Controllers | コンテンツの一覧 | このオブジェクト |
| Allow | Enterprise Domain Controllers | すべてのプロパティの読み取り | このオブジェクト |
| Allow | Enterprise Domain Controllers | 読み取りのアクセス許可 | このオブジェクト |
| Allow | Authenticated Users | コンテンツの一覧 | このオブジェクト |
| Allow | Authenticated Users | すべてのプロパティの読み取り | このオブジェクト |
| Allow | Authenticated Users | 読み取りのアクセス許可 | このオブジェクト |