ハイブリッドの構成とテストに必要なアカウント

  • [アーティクル]

適用対象:yes-img-13 2013yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

SharePoint Server ハイブリッド環境を構成する場合は、オンプレミスの Active Directory と Microsoft 365 の両方に複数のユーザー アカウントが必要です。 これらのアカウントには、異なるアクセス許可およびグループまたはロールのメンバーシップも必要となります。 これらのアカウントの一部は、ソフトウェアを展開および構成するために使用されるほか、特定の機能をテストして、セキュリティおよび認証システムが期待どおりに動作していることを確認するために使用されるものもあります。

ハイブリッド環境では、Active Directory の一部またはすべてのユーザー アカウントが Microsoft Entra ディレクトリ サービスと同期されます。 これらのアカウントを フェデレーション ユーザー と呼ぶことがあります。 Microsoft 365 の SharePoint Server と SharePoint は、サーバー間 (S2S) の信頼関係で構成されており、フェデレーション ユーザーが 1 つの ID を使用して両方のファームのコンテンツとリソースにアクセスできるようにサービス アプリケーションを構成できます。 ユーザー アカウントと資格情報は Microsoft 365 の SharePoint Server と SharePoint の間で同期されるため、リストとライブラリのコンテンツ セキュリティは、同じユーザーとグループのセットを使用して両方のファームで適用できます。

注:

この表は、特定の SharePoint Server ハイブリッド ソリューションのサービス アプリケーションや機能のために特定の要件がある可能性のあるサービス アカウントを含みません。 サポートされる各ソリューションの要件の詳細については、「SharePoint Server のハイブリッド ソリューションを構成する」のソリューション構成についての記事を参照してください。

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

表: SharePoint ハイブリッド構成とテストに必要なアカウント

Account ID プロバイダー 役割
グローバル管理者
 Microsoft 365 と Microsoft Entra ID
 Microsoft 365 機能での SharePoint の構成、Microsoft 365 PowerShell コマンドでの Microsoft Entra ID と SharePoint の実行、Microsoft 365 での SharePoint のテストなど、Microsoft 365 構成タスクのグローバル管理者ロールに割り当てられている Microsoft 365 職場アカウントを使用します。
AD ドメイン管理者
 社内の AD
 Domain Admins グループの AD アカウントを使用して、AD、ADFS、DNS、および証明書の構成とテスト、および昇格を必要とするその他のタスクを行います。
Microsoft 365 ファーム管理者の SharePoint
 社内の AD
 Microsoft 365 管理シェルの SharePoint で PowerShell コマンドを実行する、S2S 信頼を構成する、Web アプリケーションとサイト コレクションを作成して構成する、SQL Server データベースを展開して構成する、SharePoint Server のトラブルシューティングを行うなど、SharePoint Server 構成タスク用の Microsoft 365 ファーム管理者グループの AD アカウントを使用します。
このアカウントには、Microsoft 365 管理シェルで SharePoint を使用するための追加の特権も必要です。
SQL サーバー インスタンスの securityadmin 固定サーバー ロールのメンバシップ。
更新するすべてのデータベースの db_owner 固定データベース ロールのメンバシップ。
PowerShell コマンドレットを実行中のサーバーの管理者グループのメンバシップ。
フェデレーション ユーザー
 社内の AD
 Microsoft 365 と同期された AD アカウントを使用して、Microsoft 365 の SharePoint Server と SharePoint の両方の特定のリソースへのアクセスをテストします。
これらのアカウントまたはメンバーであるグループは、両方の環境の SharePoint Server サイト コレクションとリソースに対するアクセス許可を持ち、Microsoft 365 サブスクリプションに適切な製品ライセンスが割り当てられている必要があります。 またこれらは、計画プロセスの間にフェデレーション ユーザーに指定する代替のドメイン UPN サフィックスを使用するように設定しなければなりません。
適切なセキュリティによるトリミングおよびサイト リソースへのアクセスをテストするための異なるアクセス許可またはグループ メンバシップを備えた複数のフェデレーション アカウントを構成することができます。