Microsoft Identity Manager を SharePoint Server で実装する場合の展開に関する考慮事項

適用対象:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

SharePoint Server での MIM 展開が成功する可能性を高めるために、次の推奨事項に従います。

テスト環境から運用環境への移行を計画します。

十分に時間をかけて計画する必要があります。 この手順は非常に重要です。 同期が失敗する原因の大半は計画不足によるものです。

展開に関する問題を最小限に抑えるために、テスト ラボで MIM 同期サービスを適切にセットアップし、テスト環境から運用環境への移行を慎重に計画することが不可欠です。 新しいルールをテストするときに何千ものオブジェクトを処理しないように、小規模なテスト環境を使用することをお勧めします。

最初のテスト環境をバックアップします。

MIM をインストールし、管理エージェントを作成したら、MIM 同期データベースをバックアップします。 これで、バックアップ データベースを読み込むことで、新しいテスト環境をいつでも再作成できるようになります。

MIM のバックアップおよび復元手順をテストする

定期的なバックアップ手順は、過失による損失からデータを保護するために不可欠です。 また、緊急が発生する前に、バックアップと復元の手順をテストすることをお勧めします。 MIM をバックアップし復元するには、Windows Server 2012 R2 オペレーティング システムに付属しているバックアップ ツールおよび SQL Server 2014 を使用します。

MIM 同期サービスと SQL Server を同じドメインにインストールする

MIM 同期のセットアップ中、リモート データベース アクセスは、セットアップの実行に使用している現在のログオン アカウントのアクセス権によって異なります。 MIM をホストする Windows Server 2012 R2 オペレーティング システムを実行しているサーバーと SQL Server をホストするサーバーが同じドメインにあり、セットアップを実行するために使用しているアカウントに SQL Server をホストするサーバーへのアクセス権があることを確認します。

SQL Server がリモート サーバー上にインストールされている場合のアクセス権を設定する

リモート コンピューター、つまり、MIM を実行しているコンピューターとは異なるコンピューター上に SQL Server をインストールする場合、SQL Server サービス アカウントのポリシーで、ネットワークからそのコンピューターへのユーザー アクセスが許可されていることを確認してください。 アクセスが許可されていない場合、MIM のセットアップは失敗します。

重要

リモート コンピューターに SQL Server をインストールし、リモート コンピューターへのネットワーク アクセスを許可すると、MIM セットアップからセキュリティ警告が表示されます。 このシナリオでは、この警告を無視してもかまいません。

SQL Server を実行しているリモート サーバーの TCP/IP ポートを指定する

MIM のセットアップ中に指定した SQL Server インスタンスがリモート コンピューター上にある場合、MIM のセットアップでは既定の TCP/IP ポートが使用されます。 異なるポートを指定する場合は、SQL Server クライアント ネットワーク ユーティリティ (Windows\System32\cliconfg.exe) と SQL Server に付属しているサーバー ネットワーク ユーティリティ ツールを使用する必要があります。 詳細については、SQL Server オンライン ブックを参照してください。

管理エージェントのルールを変更するたびに管理エージェントをバックアップするには、管理エージェントのエクスポートを使用します。

管理エージェントのエクスポートを使用した後に、Import Management Agent コマンドを使用して、個々の管理エージェントの特定のバージョンをインポートすることができます。 Export Server Configuration コマンドおよび Import Server Configuration コマンドを使用して管理エージェントをエクスポートおよびインポートすることもできますが、このコマンドを実行すると、メタバース スキーマだけでなく、すべての管理エージェントがインポートされます。 構成とインポートの方法の詳細については、「管理エージェントの構成」および「サーバー構成のインポートとエクスポート」を参照してください。

検索結果を識別しやすくするためにメタバースに displayName 属性を設定する

メタバース検索を使用してオブジェクトをリストすると、MIM はdisplayName 属性で識別された結果を返します。 displayName 属性が設定されていない場合、検索結果はグローバル一意識別子 (GUID) によって識別されます。 メタバース検索の使用方法の詳細については、「メタバース検索の使用」を参照してください。

オブジェクトの状態に対応できるようにフロー ルールをデザインする

オブジェクトの状態の原因となったイベントではなく、オブジェクトの状態を使用して、オブジェクトの同期における次の手順を判別します。

重要

宣言型ルールまたはオブジェクトを同期するときに指定された順序で評価されるルール拡張内のルールには依存しないでください。 ルールは順序付けされていない方法で評価されます。

接続されているデータ ソースをメタバースに初めて移行するときにプロビジョニングを無効にする

MIM を初めてデプロイするときは、プロビジョニングを有効にする前に、接続されているすべてのデータ ソースを移行して参加することをお勧めします。 すべてが正常に移行および参加したことを確認したら、プロビジョニングを有効にし、管理エージェントの完全同期を実行して、接続されているすべてのオブジェクトにプロビジョニング 規則を適用できます。 プロビジョニング 規則を構成する方法の詳細については、「プロビジョニング 規則」を参照してください。

実行プロファイル手順で削除しきい値を設定し、過失による削除の数を制限する

削除のしきい値の設定を使用すると、インポートまたはエクスポート中に発生する可能性がある過失による削除の数を制限できます。 削除しきい値を設定した場合、しきい値の制限に達すると、管理エージェントが停止されるか、開始されないようにします。 詳細については、「 管理エージェントの構成」を参照してください。

コネクタ スペースの検索を使用してオブジェクトを確認する

コネクタ スペースの検索を使用することにより、管理エージェントのコネクタ スペース内のオブジェクトを検索できます。 オブジェクトは、名前またはエラーの状態、またはオブジェクトの状態 (接続、切断、インポートまたはエクスポートの待機中) によって見つけることができます。

プレビューを使用して同期をテストし、エラーをトラブルシューティングする

プレビューを使用して、テスト同期を実行し、メタバースに変更をコミットせずに結果を表示することができます。 さらに、新しいルールの拡張機能をテストしたり、結合の失敗またはスキーマ違反による同期エラーをトラブルシューティングしたりすることもできます。

差分同期手順を使用した定期的な実行プロファイルをスケジュールし、非結合を自動的に処理する

結合に失敗したオブジェクトは、Delta Import と Delta Synchronization の実行プロファイル ステップによって再評価されず、切断機能として残る可能性があります。 差分同期ステップを定期的に実行すると、これらの切断子が再評価され、処理されます。 プロファイルの手順を実行する方法の詳細については、「 管理エージェントの構成」を参照してください。

Operations での管理エージェントの実行履歴を定期的に保存およびクリアする

操作は、すべての管理エージェントの実行履歴を記録します。 各管理エージェントの実行履歴は、SQL Server データベースに保存されるため、時間の経過とともにデータベースが増大し、パフォーマンスに影響を与える可能性があります。 実行履歴は Operations を使用して保存できます。 操作の使用方法の詳細については、「操作の 使用」を参照してください。

注:

一度に非常に多くの実行を削除すると、かなりの時間がかかります。 一度に 100 回以下の実行を削除することをお勧めします。

1 つのオブジェクトの種類の同期を制御するには、管理エージェントで複数のパーティションを使用します。

ファイル ベースの管理エージェントで 1 つのオブジェクトの同期を制御するには、オブジェクトの種類ごとにパーティションを作成します。 たとえば、オブジェクトの種類 mailbox および group を同期するには、管理エージェントで 2 つのパーティションを作成し、 mailbox を 1 つのパーティションに、 group をもう 1 つのパーティションに割り当てます。 次に、パーティションごとに管理エージェントの実行プロファイルを作成します。 この構成では、選択したオブジェクトの種類の 1 つまたは両方を同期するための柔軟性を備えた 1 つの管理エージェントがあります。 パーティションの使用方法の詳細については、「メタバースとコネクタ スペース」を参照してください。

容量計画

MIM デプロイの全体的な容量とパフォーマンスに影響を与える可能性がある変数は多数あります。

システム内のすべてのデータベースが小さいサイズで作成され、特に小さな増分によって自動拡張に設定されている場合、パフォーマンスに悪影響を及ぼす可能性があります。 SQL Server には少なくとも 16 GB の RAM が必要ですが、より多くのメモリを利用できます。 SQL サーバーには少なくとも 16 個の CPU コアが必要ですが、コア数が多いほど全体的なパフォーマンスに役立ちます。

最後に、同じサーバー上で MIM データベースと SharePoint データベースを一緒に実行しないことをお勧めします。

高可用性

MIM ソリューションは、可用性が高く、単一点障害点が発生しないように設計されています。 高可用性を実現するには、次のコンポーネントを検討してください。

注:

このセクションの情報は推奨事項のみです。

  • MIM 同期サービス - MIM 同期サービスのクラスタリングはサポートされていませんが、ウォーム スタンバイ サーバーをデプロイして、障害が発生した場合にプライマリのワークロードを想定できます。 ただし、MIM 同期サービスは複数の物理ノードでホストされている仮想マシンで実行されるため、ハードウェア障害は問題になりません。 また、ソフトウェア障害が発生した場合は、同期サーバーをホストしている仮想マシンを以前のバックアップから迅速に復旧するか、ゼロから再構築することができます。 このサービスのダウンタイムは、エンド ユーザーとソリューションとの相互作用には影響しません。 すべてのアクセス プロビジョニングおよびプロビジョニング解除の要求が実施されるまでに遅延が発生するだけです。 サービスがオンラインに復帰すると、これらの操作はデータの損失なしに再開されます。 MIM 同期サービスのウォーム スタンバイは、プライマリ インスタンスと同じ SQL Server データベースに接続され、プライマリ インスタンスがダウンし、タイムリーに再起動できない場合に備えて、スクリプトを介してアクティブ化する必要があります。 MIM 同期サービスのデータベースと MIM サービス データベースの間でデータを同期するために使用される MIM 管理エージェントは、ローカルの MIM サービス インスタンスをポイントする必要があります。

  • SQL Server - データベース層の高可用性を実現するには、MIM ソリューションで SQL Server クラスターが必要です。 MIM クラスターは、前のいくつかの段落で詳述されている仕様を持つ 2 台のサーバーで構成されます。 各 SQL ノードには両方の SQL インスタンスがインストールされていますが、2 つのインスタンスの 1 つだけが指定した時間にアクティブになります。

    この設計では、各ノードをオーバーサブスクライブすることなくクラスター化された仮想マシンを最大限に活用し、フェールオーバーが発生した場合に両方のノードがダウンする可能性があります。

    データベースはリモート SQL Server 上にホストされているため、MIM サーバーと SQL Server の間のネットワーク接続は 1 Gbit でなければなりません。 100 Mbit ネットワークでは十分な帯域幅が提供されないため、同期のパフォーマンスが 20 ~ 30% 低下します。

ユーザー プロファイル管理での同期設定として常に Active Directory インポートを使用する

MIM 同期サービスを使用する予定の場合は、選択しないでください。 代わりに、 Use SharePoint Active Directory Import オプションを選択してください。 [ 外部 ID マネージャーを有効にする] オプションが選択されている場合、対象ユーザーのコンパイルとマネージャー属性に関する既知の問題があります。

注:

この問題は、2017 年 2 月の更新プログラム (PU) で修正されています。「2017 年 2 月 21 日付けの SharePoint Server 2016 の更新プログラム (KB3141517)」を参照してください。

同期の種類を切り替えない

SharePoint サーバーの全体管理 Web サイトで [同期設定の構成] を使用して、ある同期の種類から別の同期の種類に切り替えると、SharePoint コネクタ インスタンスのインポートが開始されたときにオブジェクトが返されず、ULS ログに結果が表示されないという問題が発生します。

種類の切り替えから回復するには、「SharePoint 2016 :UPA AD インポート/外部の個人情報管理 (MIM) での同期の種類間の切り替えによる問題」の「 回復手順 」セクションを参照してください。

SharePoint から Active Directory への画像のエクスポート

Microsoft Identity Manager では、SharePoint から Active Directory へのユーザー プロファイル画像のエクスポートがサポートされています。

追加のプロファイル プロパティをサポートする BCS の統合はありません。

MIM のプロファイル プロパティをサポートするための Business Connectivity Services 統合はありません。 コネクタを手動で構成することによって、これを実行することができます。

ユーザー プロファイル プロパティ

SharePoint サーバーでは、新しいユーザー プロファイル プロパティを作成できます。ただし、マッピングは SharePoint ではなく MIM 内で作成されます。

NetBios 名

外部の個人情報管理が選択されている場合、ドメインの NetBIOS 名がドメインの完全修飾ドメイン名 (FQDN) と異なるシナリオをサポートするには、NetBIOS 名を作成したらすぐに User Profile Application サービス アプリケーションで NetBIOSDomainNamesEnabled プロパティを有効にする必要があります。

セキュリティで保護されたチャネル経由での同期処理の実行

同期には個人を特定できる情報が含まれることがよくありますが、HTTPS や LDAPS などのセキュリティで保護されたチャネルで同期の実行を実行することをお勧めします。

関連項目

その他のリソース

SharePoint Server での Microsoft Identity Manager 同期サービスの概要