SharePoint 2013 をインストールした後にユーザープロファイル同期を構成する

SharePoint 2013 をインストールした後、Active Directory と接続してユーザープロファイルの同期を構成する手順について、自身の備忘録を兼ねて、簡単に手順をご紹介します。

SharePoint 2013 では従来の FIM（Forefront Identity Manager）による双方向同期だけでなく、新たに「AD インポート」という一方向の簡易同期がサポートされるようになりましたが、ここでは従来通り、標準の FIM 構成を行います。なお、ADインポートの構成手順についてはこちらで及川さんが詳しく説明されています。

SharePoint Developer:AD (Active Directory) インポートによるプロファイル同期の構成

まず、サーバーの全体管理画面で、アプリケーション構成の管理｜サービス アプリケーションの管理から「User Profile Service Application」をクリックして「プロファイル サービスの管理: User Profile Service Application」画面を開きます。この画面をこの先何度も利用することになりますので、URLをブックマークしておくと良いかも。

［同期接続の構成］をクリック。

［新しい接続の作成］をクリック。

ここで「User Profile Service が実行されていないため、要求されたページに移動できません」とエラーが表示される場合、文字通り、サーバで必要なサービスが開始されていません。こちらを先に設定します。

全体管理のシステム設定｜サーバーのサービスの管理から、「User Profile Synchlonization Service」を開始します。

開始時に、サービスアカウントの指定とパスワードが必要です。

サービスが開始されるまでに少し時間がかかります。開始を確認したら、同期接続の構成画面に戻り、あらためて［新しい接続の作成］をクリック。接続先と接続アカウントの設定を行います。

なお、ここで指定するアカウントには Active Directory に対して「ディレクトリ同期」の権限が必要です。詳しくは上でご紹介したエントリで及川さんが詳しく解説されているので参照してください。

インポート処理に利用するアカウントがディレクトリ同期権限を持っていない場合、上記設定はうまくできていても、インポート処理自体は失敗します。エラーは以下の通りで、イベントログに ID 2896 として「クライアントが、ディレクトリ パーティションに対して DirSync LDAP 要求を行いましたが、次のエラーのために拒否されました。」と記録されます。エラーメッセージの最後の方に、「”Replicating Directory Changes”制御アクセス権」という言葉が出ていますが、これがディレクトリ同期権限のことを指しています。

接続先とアカウントを指定したら［コンテナーの作成］をクリック。Active Directory のツリーから同期対象を選択します。SharePoint 2007 までは、こうした特定の OU を指定した部分的な同期指定はなかなか難しかったのですが、2013ではGUIベースで簡単に設定することができるようになりました。

同期接続の作成が完了しました。なお、後から設定を一部変更したい場合、この画面から接続を編集することが出来ます。

最後に、プロファイルサービスの管理画面で［プロファイルの同期の開始］をクリックして、同期を実行します。Active Directory からユーザーが取り込まれ、プロファイル数が増えていることを確認してください。

参考：SharePoint 2013: Setting up User Profile Synchronization (1/2)(en-US)
SharePoint 2013 User Profile Synchronization with PowerShell