Azure AD Connectの操作や設定は一般的には下記のGUIツールを使うことが多いと思います。
- Azure AD Connect
- Synchronization Service
- Synchronization Rules Editor
ディレクトリ同期は既定では30分おきに実行されますが、同期ルールをカスタマイズした時や、ユーザーを作成した後にすぐにディレクトリ同期を実行したい場合があると思います。
そんな時は、ディレクトリ同期をPowerShellで手動実行しましょう。
手動同期は「Synchronization Service」でも出来ますが、Import、Synchronization、Exportをそれぞれ実施する必要があるので手間がかかります。
PowerShellのコマンドなら一発で実行出来ます。
今回はAzure AD Connectでディレクトリ同期を実行できるPowerShellのコマンドを紹介します。
1.完全同期
同期ルールをカスタマイズした時や、スキーマのバージョンアップをした時は、完全同期を実行する必要があります。
デフォルトの同期スケジュールによる実行では差分同期が行われるので、完全同期を実行する必要がある場合は手動で実行しましょう。
完全同期を実施するには下記のコマンドを実行します。
「Success」と表示されれば成功です。
Start-ADSyncSyncCycle -PolicyType Initial
また、「-PolicyType」がなくても実行出来ます。
Start-ADSyncSyncCycle Initial
2.差分同期
ユーザーを作成、変更した時に、すぐにAzure ADに反映させたい場合は、PowerShellで差分同期を実行します。
差分同期を実施するには下記のコマンドを実行します。
「Success」と表示されれば成功です。
Start-ADSyncSyncCycle -PolicyType Delta
また、オプション無しで実行した場合、デフォルトでは差分同期が実施されます。
Start-ADSyncSyncCycle
3.同期確認
完全同期および差分同期を実行した後に、同期結果もPowerShellで確認することが出来ます。
下記のコマンドで現在実行中の同期状態を表示することが出来ます。
Get-ADSyncConnectorRunStatus
下記の通りコネクタとステータスが表示されたら同期が実行中です。
何も表示されない場合は同期が実行されていません。
RunState ConnectorName
———- ——————
Busy liglog.onmicrosoft.com – AAD
また、下記のコマンドで最後に実施したパスワード同期の結果を確認出来ます。
パスワード同期は2分おきに実行されます。
Get-ADSyncPartitionPasswordSyncState
ConnectorId : b891884f-051e-4a83-95af-2544101c9083
DN : default
PasswordSyncLastSuccessfulCycleStartTimestamp : 0001/01/01 0:00:00
PasswordSyncLastSuccessfulCycleEndTimestamp : 0001/01/01 0:00:00
PasswordSyncLastCycleStartTimestamp : 0001/01/01 0:00:00
PasswordSyncLastCycleEndTimestamp : 0001/01/01 0:00:00
PasswordSyncLastCycleStatus : None
ConnectorId : 6839e9bf-5627-4680-a37b-89f7c454e35f
DN : DC=intra,DC=lig-log,DC=com
PasswordSyncLastSuccessfulCycleStartTimestamp : 2021/03/15 10:49:25
PasswordSyncLastSuccessfulCycleEndTimestamp : 2021/03/15 10:49:25
PasswordSyncLastCycleStartTimestamp : 2021/03/15 10:49:25
PasswordSyncLastCycleEndTimestamp : 2021/03/15 10:49:25
PasswordSyncLastCycleStatus : Successful
ディレクトリ同期のPowerShellコマンドの紹介は以上です。
コメント