Azure AD Connectの同期オプションをPowerShellで設定する

2021.03.17

Azure AD Connectの操作や設定は一般的には下記のGUIツールを使うことが多いと思います。

  • Azure AD Connect
  • Synchronization Service
  • Synchronization Rules Editor


同期オプションの設定をGUIで実施するにはAzure AD Connectツールを利用しますが、PowerShellでも設定することが可能です。

同期オプションには下記のような設定があります。

  • パスワードハッシュの同期
  • パスワードの書き戻し
  • グループの書き戻し
  • デバイスライトバック


今回はAzure AD Connectで同期オプションを設定するPowerShellのコマンドを紹介します。


1.現在の設定確認

まずは現在の設定を確認してみます。


同期オプションの現在の設定は下記のコマンドで確認することが出来ます。

Get-ADSyncAADCompanyFeature

PasswordHashSync : True
ForcePasswordChangeOnLogOn : False
UserWriteback : False
DeviceWriteback : False
UnifiedGroupWriteback : False


それぞれの設定項目について説明していきます。



2.PasswordHashSync

このパスワードハッシュ同期は「サインイン構成」ではなく、「同期オプション」の設定です。


下記のコマンドでパスワードハッシュの同期を有効にすることが可能です。

Set-ADSyncAADCompanyFeature -PasswordHashSync $true




3.ForcePasswordChangeOnLogOn

この設定を有効にすると次回ログオン時のパスワード変更を強制することが出来ます。

なお、この設定は変更したパスワードがオンプレADに書き戻されるようにSSPRが有効になっている時に利用してください。

セルフサービスパスワードリセット(SSPR)の設定


下記のコマンドで有効にすることが出来ます。

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true




4.UserWriteback

現在、「UserWriteback」はサポートされていませんので、もし有効になっている場合は無効にしてください。


下記のコマンドで無効に出来ます。

Set-ADSyncAADCompanyFeature -UserWriteback $false




5.DeviceWriteback

デバイスライトバックは、ADFS環境や証明書信頼のWindows Hello for Businessを利用する際に有効しますので、基本的には無効で問題ありません。


無効にする場合は下記のコマンドを実行します。

Set-ADSyncAADCompanyFeature -DeviceWriteback $false




6.UnifiedGroupWriteback

グループの書き戻しはオンプレにExchangeが存在する場合に利用することが出来ます。


有効にする場合は下記のコマンドを実行します。

Set-ADSyncAADCompanyFeature -UnifiedGroupWriteback $true



同期オプションのPowerShellコマンドの紹介は以上です。

コメント

タイトルとURLをコピーしました