Azure AD Connectの操作や設定は一般的には下記のGUIツールを使うことが多いと思います。
- Azure AD Connect
- Synchronization Service
- Synchronization Rules Editor
同期オプションの設定をGUIで実施するにはAzure AD Connectツールを利用しますが、PowerShellでも設定することが可能です。
同期オプションには下記のような設定があります。
- パスワードハッシュの同期
- パスワードの書き戻し
- グループの書き戻し
- デバイスライトバック
今回はAzure AD Connectで同期オプションを設定するPowerShellのコマンドを紹介します。
1.現在の設定確認
まずは現在の設定を確認してみます。
同期オプションの現在の設定は下記のコマンドで確認することが出来ます。
Get-ADSyncAADCompanyFeature
PasswordHashSync : True
ForcePasswordChangeOnLogOn : False
UserWriteback : False
DeviceWriteback : False
UnifiedGroupWriteback : False
それぞれの設定項目について説明していきます。
2.PasswordHashSync
このパスワードハッシュ同期は「サインイン構成」ではなく、「同期オプション」の設定です。
下記のコマンドでパスワードハッシュの同期を有効にすることが可能です。
Set-ADSyncAADCompanyFeature -PasswordHashSync $true
3.ForcePasswordChangeOnLogOn
この設定を有効にすると次回ログオン時のパスワード変更を強制することが出来ます。
なお、この設定は変更したパスワードがオンプレADに書き戻されるようにSSPRが有効になっている時に利用してください。
下記のコマンドで有効にすることが出来ます。
Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true
4.UserWriteback
現在、「UserWriteback」はサポートされていませんので、もし有効になっている場合は無効にしてください。
下記のコマンドで無効に出来ます。
Set-ADSyncAADCompanyFeature -UserWriteback $false
5.DeviceWriteback
デバイスライトバックは、ADFS環境や証明書信頼のWindows Hello for Businessを利用する際に有効しますので、基本的には無効で問題ありません。
無効にする場合は下記のコマンドを実行します。
Set-ADSyncAADCompanyFeature -DeviceWriteback $false
6.UnifiedGroupWriteback
グループの書き戻しはオンプレにExchangeが存在する場合に利用することが出来ます。
有効にする場合は下記のコマンドを実行します。
Set-ADSyncAADCompanyFeature -UnifiedGroupWriteback $true
同期オプションのPowerShellコマンドの紹介は以上です。
コメント