Office365 Deployment Readiness Toolの紹介

Office365をオンプレミスのActive Directoryと連携してシングルサインオン環境を実現しようとすると、やれ「UPNサフィックスがxxx.localとかだとダメ」「シングルフォレストじゃなきゃダメ」「特定属性に禁則文字や文字数制限有り」など、細々とした事前のチェック事項が存在します。

最初は、1個1個チェックシート作って確認するなり、ある程度の所はスクリプト作って自動で調べるようにしなきゃダメかな~と考えていましたが、Microsoftがそう言った面倒な事を一気に調べてくれる「Office365 Deployment Readiness Tool」というツールをリリースしてくれましたので、紹介したいと思います。

Continue reading

ディレクトリ同期ツールの同期間隔の変更

※注:このアーティクルの内容はMicrosoftよりサポートされていない手法になります。

Office365のディレクトリ同期ツールは、標準での同期間隔が3時間になっています。これにより、ローカルで作成したアカウントや変更したグループのメンバーシップの情報がOffice365側に同期されるまで、最大で約3時間のタイムラグが生じます。

BPOS時代のドキュメントですが、Microsoftの ディレクトリ同期を強制実行する を参照にして、%programfiles%Microsoft Online Directory SyncMicrosoft.Online.DirSync.Scheduler.exe.Config の内容を変更することにより、これを制御可能です。

Continue reading

Office365ディレクトリ手動同期スクリプト(リモート / WSH)

リモートで手動ディレクトリ同期の実行命令を出すスクリプトです。ディレクトリ同期サーバにPowerShell2.0を入れるのが一番楽な気もしますが、なるべくデフォルトのMicrosoftの環境をいじらないというポリシーなら、ということで。

Continue reading

Office365のディレクトリ同期で特定アカウントを非同期にする

※この手法はMicrosoftによりサポートされておりません

Office365のディレクトリ同期ツールを利用すると、ローカルのActive Directoryからユーザやグループの情報がOffice365側に同期されます。

この時、対象となるOUなどを絞ることはできず、フォレスト全体を対象として同期が実施されますが、一部条件に該当するのアカウント(例えば、isCriticalSystemObjectがTrueのオブジェクトなど)は同期されず、結果的にほとんどのビルトインアカウント(AdministratorやDomain Adminsなど)は同期されません。

しかし、DnsUpdateProxyグループやディレクトリ同期ツール専用のアカウントなど、同期する必要は無いのに同期されてしまっている物があって気持ち悪いと感じる方の為に、フィルタリングする方法を紹介します。

Continue reading

Office365のディレクトリ同期で残ったゴミを削除する

※この手法はMicrosoft社によってサポートされていません。

テスト用に作った検証環境から本番環境への移行や、Active Directoryのロールバックなどにより、ローカルのActive Directory上に無いユーザがOffice365側に残ってしまうことがあります。通常の利用の中ではなかなか発生しませんが、一度発生してしまうとなかなかハマってしまう事象です。

Continue reading