Project Server 2013 で Active Directory リソース共有元の同期を管理する

概要： Project Server 2013 の Active Directory リソース プール同期設定を使用して、Active Directory ユーザーをエンタープライズ リソースとしてすばやく追加します。
適用対象: Project Server 2013

Active Directory リソース プールの同期設定は、[運用ポリシー] セクションの [Project Server 2013 サーバー設定] ページから使用できます。 関連する管理設定の詳細については、「 Project Server 2013 の運用ポリシー」を参照してください。

この記事の内容:

• Project Server 2013 での Active Directory とリソース共有元の同期における変更点

• ユーザーの同期のシナリオ

• エンタープライズ リソース プール同期の要件

• エンタープライズ リソース共有元の同期を構成する

• エンタープライズ リソース共有元の同期のスケジュールを設定する

• エンタープライズ リソース共有元を異なるドメインの Active Directory ユーザーと同期するための要件

• SharePoint 2013 ユーザー選択ウィンドウ

Project Server 2013 リソースを Active Directory と同期しておくことは、リソースが常に最新であることを確認し、最新のグループのメンバーをリソースの一覧に自動的に追加する適切な方法です。

Project Server 2013 Active Directory エンタープライズ リソース プール同期は、複数の Project Server エンタープライズ リソースを同時に作成または更新するために使用されます。 たとえば、ある部門に新しい従業員が追加されても、同期対象として選択されている Active Directory グループに含まれていれば、自動的に Project Server エンタープライズ リソースとして追加されます。

エンタープライズ リソース共有元の同期では、エンタープライズ リソース プロパティを Active Directory の最新データを使用して更新します。 たとえば、結婚によって従業員の名前と電子メール アドレスが変わることがあります。 変更が Active Directory で行われ、ユーザーがリンクされたグループに属している限り、同期時に変更内容がユーザーのエンタープライズ リソース プロパティに反映されます。

エンタープライズ リソース共有元は、同期対象として最大 5 つの Active Directory グループにマップできます。 これらの Active Directory グループには入れ子になったグループが含まれている可能性があり、その場合そのグループのメンバーも同期されます。

Project Server 2013 での Active Directory とリソース共有元の同期における変更点

Project Server 2013 の Active Directory リソース プール同期では、次の変更に注意することが重要です。

• Active Directory 同期を通じてエンタープライズ リソース プールに追加されるリソースに対して、Project Server ユーザー アカウントは自動的に作成されません。

• Project Server 2013 では、最大 5 つの Active Directory グループをエンタープライズ リソース プールと同期できます。

ユーザーの同期のシナリオ

エンタープライズ リソース共有元の同期処理中に実行される最も一般的な処理は次の 2 つです。

• Active Directory メンバーシップに基づいて新しい Project Server エンタープライズ リソースを作成できます エンタープライズ リソース プールの同期に使用されている Active Directory グループに新しいメンバーを追加すると、Project Server でこのユーザーのリソースも自動的に作成されます。

• 既存の Project Server ユーザー アカウントのメタデータ (名前、電子メール アドレスなど) は、Active Directory で変更された場合に更新できます たとえば、Active Directory でリソースの姓が変更された場合、Project Server 2013 Enterprise Resource Pool 同期では、Project Server Enterprise リソース プールでもリソース名が変更されます。

次の表では、すべての Active Directory から Project Server 2013 Enterprise Resource Pool の同期シナリオとそれに対応するアクションについて説明します。

エンタープライズ リソース共有元の同期の要件

この手順を実行する前に、次の点を確認してください。

• [Active Directory 設定の管理] と [ユーザーとグループの管理] グローバル設定が有効になっているアカウントを使用して、Project Web Appを使用して Project Server にアクセスできます。

• Project Server インスタンスのサービス アプリケーション (SA) サービス アカウントには、同期に関連するすべての Active Directory グループとユーザー アカウントに対する読み取りアクセス権があります。

  このアカウントは、SharePoint サーバーの全体管理 Web サイトの [サービス アプリケーション管理] ページの [サービス アプリケーション] プロパティで確認できます。

• Queue Service を実行する ID は、ユーザー検索の対象となるすべてのフォレストとドメインに対するアクセス許可を持っている必要がある。

• Project Server 2013 Active Directory とエンタープライズ リソース共有元 (ERP) の同期が機能するためには、SharePoint 2013 ユーザー選択ウィンドウが、Active Directory のグループを解決してユーザー情報にアクセスできる必要がある。 ユーザー選択ウィンドウを使用して、ERP に同期する Active Directory グループを検索できます。 SharePoint 2013 ユーザー選択ウィンドウについては、後で詳しく説明します。

エンタープライズ リソース共有元の同期を構成する

[Project Web App Server の設定] で、[Active Directory とエンタープライズ リソース共有元の同期] ページにアクセスして設定を構成できます。

エンタープライズ リソース共有元の同期を構成するには

1. Project Web Appで、[設定] アイコンをクリックし、[Project Web App設定] をクリックします。

2. [Project Web App Server の設定] ページの [運用ポリシー] セクションで、[Active Directory とリソース共有元の同期] をクリックします。

3. [Active Directory とエンタープライズ リソース共有元の同期] ページの [Active Directory グループ] セクションで、エンタープライズ リソース共有元と同期する Active Directory グループ (1 つまたは複数) の名前または Service Account Manager (SAM) アカウントを入力します。 グループ名がはっきりわからない場合は、グループ名の一部を入力すると、そのテキスト文字列を含む Active Directory グループが表示されます。 SharePoint 2013 ユーザー選択ウィンドウには、探している Active Directory グループを表示するための検索機能が備わっています。 リモート フォレストからグループを選択するには、グループの完全修飾ドメイン名 (例: group@corp.contoso.com) を入力します。

   注:

   任意のスコープ (ローカル、グローバル、またはユニバーサル) のセキュリティ グループまたは配布グループに同期できます。

4. 同期中に Active Directory グループ内に使われていないアカウントが見つかった場合、それらを再度有効にすることができます。 そうするためには、[同期オプション] で、[現在無効になっているユーザーが同期中に Active Directory で見つかった場合、自動的に再有効化する] を選択します。

   たとえば、ある従業員が社内で別の部署に移動し、その人の Project Server ユーザー アカウントが非アクティブになっているとします (Enterprise Resource Pool Active Directory グループから削除されています)。 ユーザーは後で古いジョブに戻ることを決定し、エンタープライズ リソース プール Active Directory グループに再度追加されます。 同期中に Active Directory で見つかった場合に現在非アクティブなユーザーを自動的に再アクティブ化するが有効になっている場合、ユーザーのアカウントは同期時に自動的に再アクティブ化されます。

   注:

   このオプションを使用可能にするには、Project Server 2013 の 2014 年 10 月の累積的な更新プログラムが必要です。 この更新プログラムの詳細については、こちらの Microsoft Project サポート ブログ投稿を参照してください。

5. [保存] をクリックして設定を保存し、既定の設定 (1 日に 1 回、12:00 AM) で同期が定期的に実行されるようにします。 すぐにエンタープライズ リソース共有元を同期し、設定を保存し、既定の設定で同期を定期的に実行する場合は、[保存して今すぐ同期] をクリックします。

エンタープライズ リソース共有元の同期の状態を確認するには、[Active Directory とエンタープライズ リソース共有元の同期] ページに戻り、[同期の状態] セクションで情報を確認します。 このセクションには、最後に正常な同期が実行された日時などの情報が表示されます。 最後の同期が何らかの理由で失敗した場合は、発生したときのタイムスタンプも記録され、ULS ログで詳細情報を検索できます。

エンタープライズ リソース共有元の同期のスケジュールを設定する

Project Server 2013 では、Active Directory グループを使用したエンタープライズ リソース プールの同期のスケジュール設定は、サーバーの全体管理の [タイマー ジョブの状態] ページで行われます。

エンタープライズ リソース共有元の同期のスケジュールを設定するには

1. サーバーの全体管理で [ 監視] をクリックします。

2. [監視] ページの [タイマー ジョブ] セクションで、[ジョブ状態の確認] をクリックします。

3. [タイマー ジョブの状態] ページで、[Project Web App: PWA サイト名>のエンタープライズ リソース プール ジョブ<との AD の同期] を見つけてクリックします。

   例: Project Web App: エンタープライズ リソース プール ジョブを使用した AD の同期https://contoso/pwa.

4. [タイマー ジョブの編集] ページの [定期的なスケジュール] セクションでは、同期を定期的に実行するように構成できます。 [このタイマー ジョブの実行スケジュール] では、会社の要件に基づいて、次のいずれかのオプションを選択できます。

   • 分: ジョブを実行する頻度 ( x 分ごと) を指定できます。

   • 時間単位: ジョブをランダムに実行する間隔を指定できます。 1 時間から 1 時間を過ぎた x 分から 1 時間を過ぎた後 y 分までの 1 時間ごとに開始します。

   • 日単位: ジョブをランダムに実行する間隔を指定できます。1 日><>の時刻から時刻までの間<に毎日開始されます。

   • 週単位: ジョブをランダムに実行する方法を指定できます。曜日と時刻の間<、および曜日と<時刻の>>間で毎週開始されます。

   • 月単位: 2 つのオプションがあります。

   • ジョブをランダムに実行する間隔を指定できます。日付別: 日と日>の間の毎月<の開始と、1 日と日の>時刻より<遅くはありません。

   • タイマー ジョブを実行する月の正確な時刻を指定できます。 日別: 毎月 <の時刻、曜日、および月の週を開始します。 例: 第 1 日曜の 12:00 AM。

5. [OK] をクリックして構成の変更を保存します。

   注:

   いつでも [今すぐ実行] をクリックして、タイマー ジョブをすぐに実行できます。

一部のオプションでは、正確な時刻または頻度ではなく、ジョブを実行する期間を指定することに注意してください。 実行期間を指定するオプションを選択すると、タイマー サービスが各アプリケーション サーバーでジョブを実行する時刻をパラメーター内でランダムに選択します。 これは、ファーム内の複数のサーバーで高負荷のジョブを実行する場合に適しています。 この種のジョブをすべてのサーバーで同時に実行すると、ファームに大きな負荷がかかる場合があります。

エンタープライズ リソース共有元を異なるドメインの Active Directory ユーザーと同期するための要件

Project Server 2013 がインストールされているドメイン以外のドメインに存在する Active Directory ユーザーとエンタープライズ リソース プールを同期する必要があるとします。 たとえば、組織が新しい会社を買収する場合や、組織内の異なるブランチのユーザーを追加する場合などです。 このシナリオでは、1 つのドメインの Active Directory ユーザーが、別のドメインに存在する Project Server 2013 インストールのエンタープライズ リソース プールと同期するために、ドメイン間に双方向の信頼関係が存在する必要があります。

SharePoint 2013 ユーザー選択ウィンドウ

この記事で前述したように、Project Server 2013 で Active Directory のユーザーを同期するには、まず同期するユーザーをユーザー選択ウィンドウで見つける必要があります。

ユーザー選択ウィンドウは、次のトポロジのユーザー、グループ、およびクレームを返すことしかできません。

• SharePoint Server 2013 と Project Server 2013 ファームが現在インストールされているドメイン。

• SharePoint Server 2013 と Project Server 2013 ファームが現在インストールされているドメインとの間で双方向の信頼関係のあるドメイン。

既定では、People ピッカーは、SharePoint Server 2013 がインストールされているドメインからのユーザー、グループ、および要求のみを返します。 ユーザー選択ウィンドウが複数のフォレストまたはドメインからのクエリ結果を返すようにするには、そのフォレストまたはドメインとの間に双方向の信頼関係を作成できます。 どちらの場合も、ユーザー選択ウィンドウは自動的に機能するので追加の構成は必要ありません。 双方向の信頼関係が確立されると、ユーザー選択ウィンドウは信頼されたドメインで見つかった結果を自動的に返します。

たとえば、Contoso.com ドメインには、Litware.com と Fabrikam.com との双方向の信頼があります。 Project Server 2013 ファームが存在する Contoso.com ドメインで定義されている Project Server 2013 ERP 同期は、Bob (Fabrikam.com ドメイン) と Mindy (Litware.com ドメイン) を含むように構成されています。 Peopleピッカーは、Bob と Mindy の両方がドメインの Active Directory に存在する両方のグループを検索します。Project Server 2013 ERP 同期では、グループと両方のユーザーが正常に同期されます。 Contoso.com ドメインと他のドメインの間に信頼または一方向の信頼が存在しない場合、ユーザーは Project Server 2013 ERP に同期できません。

関連項目

Project Server 2013 でエンタープライズ リソース共有元との同期を行うように Active Directory グループを構成するためのベスト プラクティス

Project Server 2013 エンタープライズ リソース共有元との同期でサポートされる Active Directory トポロジ

Project Server でセキュリティ グループと Active Directory との同期を管理する

ユーザー選択ウィンドウとクレーム プロバイダーの概要 (SharePoint 2013)

SharePoint 2013 でユーザー選択ウィンドウを計画する