Azure AD Connectのエクスポート権限エラー8344の解決方法

📅
🕑 1 分で読む

AD Connect を設定してローカルの Active Directory ユーザーとデバイスを Microsoft 365 と同期させている場合、厄介なエクスポート エラー:権限の問題、エラー コード: 8344で問題が発生している可能性があります。原因は通常、権限の問題であり、正直なところ、原因を特定するのはかなり面倒です。このガイドでは、いくつかの潜在的な解決策について説明します。これらの解決策は、いくつかのマシンで問題を解決するのに役立ちました。権限の問題だけの場合もあれば、リセットが必要な場合もあり、アカウントの権限を最初から確認する必要がある場合もあります。これらの手順を適用すると、同期がよりスムーズに動作し、同期ログに表示されるエラーが少なくなるはずです。なぜ効果があるのか​​はわかりませんが、一部の設定では、これらの手順で顕著な違いが見られます。

Azure AD Connect 同期におけるアクセス許可エラー 8344 の解決方法

方法1:影響を受けるアカウントで権限の継承を有効にする

基本的に、Active Directory のユーザー アカウントのアクセス許可が継承できない場合、Azure AD Connect はエクスポート中にエラーを起こす可能性があります。継承を有効にすることで、同期プロセスは必要なアクセス許可を取得できます。これは、ユーザー アカウントに正しく継承されない奇妙なアクセス許可がある場合に当てはまります。以前にカスタム セキュリティ ポリシーが適用されていた場合、アクセス許可が奇妙な設定になっていることがあります。この後、エクスポート手順は問題なく完了するはずです。マシンによっては、継承を有効にするだけでエラーが解消される場合もありますが、この手順の後に同期を再実行する必要がある場合もあります。

  • Active Directoryユーザーとコンピューターを開きます。通常は、サーバーマネージャーまたは管理ツールから開くことができます。
  • ツールバーの「表示」をクリックし、「高度な機能」にチェックを入れてください。これは見落としがちな点ですが、チェックを入れないと権限タブが表示されません。
  • 問題が発生しているユーザーを右クリックし、「プロパティ」を選択します。
  • 「セキュリティ」タブに切り替えて、「詳細設定」をクリックします。
  • 「権限」タブで、 「継承を有効にする」のチェックボックスをクリックします。これにより、権限が親オブジェクトから引き継がれるようになります。
  • 「適用」をクリックし、次に「OK」をクリックすると、すべてのウィンドウが閉じます。

次に、 Azure AD Connect のインストールディレクトリまたはスタートメニューからアクセスできる同期サービス マネージャーを開き、手動同期を実行します。通常は、コネクタを右クリックして [実行]を選択し、[エクスポート]を選択します。エラーなく正常に実行されることを確認してください。一部の設定では、再起動または再同期後に継承を有効にするだけで問題が解決する場合があります。

方法2:影響を受けたアカウントのデフォルト権限を復元する

権限設定がおかしくなるのは、誰かがカスタムセキュリティ設定をいじったことが原因の場合があります。デフォルト設定に戻すことで、プロセスを再開できます。最初のステップは、Active Directoryユーザーとコンピューターを開き、問題のあるユーザーのプロパティを開きます。個々の権限をいじる代わりに、「デフォルトに戻す」(または、利用可能な場合は権限をデフォルトにリセット)をクリックします。その後、適用して手動同期で再テストします。権限が他の場所でカスタム設定を必要としていないと確信できる場合にのみ実行してください。権限をリセットすると、奇妙で​​長引く問題が解消されることがあまりにも多いのです。

方法3:Azure AD Connectアカウントのアクセス許可を確認し、管理者グループに属していることを確認します。

これは、同期に使用するアカウントに適切な権限が必要であり、特に属性をアクティブに書き戻す場合は、ドメインの管理者グループに属している必要があるため、多くの人がつまずきます。確認するには、以下を参照してください。

  • Active Directoryユーザーとコンピューターを開き、ドメインを右クリックしてプロパティを選択します。
  • セキュリティタブに移動し、「Azure AD Connect アカウント」として表示されているユーザーを見つけて、次の権限が付与されていることを確認してください。
    • ディレクトリの変更を複製する
    • ディレクトリの変更をすべて複製する

これらの権限が既に設定されている場合は、次に、特にドメインコントローラー上で、アカウントが管理者グループのメンバーであることを確認します。これを行うには、次の手順を実行します。

  • Active Directoryユーザーとコンピューターから、組み込みコンテナーに移動し、Administratorsを開きます。
  • 「メンバー」タブを確認し、Azure AD Connect アカウントがまだ登録されていない場合は追加します。「追加」をクリックし、ユーザー名を入力して「OK」をクリックします。

すべて設定が完了したら、もう一度手動同期を実行してみてください。アカウントが適切なグループに正しく設定され、適切な権限が付与されているだけで、エラーコード8344が解消される場合もあります。

さらにサポートが必要な場合は、Azure AD Connect アカウントのアクセス許可に関する公式ドキュメントをこちらでご確認ください。

以上です。どの方法がうまくいきましたか?もしこの記事が役に立ったなら、ぜひコメントを残したり、あなたの経験を共有してください。これで少しでもストレスが軽減されれば幸いです。

この記事が役に立ったと感じたら、ぜひ私たちをサポートしてください。たとえ1ドルでも、運営費の節約になり、このようなガイド記事を今後も作成していくのに役立ちます。

まとめ

  • 権限の継承を有効にすることで、奇妙な権限の問題を解決できます。
  • 継承が正しく適用されない場合は、デフォルトのアクセス許可をリセットしてください。
  • Azure AD Connect アカウントを確認し、適切な権限を付与して管理者グループに追加してください。
  • 変更を加えた後は、修正が正しく適用されているか確認するために、手動でエクスポートを実行してください。

まとめ

Azure AD Connect のアクセス許可の問題を解決するのは面倒な作業ですが、多くの場合、アクセス許可、継承、またはアカウント権限の問題です。これらの方法のいずれかで、大きな手間をかけずに問題を解決できることを願っています。アクセス許可を修正した後、簡単な再同期を行うだけで解決する場合もあります。それでも解決しない場合は、サービス アカウントに適切なアクセス許可が付与され、適切なグループに属していることを再確認してください。この情報が、この問題に何時間も費やすことなく解決するのに役立つことを願っています。