account agent enterprise 導入マニュア … agent...fujitsu...

FUJITSU ビジネスアプリケーションアカウント情報連携システムV5L30 (Account Agent Enterprise)

導入マニュアル(Azure AD 版)

AAE-005-030-DA0 2020年4月

Account Agent Enterprise


i

まえがき

この度は、本製品をお買い求めいただきまして、まことにありがとうございます。

本書では Account Agent Enterprise の導入手順について説明しています。

2020 年 4 月

■ 高度な安全性が要求される用途への使用について

本製品は、一般事務用、パーソナル用、家庭用、通常の産業用等の一般的用途を想定して設

計・製造されているものであり、原子力施設における核反応制御、航空機自動飛行制御、航空交

通管制、大量輸送システムにおける運行制御、生命維持のための医療用機器、兵器システムにお

けるミサイル発射制御等、極めて高度な安全性が要求され、仮に当該安全性が確保されない場合、

直接生命・身体に対する重大な危険性を伴う用途（以下「ハイセイフティ用途」という）に使用される

よう設計・製造されたものではございません。

お客様は、当該ハイセイフティ用途に要する安全性を確保する措置を施すことなく、本製品を使

用しないでください。ハイセイフティ用途に使用される場合は、弊社の担当営業までご相談くださ

い。

本ソフトウェアはインターネットへのサービスを提供する用途のためには設計・製造されておりま

せん。インターネットに接続しない環境（イントラネット内）で使用するか、インターネットに接続して

使用する場合は、運用環境によりセキュリティ侵害対策を構築した上でご使用下さい。

■ 輸出管理について

本製品を輸出又は提供する場合は、外国為替及び外国貿易法及び米国輸出管理関連法規

等の規制をご確認の上、必要な手続きをおとり下さい。

Windows Microsoft、Windows、Windows Server、Active Directory、Internet Explorer、Azure、Office365 は、米国 Microsoft Corporation の米国及びその他の国における登録商標

または商標です。

Account Agent は株式会社富士通ソフトウェアテクノロジーズの登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。本書に記載されてい

るシステム名、製品名などには、必ずしも商標表示を付記しておりません。

Copyright 2013-2020 FUJITSU SOFTWARE TECHNOLOGIES LIMITED.



ii

■ 表記の約束

本書では以下の略称を使用しています。

名称略称

Internet Explorer® Internet Explorer Microsoft® Office 365™ Office 365 Azure Active Directory Azure AD FUJITSU ビジネスアプリケーションアカウント情報連携シ

ステム

Account Agent Enterpriseまたは AAE



iii

目次

1. システム構成 ................................................................................................................... 1 1.1. Azure AD アカウント管理 ....................................................................................... 1 1.2. Office 365 アカウント管理 ...................................................................................... 1 1.3. 冗長化について ........................................................................................................ 2

2. 動作環境 .......................................................................................................................... 3 2.1. サーバー ................................................................................................................... 32.2. IIS ............................................................................................................................ 4 2.3. ブラウザ ................................................................................................................... 4 2.4. ローカルグループポリシー ...................................................................................... 4

3. モジュール構成 ............................................................................................................... 5 4. 環境構築手順 ................................................................................................................... 7

4.1. AAE 用アプリを Azure AD に作成する .................................................................. 8 4.2. AAE 用アプリに Exchange 管理者権限を付与する .............................................. 15 4.3. AAE 用拡張属性を作成する .................................................................................. 16 4.4. システム管理者グループを作成する ..................................................................... 194.5. AAE 実行ユーザーアカウントを作成する ............................................................ 20 4.6. AAE のモジュール一式をコピーする.................................................................... 21 4.7. OSS のモジュールをダウンロードする ................................................................ 22 4.8. ダウンロードしたモジュールを AAE に適用する ................................................ 25 4.9. 設定ファイルを編集する ....................................................................................... 26

4.9.1. データパスファイル ....................................................................................... 27 4.9.2. 共通設定ファイル ........................................................................................... 28 4.9.3. AzureAD アプリ情報設定ファイル ................................................................ 28 4.9.4. 管理ロール設定ファイル ................................................................................ 29 4.9.5. Office 365 接続情報ファイル ......................................................................... 29 4.9.6. Office 365 連携用設定ファイル ..................................................................... 30 4.9.7. AD 属性ライセンス割当指定ファイル ........................................................... 30 4.9.8. デフォルトライセンス割当指定ファイル ...................................................... 31 4.9.9. Exchange ライセンス定義ファイル ............................................................... 32 4.9.10. AAE 初期設定登録バッチ設定ファイル ..................................................... 32

4.10. アプリケーションプールを追加する ................................................................. 33 4.11. Web サイトを作成する ...................................................................................... 36 4.12. ホストヘッダーを設定する ................................................................................ 42

4.12.1. AAESite のバインドを設定する ................................................................ 43 4.12.2. リソースフォレストの DNS に A レコードを登録する ............................. 45 4.12.3. アカウントフォレストの DNS に CNAME を登録する ............................ 46

4.13. AAE サイトを信頼済みサイトに追加する ......................................................... 47 4.14. 階層型アドレス帳を有効化する ......................................................................... 48 4.15. 遅延実行バッチを設定する ................................................................................ 49 4.16. PowerShell スクリプトの実行ポリシーを変更する .......................................... 49 4.17. ライセンス管理バッチを設定する ..................................................................... 50 4.18. Web 画面からの設定 .......................................................................................... 51 4.19. 既存オブジェクトを AAE に取り込む ............................................................... 52 4.20. 初期設定ファイル ............................................................................................... 54



iv

4.20.1. ユーザー情報ファイル ................................................................................ 54 4.20.2. セキュリティグループ情報ファイル .......................................................... 56 4.20.3. Office365 グループ情報ファイル ............................................................... 57 4.20.4. 配布グループ情報ファイル ......................................................................... 58 4.20.5. 施設情報ファイル ....................................................................................... 59 4.20.6. 共有メールボックス情報ファイル .............................................................. 60

4.21. グループのメンバー情報を取り込む ................................................................. 61



1

1. システム構成AAE では、以下の環境をサポートします。

- Azure AD アカウント管理

- Office 365 アカウント管理

1.1. Azure AD アカウント管理 AAE がサポートするシステム構成例を以下に示します。

1.2. Office 365 アカウント管理 AAE がサポートするシステム構成例を以下に示します。



2

1.3. 冗長化について AAE は冗長化に対応していません。AAE を複数のサーバーへ導入する場合、負荷分散装

置等を使って、同時にアクセスされる AAE は 1 台に限定してください。また、待機系の AAE 動

作サーバーでは AAE 関連のバッチは停止してください。なお、後述する「AAEData ルート」フォルダは冗長化されたファイルサーバー等に置くことが

できます。主系の AAE 動作サーバーが停止した場合、待機系の AAE 動作サーバーが同じ

Dataフォルダを参照することにより、設定ファイル・入力ファイル・ログファイルを引き継ぐことが

可能です。



3

2. 動作環境

2.1. サーバー AAE の動作条件は以下の通りです（すべて日本語版にのみ対応しています）。

種別 OS ミドルウェア AAE 動作サーバー Windows Server 2016

Windows Server 2019 -

指定のエディションはありません。 AAE の推奨動作環境は以下の通りです。 - CPU：2GHz（4 コア）以上 - メモリ容量：8GB 以上 - ディスク容量：50GB 以上 ※OS や他製品の領域とは別に、本製品のために必要とな

る領域 AAE は以下の OSS が必要となります。OSS の利用については、適用された使用条件（ライ

センス条件）に従い、お客様の責任において入手、ご利用ください。 ① Microsoft.Graph（1.17.0） ② Microsoft.Graph.Core (1.17.0） ③ Microsoft.Identity.Client(4.0.0) ④ Newtonsoft.Json（12.0.2） ⑤ Microsoft.Owin.Security.OpenIdConnect(4.0.1) ⑥ Microsoft.IdentityModel.Logging（5.4.0） ⑦ Microsoft.IdentityModel.Protocols（5.4.0） ⑧ Microsoft.IdentityModel.Protocols.OpenIdConnect（5.3.0） ⑨ Microsoft.IdentityModel.Tokens（5.4.0） ⑩ Microsoft.Owin(4.0.1) ⑪ Microsoft.Owin.Security(4.0.1) ⑫ Owin(1.0.0) ⑬ System.IdentityModel.Tokens.Jwt(5.4.0) ⑭ Microsoft.IdentityModel.JsonWebTokens(5.4.0) ⑮ Microsoft.Owin.Host.SystemWeb(4.0.1) ⑯ Microsoft.Owin.Security.Cookies(4.0.1) ⑰ nuget.exe

OSS の入手については「4.7 OSS のモジュールをダウンロードする」を参照ください。



4

2.2. IIS AAE は Web サーバー（IIS 10.0 以降）上で動作します。AAE は、任意の IIS サーバーにイ

ンストールします。 AAE を配置するサーバーには、IIS の以下の役割サービスが必要です。 - ASP.NET

2.3. ブラウザ AAE は以下のブラウザでの利用をサポートしています。 - Internet Explorer 11.0 Microsoft® Edge はサポート対象外です。

2.4. ローカルグループポリシー AAE は、Exchange Online に対して、PowerShell を用いた処理を実行します。AAE の稼

働中に、後述の AAE 実行ユーザーで AAE の配置サーバーからログイン/ログオフした場合、

マイクロソフト社の仕様により、PowerShell の実行が失敗する可能性があります。本問題を回避するため、AAE を配置するサーバーは、以下のローカルグループポリシーを

有効にする必要があります。 - ユーザーのログオフ時に強制的にユーザーレジストリをアンロードしない上記グループポリシーの適用手順は以下の通りです。(サーバーの再起動が必要です) ① AAE の配置サーバー上で、管理者権限でコマンドプロンプトを起動する ② 「gpedit.msc」を実行する ③ 画面左のツリーより [コンピューターの構成] - [管理用テンプレート] - [システム] と展開

し、[ユーザープロファイル] を選択する ④ [ユーザーのログオフ時に強制的にユーザーレジストリをアンロードしない] を [有効]

に設定し、[OK] をクリックする ⑤ サーバーを再起動する



5

3. モジュール構成使用するモジュールは、連携先によって異なります。連携先が、Azure AD のみの場合は、「Azure AD のみ」配下の AAE をご利用ください。連携先が、Office365 の場合は、「Office365 連携」配下の AAE をご利用ください。

AAE のモジュール構成を以下に示します。

フォルダ・ファイル説明 AAE ルート Web.config、マスタデザインファイル

bin DLL、実行ファイル

css CSS ファイル

Data 設定情報定義フォルダ

setting 設定ファイル

img イメージファイル

js JavaScript ファイル

page 画面定義ファイル

service Web サービス

AAEData ルート設定ファイル、入力ファイル、ログ等を格納 help ヘルプファイル setting 設定ファイル attribute 属性定義ファイル csv 自動連携用の CSV 項目設定ファイル mainte 個別メンテナンス用の項目設定ファイル mainte_serach 検索項目定義ファイル menu メニュー定義ファイル pscommands PowerShell コマンド定義ファイル resource 文言定義ファイル system システム用フォルダ input 自動連携用の入力ファイル update 自動連携用の更新データファイル export アカウント情報一括出力した CSV ファイル log システムログ、タスク実行ログ、診断ログ delay 遅延実行リクエストファイル Users ライセンス未付与ユーザーの遅延実行リクエストファイル cache メンバー情報キャッシュファイル initial AAE 初期設定バッチ用ファイル user ユーザーごとにフォルダを自動作成する [ユーザー名]_[SID] ユーザーごとのフォルダ input 一括個別メンテ用の入力ファイル update 一括個別メンテ時の更新データファイル export アカウント情報出力した CSV ファイル log ユーザーの操作ログ



6

※「AAEData ルート」フォルダはデフォルトでは AAE ルートと同階層ですが、設定ファイル

「4.6.7. データパスファイル」で変更可能です。 [AAEDataルート]¥settingフォルダ配下には各種設定・定義ファイルがありますが、導入時

に設定が必要なファイルは以下です。設定ファイルファイル名説明

データパス DataPath.xml AAE の設定・ログ・入力ファイル等を格納する

「AAEData ルート」フォルダのパスを記載します。共通設定 Setting.xml メール送信、異常更新検出機能、実行結果メールの

通知先などの設定を記載します。環境設定画面から設定できる項目も含まれます。

AzureAD アプリ

情報設定 SettingAzureAd.xml Azure AD に接続するアプリのテナント情報、クライア

ント ID などを記載します。 Office 365 接続

情報 Office365Account.csv AAE から Office 365 にアクセスする際に使用するア

カウント情報を記載します。 Office 365 連携

用設定 MSCloudSetting.xml ライセンス管理機能を使用する際に必要な設定を記載しま

す。管理ロール設定 RoleIDSetting.xml アカウントの管理先となるロール情報を記載します。 AD 属性ライセン

ス割当指定ファイ

ル

AdLicense.csv ライセンス管理バッチが、ライセンス自動付与の判断

条件とする AD 属性を記載します。

デフォルトライセ

ンス割当指定ファ

イル

DefaultLicense.csv ライセンス管理バッチが、各種条件に合致しないユー

ザーに発行するライセンスを記載する。

Exchange ライセ

ンス定義ファイル ExchangeLicense.csv メールボックスを保持する Exchange ライセンスを記

載する。 AAE 初期設定登

録バッチ Initialization.xml AAE 初期設定登録バッチ用の設定情報を記載する。

設定方法については後述します。



7

4. 環境構築手順以下のステップで AAE 環境を構築します。 ① AAE 用アプリを Azure AD に作成する ② AAE 用アプリに Exchange 管理者権限を付与する（Office365 と連携する場合） ③ AAE 用拡張属性を作成する ④ システム管理者グループを作成する ⑤ AAE 実行ユーザーアカウントを作成する ⑥ AAE のモジュール一式をコピーする ⑦ OSS のモジュールをダウンロードする ⑧ ダウンロードしたモジュールを AAE に適用する ⑨ AAE の設定ファイルを編集する ⑩ アプリケーションプールを追加する ⑪ Web サイトを作成する ⑫ ホストヘッダーを追加する ⑬ AAE サイトを信頼済みサイトに追加する ⑭ 階層型アドレス帳を有効化する（Office365 と連携する場合） ⑮ 遅延実行バッチを設定する ⑯ PowerShell スクリプト実行ポリシーを変更する ⑰ ライセンス管理バッチを設定する ⑱ Web 画面からの設定をする ⑲ 既存オブジェクトを AAE に取り込む ⑳ 初期設定ファイルを編集する㉑グループのメンバー情報を取り込む AAE 実行サーバーに対して操作する場合はシステム管理者権限でログインしてください。全ての設定が完了後、AAE の Web 画面に正しくアクセスできることを確認してください。



8

4.1. AAE 用アプリを Azure AD に作成する目的 AAE から Azure AD へ接続するため、Azure AD へ AAE 用のアプリを登録しま

す。作業環境 Azure AD ポータル

1. Azure AD ポータルにアクセスし、管理者の ID とパスワードでログインします。 2. 左のメニュー「アプリの登録」をクリックし、アプリ管理画面を表示します。 3. 上部にある「新規登録」をクリックします。

4. アプリの「名前」に任意の文字を入力し、「任意の組織ディレクトリ内のアカウント (任意の Azure AD ディレクトリ - マルチテナント)」を選択して、「登録」ボタンをクリックします。

※リダイレクト URI は後程設定します。



9

5. 登録したアプリの「認証」画面を開き、リダイレクト URI を設定します。

設定する値は以下になります。

種類リダイレクト URI Web https://<AAE 接続先>/page/Login.aspx

※AAE 接続先は、AAE 導入先のサーバー名など



10

6. 「暗黙の付与」の「ID トークン」をチェックし、「保存」します。

7. 「証明書とシークレット」の画面を表示します。以下のいずれかを実施してください。

<シークレットキーで接続する場合> i. 「新しいクライアントシークレット」ボタンを押下します。

ii. 「説明」と「有効期限」を設定し、「追加」をクリックします。追加後、「値」に表示されるシー

クレットキーをテキストエディタなどにコピーし保存しておきます。シークレットキーは後で確認できないため、この手順で確実に控えをとってください。もし、シークレットキーを忘れてしまった場合は、「新しいクライアントシークレット」を再

作成することができます。

シークレットキーは後述の、手順「4.7 設定ファイルを編集する」で設定ファイルに記載します。



11

<証明書で接続する場合> i. 「証明書のアップロード」ボタンを押下します。

ii. アップロードする証明書を選択し、「追加」ボタンをクリックします。

8. 「API のアクセス許可」の画面を表示し、「アクセス許可の追加」をクリックします。

9. 「Microsoft API」の「Microsoft Graph」をクリックします。



12



13

10. 「アプリケーションの許可」をクリックします。

11. 「Directory」の「Directory.ReadWrite.All」をチェックします。

12. 「Group」の「Group.ReadWrite.All」をチェックします。

13. 「User」の「User.ReadWrite.All」をチェックします。



14

14. 「アクセス許可の追加」をクリックします。

※この状態ではまだアクセス許可は付与されていません。

15. 「<テナント名>に管理者の同期を与えます」をクリックします。認証画面が表示されたら、管

理者で認証し、先ほど追加したアクセス権を「承諾」します。

16. 「状態」が「付与された」状態であることを確認します。



15

4.2. AAE 用アプリに Exchange 管理者権限を付与する本手順は Office365 と連携する場合のみ必要になります。

目的 AAE から Office365 へ接続するため、AAE 用アプリに Exchange 管理者権限を

付与する。作業環境 Azure AD ポータル

① Azure AD ポータルにアクセスし、管理者の ID とパスワードでログインします。 ② 左のメニュー「ロールと管理者」をクリックし、ロール管理画面を表示します。

※「アプリの登録」配下のアプリ管理画面にも「ロールと管理者」メニューは存在しますが、

トップ画面のメニューにある「ロールと管理者」であることに注意してください。 ③ Exchange 管理者のプロパティを開きます。

④ 上部にある「割り当ての追加」をクリックし、AAE 用アプリを追加します。



16

4.3. AAE 用拡張属性を作成する目的 AAE が Azure AD オブジェクトを管理するために、拡張属性を作成します。作業環境 Graph エクスプローラー

① Graph エクスプローラーを Web ブラウザで表示する。 ② 管理者アカウントでサインインする。アクセス権が要求されたら承諾する。

③ Graph エクスプローラー上のログインユーザーの下にある、「アクセス許可の修正」を

クリックし、「Directory.AccessAsUser.All」の権限を付与する。すでに付与されている

場合、本手順は必要ありません。



17

④ ユーザーオブジェクト用の拡張属性を作成する。以下を参照し、クエリ入力後「クエリを

実行」をクリックする。処理 POST URL https://graph.microsoft.com/v1.0/schemaExtensions 要求本文付属している「aaeUserExAttr.txt」に記載されている内容

※"owner": "<スキーマ拡張機能の所有者アプリケーションの ID>"には、作成し

た AAE 用アプリのアプリケーション ID を記載すること

⑤ 応答に記載されている「ID」をメモする。

ID を忘れてしまった場合は、以下の GET メソッドで取得することができます。

処理 GET URL https://graph.microsoft.com/v1.0/schemaExtensions?$filter=owner eq '<AAE用アプ

リのアプリケーション ID >' 要求本文なし



18

⑥ スキーマの状態を「Available」に変更する。以下を参照し、クエリ入力後「クエリを実行」

をクリックする。処理 PATCH URL https://graph.microsoft.com/v1.0/schemaExtensions/<④でメモした拡張属性の ID> 要求本文 {

"status": "Available", "owner": "<スキーマ拡張機能の所有者アプリケーションの ID>" } ※"owner": "<スキーマ拡張機能の所有者アプリケーションの ID>"には、作成した

AAE 用アプリのアプリケーション ID を記載すること

⑦ グループオブジェクト、部門管理者グループ用の拡張属性をユーザーオブジェクト用と

同じように作成する。④、⑤、⑥の手順を参照し、要求本文は以下のそれぞれの付属し

ているファイルを利用してください。グループオブジェクト：aaeGroupExAttr.txt 部門管理者グループ：aaeMgrGroupExAttr.txt

拡張属性の ID は後述の、手順「4.7 設定ファイルを編集する」で設定ファイルに記載します。



19

4.4. システム管理者グループを作成する目的システム管理ロール用のグループを作成します。作業環境 Azure AD ポータル

① Azure AD ポータルにアクセスし、管理者の ID とパスワードでログインします。 ② 左のメニュー「グループ」をクリックし、グループ管理画面を表示します。 ③ 上部の「新しいグループ」をクリックし、グループ新規作成画面を表示します。

④ 以下参照し、グループを作成します。グループの種類セキュリティグループ名任意（例：AAE システム管理者グループ）グループの説明任意（例：AAE のシステム管理者権限を付与するグループメンバーシップの種類割り当て済み所有者任意メンバーシステム管理者権限を付与するユーザー

※AAEのシステム管理者権限を持つユーザーは事前に作成して

ください。

⑤ 作成したグループのオブジェクト ID をメモしておく。グループのオブジェクト ID は後述の、手順「4.7 設定ファイルを編集する」で設定ファイルに記

載します。



20

4.5. AAE 実行ユーザーアカウントを作成する目的 AAE を実行するためのユーザーアカウントを作成します。このユーザーアカウン

トは IIS のアプリケーションプール、Windows タスクで使用します。作業環境 AAE 実行サーバー

① AAE 実行サーバーに AAE 実行用のユーザーアカウントを作成します。

「管理ツール」>「コンピューターの管理」>「ローカルユーザーとグループ」から作成する

ことをおすすめします。この際、以下の点に注意してください。 - 名前：aaeadmin 等、任意に指定可能 - ユーザーは次回ログオン時にパスワード変更が必要：チェックを外す - パスワードを無期限にする：チェックする - アカウントは無効：チェックしない

② AAE 実行ユーザーアカウントを以下のグループのメンバーに追加します。 - Administrators - Users

タスク実行アカウントへは、以下の権限の付与が必要です。

ローカルセキュリティポリシーを起動し、「ローカルポリシー］－「ユーザー権利の割り当て」-

「バッチジョブとしてログオン」のプロパティ「ローカルセキュリティの設定」に設定されているいずれ

かの権限 AAE 実行ユーザーで AAE を配置するサーバーにログイン/ログオフは実施しないでください。

AAE の稼働中に実行ユーザーでログオフした場合、マイクロソフト社の仕様により、AAE からの

PowerShell の実行が失敗する可能性があります。



21

4.6. AAE のモジュール一式をコピーする目的 AAE のモジュール一式を AAE 実行サーバーにコピーします。作業環境 AAE 実行サーバー

① [インストールCD] ¥module¥Azure AD連携¥[連携先]フォルダ配下一式をAAE実行

サーバーの任意のフォルダにコピーします。 [連携先]は、「3. モジュール構成」を参照して下さい。

② [AAE ルート]のプロパティを確認し、読み取り専用属性がついている場合は外します。



22

4.7. OSS のモジュールをダウンロードする目的 AAE が利用する OSS のモジュールをダウンロードします。作業環境 AAE 実行サーバー

OSS の利用については、適用された使用条件（ライセンス条件）に従い、お客様の責任におい

て入手、ご利用ください。

OSS のダウンロードには Microsoft の「NuGet」を使用します。Microsoft のサイトから

「NuGet」をダウンロード、インストールしてください。

① 「コマンドプロンプト」を「管理者として実行」し、「nuget.exe」が格納されているフォルダ

へ移動します。 ② 以下のコマンドを実行します。

nuget.exe install Microsoft.Graph -version 1.17.0 ③ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.Graph.1.17.0 - Microsoft.Graph.Core.1.17.0 - Newtonsoft.Json.6.0.1 - System.ValueTuple.4.3.0

④ 以下のコマンドを実行します。

nuget.exe install Microsoft.Identity.Client -version 4.0.0 ⑤ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.Identity.Client.4.0.0

⑥ 以下のコマンドを実行します。

nuget.exe install Microsoft.IdentityModel.Protocols -version 5.4.0 ⑦ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.IdentityModel.Logging.5.4.0 - Microsoft.IdentityModel.Protocols.5.4.0 - Microsoft.IdentityModel.Tokens.5.4.0 - Newtonsoft.Json.10.0.1



23

⑧ 以下のコマンドを実行します。

nuget.exe install Microsoft.Owin.Host.SystemWeb -version 4.0.1 ⑨ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.Owin.4.0.1 - Microsoft.Owin.Host.SystemWeb.4.0.1 - Owin.1.0

⑩ 以下のコマンドを実行します。

nuget.exe install Microsoft.Owin.Security.Cookies -version 4.0.1 ⑪ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.Owin.4.0.1 - Microsoft.Owin.Security.4.0.1 - Microsoft.Owin.Security.Cookies.4.0.1 - Owin.1.0

⑫ 以下のコマンドを実行します。

nuget.exe install Microsoft.Owin.Security.OpenIdConnect -version 4.0.1 ⑬ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.IdentityModel.JsonWebTokens.5.3.0 - Microsoft.IdentityModel.Logging.5.3.0 - Microsoft.IdentityModel.Protocols.5.3.0 - Microsoft.IdentityModel.Protocols.OpenIdConnect.5.3.0 - Microsoft.IdentityModel.Tokens.5.3.0 - Microsoft.Owin.4.0.1 - Microsoft.Owin.Security.4.0.1 - Microsoft.Owin.Security.OpenIdConnect.4.0.1 - Newtonsoft.Json.10.0.1 - Owin.1.0 - System.IdentityModel.Tokens.Jwt.5.3.0



24

⑭ 以下のコマンドを実行します。

nuget.exe install Newtonsoft.Json -version 12.0.2 ⑮ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Newtonsoft.Json.12.0.2

⑯ 以下のコマンドを実行します。

nuget.exe install System.IdentityModel.Tokens.Jwt -version 5.4.0 ⑰ 「nuget.exe」が格納されているフォルダにモジュールがダウンロードされます。

ダウンロードされるフォルダは以下になります。 - Microsoft.IdentityModel.JsonWebTokens.5.4.0 - Microsoft.IdentityModel.Logging.5.4.0 - Microsoft.IdentityModel.Tokens.5.4.0 - Newtonsoft.Json.10.0.1 - System.IdentityModel.Tokens.Jwt.5.4.0



25

4.8. ダウンロードしたモジュールを AAE に適用する目的ダウンロードしたモジュールを AAE に適用します。作業環境 AAE 実行サーバー

ダウンロードしたモジュールを AAE に適用します。コピー先：[AAE ルート]¥bin¥ コピー元のファイルは以下になります。コピー元のファイルのバージョンに注意してください。

フォルダモジュール名

Microsoft.Graph.1.17.0¥lib¥net45 Microsoft.Graph.dll Microsoft.Graph.Core.1.17.0¥lib¥net45 Microsoft.Graph.Core.dll Microsoft.Identity.Client.4.0.0¥lib¥net45 Microsoft.Identity.Client.dll Microsoft.IdentityModel.JsonWebTokens.5.4.0¥lib¥net451

Microsoft.IdentityModel.JsonWebTokens.dll

Microsoft.IdentityModel.Logging.5.4.0¥lib¥net451

Microsoft.IdentityModel.Logging.dll

Microsoft.IdentityModel.Protocols.5.4.0¥lib¥net451

Microsoft.IdentityModel.Protocols.dll

Microsoft.IdentityModel.Protocols.OpenIdConnect.5.3.0¥lib¥net451

Microsoft.IdentityModel.Protocols.OpenIdConnect.dll

Microsoft.IdentityModel.Tokens.5.4.0¥lib¥net451

Microsoft.IdentityModel.Tokens.dll

Microsoft.Owin.4.0.1¥lib¥net45 Microsoft.Owin.dll Microsoft.Owin.Host.SystemWeb.4.0.1¥lib¥net45

Microsoft.Owin.Host.SystemWeb.dll

Microsoft.Owin.Security.4.0.1¥lib¥net45 Microsoft.Owin.Security.dll Microsoft.Owin.Security.Cookies.4.0.1¥lib¥net45

Microsoft.Owin.Security.Cookies.dll

Microsoft.Owin.Security.OpenIdConnect.4.0.1¥lib¥net45

Microsoft.Owin.Security.OpenIdConnect.dll

Newtonsoft.Json.12.0.2¥lib¥net45 Newtonsoft.Json.dll Owin.1.0¥lib¥net40 Owin.dll System.IdentityModel.Tokens.Jwt.5.4.0¥lib¥net451

System.IdentityModel.Tokens.Jwt.dll

System.ValueTuple.4.3.0¥lib¥netstandard1.0 System.ValueTuple.dll



26

4.9. 設定ファイルを編集する目的お客様の環境に合わせ、AAE の設定ファイルを編集します。作業環境 AAE 実行サーバー

お客様の環境ごとに最低限編集する必要がある項目について説明します。詳細については、

Azure AD 対応版「Account Agent Enterprise 設定ファイルマニュアル」を参照してください。設定が必要な設定ファイルは以下の 10 つです。

設定ファイル Azure AD のみ Office 365 連携データパス使用使用共通設定使用使用 AzureAD アプリ情報設定使用使用管理ロール設定使用使用 Office 365 接続情報未使用使用 Office 365 連携用設定未使用使用 AD 属性ライセンス割当指定ファイル使用使用デフォルトライセンス割当指定ファイル使用使用 Exchange ライセンス定義ファイル未使用使用 AAE 初期設定登録バッチ使用使用

パスワードの暗号化設定ファイル中にパスワードを記載する場合、パスワード暗号化ツールで暗号化したものを

記載します。項目

実行モジュール [インストール CD]¥tool¥encpass.exe

実行方式コマンドライン実行

実行パラメーターパラメーターは 1 つのみ受け付けます。暗号化するパスワードを指定します。

結果暗号化されたパスワードはコンソール画面に表示されます。

パスワード暗号化ツールの使用例を以下に示します。

赤枠が暗号化するパスワード、緑枠が暗号化されたパスワードです。設定ファイルには緑枠

の文字列をコピーして指定します。



27

4.9.1. データパスファイル - フォルダ：[AAE ルート]¥Data¥setting - ファイル名：DataPath.xml データパスファイルは、AAE の設定ファイル・ログ・入力ファイル等を格納する[AAEData ル

ート]フォルダのパスを記載する XML ファイルです。データパスの初期値は「C:¥AAE¥AAEData¥」です。この場合、C:¥AAE フォルダ配下の

AAEData フォルダを使用します。 AAEData フォルダを共有ファイルサーバー上に置く場合、以下の手順のとおり設定します。 ① データパスファイルをメモ帳で開きます。 ② 「Folder.DataRoot」キーの val の値にファイルサーバーの絶対パスを指定します。

<?xml version="1.0"?>

<settings xmlns:xsi=～>

<setting key="Folder.DataRoot" val="\\fileserver\aae\AAEData\" ～ />

</settings>

③ DataPath.xml を保存してメモ帳を終了します。 ④ [AAEDataルート]フォルダ配下のすべてのフォルダ・ファイルを、ファイルサーバーに移

動します。



28

4.9.2. 共通設定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：Setting.xml 共通設定ファイルにおいて必ず設定する項目とオプションの項目を以下に示します。記載内

容は Azure AD 対応版「Account Agent Enterprise設定ファイルマニュアル」の共通設定ファ

イルの章を参照してください。以下の項目は環境構築手順で作成したオブジェクト、拡張属性の値を設定します。

カテゴリキー名設定値 ID ID.AdminGroup 「4.4 システム管理者グループを作

成する」で作成したグループのオブ

ジェクト ID AAE スキーマ拡張 System.aaeUserExAttr 「4.3AAE 用拡張属性を作成する」

で作成した拡張属性の ID System.aaeGroupExAttr System.aaeMgrGroupExAttr

タスク実行 System.TaskRunUser 「4.5AAE 実行ユーザーアカウントを

作成する」で作成したユーザーの IDとパスワード

System.TaskRunPassword

4.9.3. AzureAD アプリ情報設定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：SettingAzureAd.xml Azure ADアプリ情報設定ファイルでは、AAEがAzure ADに接続するために必要な情報を

記載します。記載内容は Azure AD 対応版「Account Agent Enterprise 設定ファイルマニュアル」の

AzureAD アプリ情報設定ファイルの章を参照してください。設定値のキー名「AuthenticationMode」には、「4.1AAE 用アプリを Azure AD に作成す

る」でシークレットキーを作成した場合は「1」に設定し、証明書を登録した場合は「2」を設定しま

す。「AuthenticationMode」が「1」の場合は、以下の設定を記載します。

カテゴリキー名設定値 Microsoft Graph ClientId 「4.1AAE 用アプリを Azure AD に

作成する」で作成したアプリの情報 TenantId RedirectUri Secret Authority



29

「AuthenticationMode」が「2」の場合は、以下の設定を記載します。カテゴリキー名設定値

Microsoft Graph ClientId 「4.1AAE 用アプリを Azure AD に

作成する」で作成したアプリの情報 TenantId RedirectUri Authority CertFilePath CertPassword

4.9.4. 管理ロール設定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：RoleIDSetting.xml 管理ロール設定ファイルは、AAEで管理するオブジェクトの管理組織を記載するXMLファイ

ルです。記載内容は Azure AD 対応版「Account Agent Enterprise 設定ファイルマニュアル」の管

理ロール設定ファイルの章を参照してください。

4.9.5. Office 365 接続情報ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：Office365Account.csv

Office 365 連携を使用しない場合、本ファイルの設定は不要です。 Office 365 接続情報ファイルは Office 365 への接続用アカウントの情報を列挙したテキスト

ファイルです。AAE は本ファイルに記載されたアカウントを使用して、Office 365 へ接続しま

す。記載内容は Azure AD 対応版「Account Agent Enterprise 設定ファイルマニュアル」の

Office 365 接続情報ファイルの章を参照してください。以下に Office 365 接続情報ファイルの記載例を示します。

[email protected] M8865kTc29iq+Od85kXA1uMp4gvJyU923+m0Ny8mkzU=

[email protected] M8865kTc78iq+Od85kXA1uMp4gvJyU923+m0Ny8mkzU=

ユーザーID とパスワードはタブで区切ります。

Office 365 では、長時間、同一ユーザーで大量の通信を行うと、エラーが多発するという状況

が発生します。本状況を回避するため、本ファイルには 3 件以上の接続アカウントの情報を記載

することを推奨します。



30

4.9.6. Office 365 連携用設定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：MSCloudSetting.xml

Office 365 連携を使用しない場合、本ファイルの設定は不要です。 Office 365連携用設定ファイルではライセンス管理機能を使用する際に必要な情報を記載し

ます。記載内容は Azure AD 対応版「Account Agent Enterprise 設定ファイルマニュアル」の

Office 365 連携用設定ファイルの章を参照してください。

4.9.7. AD 属性ライセンス割当指定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：AdLicense.csv

Office 365 連携を使用しない場合、本ファイルの設定は不要です。ライセンス管理バッチは、Azure AD 上のユーザーの属性値により割り当てるライセンスを決

定することができます。本設定ファイルに、設定された条件に沿ってライセンスを割り当てます。

AAEの機能の一部であるライセンス管理バッチは、Windowsタスクスケジューラーから定期的

に実行することで、自動でライセンスを発行、更新、はく奪することができます。

AD の属性値による割り当てをしない場合は、「AD 属性ライセンス割当指定ファイル」の記載を

空にします。ファイル形式は以下の通りです。項目内容

文字コード UTF-8 ファイル形式 CSV 形式（カンマ区切り）許容項目数 4 項目以上

ファイルフォーマットは以下の通りです。

項目説明必須備考 1 AD 属性 ○ チェックする属性名。

文字列型の属性のみ、サポートする 2 AD 属性の設定値 ○ 1 の属性に含まれているかチェックする値。 3 判断条件 ○ 以下の中から選択して記載する。

- 完全一致 - 部分一致 - 前方一致



31

- 後方一致

4 サブスクリプション名 × ライセンスのサブスクリプション名。ライセンス無しを表すときは、空にする。

5～無効サービスプラン × 無効にするサービスプランがある場合は、項目数を増

やして記載する。

例

department,営業部,完全一致,STANDARDPACK,BPOS_S_TODO_1,SWAY,FLOW_O365_P1

department,総務部,完全一致,STANDARDPACK,BPOS_S_TODO_1,SWAY

4.9.8. デフォルトライセンス割当指定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：DefaultLicense.csv

Office 365 連携を使用しない場合、本ファイルの設定は不要です。ライセンス管理バッチは、Azure AD 上のユーザーに一律で同じライセンスを割り当てること

ができます。本設定ファイルに、一律で割り当てないライセンスを設定します。

AAEの機能の一部であるライセンス管理バッチは、Windowsタスクスケジューラーから定期的

に実行することで、自動でライセンスを発行、更新、はく奪することができます。

一律でのライセンス割当をしない場合は、「デフォルトライセンス割当指定ファイル」の記載を空

にします。ファイル形式は以下の通りです。項目内容

文字コード UTF-8 ファイル形式 CSV 形式（カンマ区切り）許容項目数 1 項目以上

ファイルフォーマットは以下の通りです。

項目説明必須備考 1 サブスクリプション名 × ライセンスのサブスクリプション名。

ライセンス無しを表すときは、空にする 2～無効サービスプラン × 無効にするサービスプランがある場合は、項目数

を増やして記載する。例

STANDARDPACK,BPOS_S_TODO_1



32

4.9.9. Exchange ライセンス定義ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：ExchangeLicense.csv

Office 365 連携を使用しない場合、本ファイルの設定は不要です。 Exchange Online のメールボックスは、Exchange のライセンスを割り当てることで作成され

ます。AAE は、Exchange ライセンスが付与されていることでメールボックスを保持しているユ

ーザーとして判別します。ファイルの内容を確認し、お客様の環境で利用する Exchange ライセンスが存在しない場合

は、追加してください。

4.9.10. AAE 初期設定登録バッチ設定ファイル - フォルダ：[AAEData ルート]¥setting - ファイル名：Initialization.xml すでに Azure AD を利用している場合、AAE で管理する既存アカウントは、AAE の管理対

象として取り込む必要があります。本設定ファイルで、取り込み時の動作を変更します。取り込み手順については後述します。

カテゴリキー名設定値初期設定 IsGetAnotherAAEManagedObject Azure AD の同一テナント内で、

別々の AAE（管理する組織が分か

れるなど）を導入する場合、別の

AAE で取り込んだアカウントも出力

する場合は True にします。 IsGetManager AAE でユーザーの上司属性を管理

する場合は True にします。ただし上

司属性の取得には時間がかかる場

合があります。 IsGetOwner AAE で Office365 グループの所有

者属性を管理する場合は True にし

ます。ただし所有者属性の取得には

時間がかかる場合があります。



33

4.10. アプリケーションプールを追加する目的 Web 画面を実行するために必要なアプリケーションプールを作成します。作業環境 AAE 実行サーバー

① インターネットインフォメーションサービス(IIS)マネージャーを起動します。

② アプリケーションプールを右クリックし、「アプリケーションプールの追加」を選択します。

③ 以下を入力し、「OK」をクリックします。 - アプリケーションプール名→AAEPool - .NetFramework バージョン→.NetFrameworkV4.0



34

④ 「AAEPool」を選択した状態で「詳細設定」をクリックします。

⑤ プロセスモデルの「ID」の参照ボタンをクリックします。



35

⑥ カスタムアカウントを選択し、「設定」ボタンをクリックします。

⑦ ユーザー名に「4.5AAE 実行ユーザーアカウントを作成する」で作成した AAE の実行ユ

ーザーのログイン名を指定します。パスワードを 2 回入力し、「OK」ボタンをクリックします。

⑧ アプリケーションプール ID ダイアログで「OK」ボタンをクリックします。 ⑨ 「詳細設定」ダイアログで以下を設定します。

- プロセスモデル→アイドル状態のタイムアウト(分)：0 - プロセスモデル→ユーザープロファイルの読み込み：True - リサイクル→構成の変更時のリサイクルを無効にする：True - リサイクル→定期的な間隔：0

Office 365 連携を使用しない場合、「ユーザープロファイルの読み込み」の設定は不要です。 ⑩ 「詳細設定」ダイアログで「OK」ボタンをクリックします。



36

4.11. Web サイトを作成する目的 AAE のモジュールを IIS で公開します。作業環境 AAE 動作サーバー

以下の手順で Web サイトを新規に作成します。 ① インターネットインフォメーションサービス(IIS)マネージャーを起動します。

② サイトを右クリックし、「Web サイトの追加」を選択します。



37

③ 「Web サイトの追加」ダイアログで以下を設定し、「OK」ボタンをクリックします。

- サイト名：AAESite - アプリケーションプール：AAEPool - 物理パス：「4.6AAE のモジュール一式をコピーする」で配置した AAE のルートフォ

ルダ - ポート：現在使用していない任意のポート

AAEが他のWebサイトで使用されているポート（ポート 80など）で受け付けるためには、ホスト

ヘッダーの設定が必要です。ホストヘッダーの説明は後述します。



38

④ 作成したサイトを選択し、アクセス許可の編集をクリックします。

⑤ 「セキュリティ」タブをクリックし、「編集」ボタンをクリックします。



39

⑥ 「追加」ボタンをクリックし、「4.5AAE 実行ユーザーアカウントを作成する」で作成した

AAE 実行ユーザーを検索します。 ⑦ AAE 実行ユーザーに対して変更権限を付与します。



40

⑧ Authenticated Users を追加します。変更権限は付与しません。

⑨ 「OK」ボタンを 2 回クリックします。



41

⑩ 「SSL 設定」を選択して、「機能を開く」をクリックします。

⑪ 「SSL が必要」のチェックが入っていた場合、チェックをはずします。 ⑫ 「適用」ボタンをクリックします。



42

4.12. ホストヘッダーを設定する目的同一ポートで複数サイトを共存させます。作業環境 AAE 動作サーバー、DNS

ホストヘッダーを設定することにより、同一ポート（例えばポート 80）で複数のサイトをホストす

ることができます。ポート 80 が既に使われており AAE もポート 80 で受け付けたい場合などは

ホストヘッダーを設定してください。ホストヘッダーの動作イメージを以下に示します。以下の例では AAE 動作サーバーと、利用

ユーザーの DNS が分かれている場合も想定して記載します。AAE 動作サーバーと同じ DNS環境をリソースフォレストとし、ドメインを next.local と仮定します。AAE 動作サーバーと異なる

DNS 環境をアカウントフォレストとし、ドメインを cust1.local と仮定します。AAE 動作サーバー

に「aae」という別名を割り当て、URL の FQDN に指定できるようにしています。

ホストヘッダーの設定手順は以下の通りです。 1. AAESite のバインド設定において、ポート 80 で aae.next.local、aae.cust1.local を受

け付けるよう設定します。 2. リソースフォレストの DNS に A レコードを追加します。 3. アカウントフォレストのDNSにCNAMEを追加します（アカウントフォレストがある場合）このように設定すると、ユーザーは以下の通りアクセスすることができます。 - リソースフォレストのユーザー：http://aae.next.local（ポート指定は不要） - アカウントフォレストのユーザー：http://aae.cust1.local（ポート指定は不要）以下にホストヘッダーの設定手順を説明します。



43

4.12.1. AAESite のバインドを設定する ① インターネットインフォメーションサービス(IIS)マネージャーを起動します。

② AAESite を選択し、「バインド」をクリックします。

③ 「サイトバインド」ダイアログで「追加」ボタンをクリックします。



44

④ ポートに待ち受けるポート番号、ホスト名に「aae.[ドメイン名]」を入力し、「OK」ボタンを

クリックします。

⑤ 必要に応じてアカウントフォレスト側の設定も追加します。

⑥ 不要な設定があれば削除します（以下の例ではポート 8096 の設定）。

⑦ 「閉じる」ボタンをクリックします。



45

4.12.2. リソースフォレストの DNS に A レコードを登録する ① リソースフォレストの DNS サーバーに必要な権限を持つユーザーでログインします。

② DNS 管理コンソールを起動します。

③ 前方参照ゾーンの該当ドメインを右クリックし、新しいホスト（A）をクリックします。

（DNS サーバーのバージョンによっては新しいホスト（A または AAAA）となっています）

④ 名前に「aae」、IP アドレスに AAE 動作サーバーの IP アドレスを追加して、「ホストの追

加」ボタンをクリックします。



46

4.12.3. アカウントフォレストの DNS に CNAME を登録する ① アカウントフォレストの DNS サーバーに必要な権限を持つユーザーでログインします。

② DNS 管理コンソールを起動します。

③ 前方参照ゾーンの該当ドメインを右クリックし、新しいエイリアスを選択します。

④ エイリアス名に「aae」と、ターゲットホスト用の完全修飾ドメイン名に「aae.next.local」を記述して OK をクリックします。



47

4.13. AAE サイトを信頼済みサイトに追加する目的 AAE サイトを信頼済みサイトに追加し、AAE が正しく動作するようにします。作業環境クライアント PC

AAEではWeb画面でJavaScriptを使用していますが、ネットワーク環境やブラウザの設定

によっては、JavaScript が既定で有効になっていないことがあります。JavaScript が有効にな

っていない場合、以下の手順で有効化してください。 ① Internet Explorer の「ツール」メニューから[インターネットオプション]を選択します。も

しくは、コントロールパネルから「インターネットオプション」を選択します。

② 信頼済みサイトを選択し、「サイト」ボタンをクリックします。



48

③ AAE の URL を入力後に「追加」ボタンをクリックし、「閉じる」ボタンをクリックします。

④ インターネットオプションダイアログの「OK」ボタンをクリックします。

4.14. 階層型アドレス帳を有効化する目的階層型アドレス帳を有効にします。作業環境 Exchange Online

階層型アドレス帳を使用する場合は、Microsoft 社のサイトなどを参考に事前に Exchange

Online 側で設定をしてください。階層化アドレス帳のルート組織は AAE では設定できません。



49

4.15. 遅延実行バッチを設定する目的 AAE の遅延実行バッチを Windows タスクに登録します。作業環境 AAE 実行サーバー

① タスクスケジューラを起動します。 ② タスクスケジューラフォルダを右クリックし、「タスクの作成」をクリックします。 ③ 以下のとおりタスクの詳細を設定します。タブ設定項目設定値

全般名前遅延実行バッチタスクの実行時に使うユーザーアカウント

「4.5AAE実行ユーザーアカウントを作成する」で作成

した AAE 実行ユーザーユーザーがログオンしているか

どうかにかかわらず実行するチェック

最上位の特権で実行するチェック表示しないチェック

トリガー設定 1 回開始任意タスクの開始スケジュールに従う詳細設定 - 繰り返し間隔 15 分有効チェック

操作操作プログラムの開始プログラム／スクリプト [AAE ルート]¥Bin¥DelayedExecuteBatch.exe 引数の追加空開始オプション空

④ 設定が完了したら OK をクリックします。ユーザー名・パスワードを入力するダイアログ

が表示されるので、「4.5AAE 実行ユーザーアカウントを作成する」で作成した AAE 実

行ユーザーのユーザー名・パスワードを指定します。

4.16. PowerShell スクリプトの実行ポリシーを変更する目的 AAE が PowerShell を発行できるようにします。作業環境 AAE 動作サーバー

AAEがExchange管理シェルにリモート接続できるよう、PowerShellの設定を変更します。

Exchange 機能を使用しない場合、設定は不要です。 ① 管理者権限で PowerShell を起動し、以下のコマンドを実行します。

Set-ExecutionPolicy RemoteSigned

② 確認メッセージが表示されるので、「y」キーを押下します。



50

4.17. ライセンス管理バッチを設定する目的 AAE のライセンス管理バッチを Windows タスクに登録します。作業環境 AAE 実行サーバー

① タスクスケジューラを起動します。 ② タスクスケジューラフォルダを右クリックし、「タスクの作成」をクリックします。 ③ 以下のとおりタスクの詳細を設定します。タブ設定項目設定値

全般名前ライセンス管理バッチタスクの実行時に使うユーザーアカウント

「4.5AAE実行ユーザーアカウントを作成する」で作成

した AAE 実行ユーザーユーザーがログオンしているか

どうかにかかわらず実行するチェック

最上位の特権で実行するチェック表示しないチェック

トリガー設定 1 回開始任意タスクの開始スケジュールに従う詳細設定 - 繰り返し間隔 60 分有効チェック

操作操作プログラムの開始プログラム／スクリプト [AAE ルート]¥Bin¥LicenseManager.exe 引数の追加 -Update 開始オプション空

④ 設定が完了したら OK をクリックします。ユーザー名・パスワードを入力するダイアログ

が表示されるので、「4.5AAE 実行ユーザーアカウントを作成する」で作成した AAE 実

行ユーザーのユーザー名・パスワードを指定します。



51

4.18. Web 画面からの設定

以降の設定は AAE の Web 画面から以下の順で実施します。 ① 環境設定 ② ロールグループの作成（システム管理ロール以外）、およびメンバーの管理 ③ CSV 項目設定、個別メンテナンス項目設定 ④ スケジュール登録設定方法については「Account Agent Enterprise 操作マニュアル(AzureAD 管理)」を参

照してください。



52

4.19. 既存オブジェクトを AAE に取り込むすでに、Azure AD を利用している場合、AAE で管理する既存オブジェクトは、AAE の管理

対象として取り込む必要があります。

本手順を実施する場合は、事前に「4.18 Web 画面からの設定」の CSV 項目設定、個別メンテナ

ンス項目設定を必ず完了させてください。取り込みには、同梱されている「AAE 初期設定バッチ」を利用します。 ① AAE 実行サーバーに管理者アカウントでログインします。 ② コマンドプロンプトを管理者権限で起動します。 ③ AAE 初期設定バッチを「オブジェクト出力モード」で実行し、Azure AD のオブジェクト情

報を CSV ファイルで出力します。実行するファイル、実行方法は以下になります。

フォルダ [AAE ルート]¥bin ファイル名 Initialization.exe 引数オプション -Output

実行後、以下のファイルが出力されます。

No 種別ファイル名格納先ファイル形式文字コード

1 ユーザー情報ファイル user.csv [AAEData ルート] ¥system¥ Initial

CSV UTF-8(既定) 2 セキュリティグループ

情報ファイル securityGroup.csv

3 Office365 グループ情報ファイル

office365Group.csv

4 配布グループ情報ファイル

distributionGroup.csv

5 施設情報ファイル resource.csv 6 共有メールボックス

情報ファイル sharedMailbox.csv

7 配布グループサブアドレ

ス設定コマンドファイル Distributiongroup _Command.txt

テキスト UTF-8(既定)

Azure AD のみ管理する場合は、「配布グループ」、「施設」、「共有メールボックス」の情報は出

力されません。

④ ログを確認し、エラーメッセージが出力されていないことを確認してください。

フォルダ [AAEData ルート]¥system¥log ファイル名 Initializationbatch.txt



53

⑤ 出力したファイルの内容を確認し、ファイル内にはAAEで管理するオブジェクトのみにし

てください。システム用アカウント、システム管理者用アカウントなどが主に該当します。配布グループを AAE で管理する場合は、メールのサブアドレスに「onmicrosoft.com」

のアドレスを登録する必要があります。出力したファイルの一つに、

「Distributiongroup_Command.txt」があります。このファイルに、サブアドレスに

「onmicrosoft.com」のアドレスを追加するコマンドが記載されています。このファイル内

も AAE で管理するオブジェクトのみにしてください。

⑥ 各ファイルに必要な設定を記載してください。詳細は「4.18 初期設定ファイル」参照。

⑦ 配布グループのサブアドレスに「onmicrosoft.com」のメールアドレスを追加します。

PowerShellを起動し、管理者権限でExchange Onlineにリモート接続してください（接

続方法は Exchange Online の公式サイトを参照してください）。接続したら、

「Distributiongroup_Command.txt」に記載されているコマンドを実行してください。

⑧ AAE 初期設定バッチを「拡張属性設定モード」で実行し、AAE で管理できるよう拡張属

性を設定します。実行するファイル、実行方法は以下になります。

フォルダ [AAE ルート]¥bin ファイル名 Initialization.exe 引数オプション -Update

⑨ ログを確認し、エラーメッセージが出力されていないことを確認してください。

フォルダ [AAEData ルート]¥system¥log ファイル名 Initializationbatch.txt

⑩ 取り込みに失敗したデータは、以下のファイルに出力されています。リトライするデータと

して活用してください。

フォルダ [AAEData ルート]¥system¥Initial ファイル名 <オブジェクト名>_Error.csv



54

4.20. 初期設定ファイル項目の説明、お客様で記載する項目については、以下を参照してください。入力項目の反映は以下になります。

- 〇：記載してください - △：場合によっては変更してください - ×：変更しないでください

4.20.1. ユーザー情報ファイル No 項目入力項目説明

1 ID × オブジェクト ID 2 userPrincipalName × ログイン名 3 DisplayName × 表示名 4 aaeID △ 管理する AAE の識別子

変更しないでください。 ※別の AAE で管理しているオブジェクトを読み込む

場合は変更する 5 %RoleAlias% 〇「4.7.4 管理ロール設定ファイル」で設定した管理ロー

ルから該当するロール識別名を記載してください。 6 type × オブジェクト種別

ユーザーは”user” ゲストユーザーは”guestuser”

7 isAutomatic 〇自動連携対象のオブジェクトは”true” 自動連携対象外のオブジェクトは”false” ※自動連携対象のオブジェクト：

入力データとなる CSV ファイルを利用し、自動でユーザーを更新します。

8 isLicenseAutomatic 〇ライセンス自動連携対象のオブジェクトは”true” ライセンス自動連携対象外のオブジェクトは”false” ※ライセンス自動連携対象のオブジェクト：

ライセンス管理バッチが AD の属性情報などからライセンスを自動で付与、変更、はく奪します。

9 isDisabled × 休職フラグ false に設定してください。休職扱いにしたい場合は、取り込み後に AAE で休

職にしてください。 10 isDeleted × 削除フラグ

false に設定してください。削除扱いにしたい場合は、取り込み後に AAE で削

除してください。



55

11 deletedDate × 削除日空にしてください。

12 manager × 上司に設定されているユーザーのオブジェクト ID 変更しないでください ※AAE で管理しない場合は必ず空となります。

13～ AAE で管理する Exchange 属性 × AAE で管理する Exchange 属性の設定値変更しないでください



56

4.20.2. セキュリティグループ情報ファイル No 項目入力項目説明

1 ID × オブジェクト ID 2 MailNickName × メールニックネーム 3 DisplayName × 表示名 4 aaeID △ 管理する AAE の識別子




セキュリティグループは”securitygroup” 7 isAutomatic 〇自動連携対象のオブジェクトは”true”

自動連携対象外のオブジェクトは”false” ※自動連携対象のオブジェクト：

入力データとなる CSV ファイルを利用し、自動でグループを更新します。

8 deletedDate × 変更しないでください。 9 memberUpdateFlag × 変更しないでください。 10～ 13

owner1～4 × 変更しないでください。 ※必ず空となります。

14～ AAE で管理する Exchange 属性 × 変更しないでください。 ※必ず空となります。



57

4.20.3. Office365 グループ情報ファイル No 項目入力項目説明





Office365 グループは”office365group” 7 isAutomatic 〇自動連携対象のオブジェクトは”true”




owner1～4 × 変更しないでください。所有者に設定されているユーザーのオブジェクト IDが出力されます。所有者に 5 件以上ユーザーが設定

されている場合は切り捨てとなります。AAEは 4件ま

でしか対応していないため 5 件以上の場合は精査し

てください。 ※AAE で管理しない場合は必ず空となります。

14～ AAE で管理する Exchange 属性 × 変更しないでください AAE で管理する Exchange 属性の設定値



58

4.20.4. 配布グループ情報ファイル No 項目入力項目説明





配布グループは”distributiongroup” 7 isAutomatic 〇自動連携対象のオブジェクトは”true”




owner1～4 × 変更しないでください。 ※必ず空となります。




59

4.20.5. 施設情報ファイル No 項目入力項目説明





施設は”resource” 7 isAutomatic × 変更しないでください

必ず false になります。 8 isLicenseAutomatic 〇ライセンス自動連携対象のオブジェクトは”true”

ライセンス自動連携対象外のオブジェクトは”false” ※ライセンス自動連携対象のオブジェクト：


9 isDisabled × 変更しないでください必ず false になります。

10 isDeleted × 変更しないでください必ず false になります。

11 deletedDate × 変更しないでください必ず空になります。

12 manager × 変更しないでください必ず空になります。




60

4.20.6. 共有メールボックス情報ファイル No 項目入力項目説明





共有メールボックスは”sharedmailbox” 7 isAutomatic × 変更しないでください

必ず false になります。 8 isLicenseAutomatic 〇ライセンス自動連携対象のオブジェクトは”true”

ライセンス自動連携対象外のオブジェクトは”false” ※ライセンス自動連携対象のオブジェクト：


9 isDisabled × 変更しないでください必ず false になります。

10 isDeleted × 変更しないでください必ず false になります。

11 deletedDate × 変更しないでください必ず空になります。

12 manager × 変更しないでください必ず空になります。




61

4.21. グループのメンバー情報を取り込む「4.19 既存オブジェクトを AAE に取り込む」実施後、グループのメンバー情報を AAE に取り

込む必要があります。取り込みには、同梱されている「メンバーキャッシュファイル作成バッチ」を利用します。 ① AAE 実行サーバーに管理者アカウントでログインします。 ② コマンドプロンプトを管理者権限で起動します。 ③ メンバーキャッシュファイル作成バッチを実行し、グループのメンバー情報を AAE 用の

キャッシュ情報として出力します。実行するファイル、実行方法は以下になります。

フォルダ [AAE ルート]¥bin ファイル名 MemberCacheFileCreateBatch.exe 引数オプションなし

実行後、以下のファイルが出力されます。

No 種別ファイル名格納先ファイル形式文字コード

1 セキュリティグループメン

バーキャッシュファイル AAEMemberCache_securitygroupmember.csv

[AAEData ルート] ¥system¥ cache

CSV UTF-8

2 Office365 グループメンバ

ーキャッシュファイル AAEMemberCache_office365groupmember.csv

3 配布グループメンバーキ

ャッシュファイル AAEMemberCache_distributiongroupmember.csv

④ ログを確認し正常終了していることを確認してください。

フォルダ [AAEData ルート]¥system¥log ファイル名 membercacherilecreatebatch.txt

account agent enterprise 導入マニュア … agent...fujitsu...

Documents