Azure AD ConnectでのExport エラー(8344)の原因と解決方法

Azure AD ConnectのSynchronization Service Managerを開くと「completed-export-errors」というエラーがでていました。

 

詳細を見ると同期ユーザーに「8344 この操作を実行するための十分なアクセス権がありません」とのこと

原因は同期ユーザーの「アクセス権の継承」が無効になっていることにより、Azure AD Connectの自動生成アカウントの権限が入らずAzure AD Connectがユーザーデータを抽出できなかったからのようです。

 

まずSynchronization Service Managerの Connectors > Connect to Active Directory Forest を確認します。

MSOL_xxxxxxxxx」がAzure AD Connectが利用する自動生成アカウントであることが分かります。

 

アクセス権の継承を有効にして、対象ユーザーのセキュリティ内に「MSOL_xxxxxxxxx」があり、「Web 情報の読み取り」から「特殊なアクセス許可」まで許可されていることを確認します。

 

次の実行でエクスポートが成功しました!