Microsoft Dynamics CRM 2013/2015 Active Directory から削除後に再登録したアカウントとの紐づけ

みなさん、こんにちは。

 

ユーザーの一時退職、休職や出向業務完了等の理由で Dynamics CRM からユーザーを削除する際には Dynamics CRM でユーザを無効にします。これは Dynamics CRM では登録したユーザーの削除を行うことはできないからです。

セキュリティ上の観点から Active Directory (以降 AD) からもアカウントを削除する運用を行っている場合、アカウントを削除した後にユーザーが復帰した際に AD に同じアカウントを再度登録を行っても、 Dynamics CRM でユーザーを有効にする際にエラーが発生しユーザーを有効化することができません。

Dynamics CRM は AD のアカウントの ObjectGUID / ObjectSID に関連する情報を保有しており、AD 上でアカウントを削除した後に同一名称のユーザーアカウントが作成された場合でも ObjectGUID / ObjectSID が異なるため、 CRM ユーザーを有効にすることができないのは製品の意図した動作です。

再度 CRM ユーザーを有効化する方法に関してサポート部門に対して、たびたびお問い合わせいただいているため再度有効にする方法をご紹介します。

 

現象再現の手順

1) Dynamics CRM のユーザーを無効化します。

2) AD から当該ユーザーのアカウントを削除します。

3) AD に同じアカウントを再登録します。

4) Dynamics CRM にてユーザーの有効化を行うと下記エラーとなります。

ADユーザー復活

 

対応方法

Microsoft Dynamics CRM 展開マネージャにて組織の削除およびインポートを実行します。

インポート時にユーザーのマッピングの処理が行われることにより CRM ユーザーと再登録した AD アカウントを対応付けることができるため、ユーザーを有効化することが可能となります。

 

1. 展開マネージャを起動し、組織にて、対象の組織を無効にします。

2. 組織を削除します。

3. 組織のインポートにて上記で削除した組織をインポートします。

4. ユーザーのマッピング方法の選択において、「ユーザーを自動的にマップする(推奨)」を選択します。

無効化したユーザーが、再生成した AD のアカウントとなっていることを確認してください。

異なる場合にはユーザーを選択してユーザーマッピングの対象の参照ボタンをクリックし、適切なユーザーを指定してください。

5. インポートを実行します。

6. 無効化した CRM ユーザーを有効化します。

設定 → 管理 → ユーザー → 無効なユーザーから、有効化するユーザーを選択して有効にします。

 

組織の無効化および削除を行うため一時的なシステムダウンが発生しますので、操作を実施する際には運用に支障のない時間帯での作業が必要となります。

 

組織データベースを編集する手法をご紹介している記事 Dynamics CRM 2011 Recover Deleted Active Directory User Accounts がありますが、データベースの直接編集はサポート対象外の方法です。 一時的なシステムダウンが困難な状況もある事は理解していますが、サポートされている操作での作業をお願いします。

また、組織のインポート時以外にもユーザーの再マッピングを実行できる機能の追加を開発部門に対して依頼しています。 アップデートがあった場合、本ブログで改めてお知らせいたします。