VMware Identity Manager をバージョン 3.1 以降にアップグレードするとき、グループ メンバーシップ同期の動作は、グループ DN がサービス内でいつ構成されたかによって異なります。

  • VMware Identity Manager 3.1 以降にアップグレードするとき、アップグレード後にサービスに追加する新しいグループは、そのグループにリソースの使用資格が付与されたとき、またはそのグループがアクセス ポリシー ルールに追加されたときにメンバーを同期します。このグループのそれ以降の同期は以前の動作に従います。

  • 3.1 にアップグレードする前に追加されたグループは、グループにリソースの使用資格が付与されていない場合、あるいは、アクセス ポリシー ルールで使用されていない場合でも、これまでと同様にグループ メンバーをグループに追加された時点で同期します。つまり、既存のグループおよびユーザーに対しては 3.1 以前の動作が保持されます。

  • アップグレードの前にグループが存在し、DN 構成が変更されている場合、グループ同期のプロファイルは新しい動作に変更されます。グループ名はディレクトリと同期します。グループ メンバーは、グループにリソースの使用資格が付与されたとき、またはグループがアクセス ポリシー ルールに追加されたときに同期します。

  • グループから資格が削除されても、グループ内のユーザーはその後の同期で引き続き同期されます。

  • Active Directory グループを含むローカル グループが VMware Identity Manager サービスに作成され、ローカル グループにリソースの使用資格が付与されている場合、ローカル グループの Active Directory グループに属するユーザーは、資格の一部としてディレクトリに同期されません。Active Directory グループのユーザーを同期するには、Active Directory グループにリソースの使用資格を直接付与します。