Workspace ONE UEM から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Manager Connector に関連付けられている、タイプが LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager Connector が ACC の代わりに使用され、ユーザーとグループがエンタープライズ ディレクトリから VMware Identity Manager サービスに同期されます。
前提条件
- VMware Identity Manager Connector をインストールし、アクティブ化します。
一部の機能を使用するには、Windows Server をドメインに参加させる必要があり、管理者グループに属するドメイン ユーザーとして VMware Identity Manager Connector を Windows Server にインストールする必要があります。また、Windows ドメイン ユーザーとして IDM Connector サービスを実行する必要があります。
この要件は、次の場合に適用されます。
- 他のディレクトリを統合 Windows 認証経由の Active Directory に変換する場合
- Kerberos 認証を使用する場合
- 次の Active Directory 情報が必要です。
- LDAP 経由の Active Directory に変換する場合、ベース DN、およびバインド ユーザー DN とパスワードが必要です。
バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
- 読み取り
- すべてのプロパティの読み取り
- アクセス許可の読み取り
有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
- 統合 Windows 認証を使用する Active Directory に変換する場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。
バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
- 読み取り
- すべてのプロパティの読み取り
- アクセス許可の読み取り
有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
- Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラの中間(使用されている場合)およびルート CA 証明書が必要です。ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
- 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
- 統合 Windows 認証を使用する Active Directory の場合:
- SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
- ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。
- LDAP 経由の Active Directory に変換する場合、ベース DN、およびバインド ユーザー DN とパスワードが必要です。
手順
次のタスク
Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。