Workspace ONE Access コンソールで、ディレクトリを作成して、Active Directory に接続するために必要な情報を入力し、Workspace ONE Access ディレクトリに同期するユーザーおよびグループを選択します。Active Directory では、LDAP 経由の Active Directory または統合 Windows 認証を使用する Active Directory の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。

前提条件

  • ディレクトリ同期サービスをインストールします。このサービスは、バージョン 20.01.0.0 から始まる Workspace ONE Access Connector のコンポーネントとして使用できます。詳細については、最新バージョンの『VMware Workspace ONE Access Connector のインストール』を参照してください。

    ユーザー認証サービスを使用してディレクトリのユーザーを認証する場合は、ユーザー認証サービス コンポーネントもインストールします。

  • Workspace ONE Access コンソールの [設定] > [ユーザー属性] ページで、必須のユーザー属性を選択し、必要に応じてカスタムの属性を追加します。Workspace ONE Access のユーザー属性の管理を参照してください。次の考慮事項に留意してください。
    • ユーザー属性が必要な場合は、同期するユーザー全員に対してユーザー属性の値を設定する必要があります。その属性の値がないユーザーは同期されません。
    • 属性は、すべてのディレクトリに適用されます。
    • Workspace ONE Access サービスで 1 つ以上のディレクトリを構成すると、属性に必須のマークを付けることができなくなります。
  • Active Directory から同期するユーザーとグループのリストを作成します。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
  • [グローバル カタログ] オプションを使用して [LDAP 経由の Active Directory] タイプのディレクトリを作成する場合は、Workspace ONE Access テナント内の他のディレクトリがグローバル カタログ ディレクトリと同じドメインのユーザーを同期していないことを確認する必要があります。競合が発生すると、同期に失敗する可能性があります。
  • LDAP 経由の Active Directory の場合、ベース DN、およびバインド ユーザー DN とパスワードが必要となります。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • 統合 Windows 認証を使用する Active Directory の場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラの中間(使用されている場合)およびルート CA 証明書が必要です。ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
    注: タイプが [統合 Windows 認証を使用する Active Directory] のディレクトリでは、SASL Kerberos バインドが自動的に暗号化に使用されます。証明書は不要です。
  • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
  • 統合 Windows 認証を使用する Active Directory の場合:
    • SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
    • ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。
  • Workspace ONE Access Connector が FIPS モードで実行されている場合は、追加の要件と前提条件が適用されます。使用しているコネクタのバージョンについては、Workspace ONE Access Connector および FIPS モードを参照してください。

手順

  1. Workspace ONE Access コンソールで、[統合] > [ディレクトリ] の順に選択します。
  2. [ディレクトリを追加] ドロップダウン メニューで [Active Directory] を選択します。
    [ディレクトリを追加] ドロップダウンの選択肢は、[Active Directory]、[LDAP ディレクトリ]、[ローカル ユーザー ディレクトリ] です。
  3. [ディレクトリ情報] セクションで、次の情報を入力します。
    オプション 説明
    ディレクトリ名 Workspace ONE Access ディレクトリの名前を入力します。
    タイプ ディレクトリのタイプを [LDAP 経由の Active Directory][統合 Windows 認証を使用する Active Directory] から選択します。
  4. ディレクトリ タイプとして [LDAP 経由の Active Directory] を選択した場合は、[ディレクトリの構成] セクションで次の手順を実行します。もう一方を選択した場合は、その次の手順に進みます。
    1. [ディレクトリの同期と認証] セクションで、次のように選択します。
      オプション 説明
      ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されているすべてのディレクトリ同期サービス インスタンスが一覧表示されます。選択できるインスタンスはアクティブ状態のものに限られます。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] タブからリストの順序を変更できます。
      認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [このディレクトリのパスワード認証を設定] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。このオプションを選択すると、認証方法がパスワード(クラウド デプロイ)で [IDP for directoryName] という名前で組み込みタイプの ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [後で認証方法を追加] を選択します。ユーザー認証サービスを後で使用する場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。これを行う場合は、[統合] > [ID プロバイダ] ページで、[追加] > [組み込み IDP] を選択して、ディレクトリに新しい ID プロバイダを作成します。[Built-in] という名前の事前に作成された ID プロバイダを使用することは推奨されません。
      ユーザー認証ホスト このオプションは、[認証][このディレクトリのパスワード認証を設定] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。
      ユーザー名 ユーザー名を含むアカウントの属性を選択します。
      外部 ID

      Workspace ONE Access ディレクトリ内のユーザーの一意の ID として使用する属性。デフォルト値は objectGUID です。

      外部 ID は、次のいずれかの属性に設定できます。

      • sAMAccountName や distinguishedName などの任意の文字列属性
      • objectSid、objectGUID、または mS-DS-ConsistencyGuid などのバイナリ属性

      外部 ID 設定は、Workspace ONE Access のユーザーのみに適用されます。グループの場合、外部 ID は常に objectGUID に設定され、変更することはできません。

      重要: すべてのユーザーには、属性に対して空でない一意の値が定義されている必要があります。値は、 Workspace ONE Access テナント全体で一意である必要があります。属性に値が設定されていないユーザーがいる場合、ディレクトリは同期されません。
      重要: 外部 ID を Active Directory の属性 objectGUID または mS-DS-ConsistencyGuid に設定する場合、すべてのユーザーのこの属性の値(長さはちょうど 16 バイト)が空でないことが必要です。

      また、[外部 ID] テキスト ボックスには Active Directory の正しい属性名を大文字と小文字を区別して指定してください。名前が Active Directory の属性名と一致しない場合、null 値が返され、ディレクトリ同期は失敗します。たとえば、Active Directory で mS-DS-ConsistencyGuid 属性を使用し、外部 ID を ms-DS-ConsistencyGuid に設定すると、ディレクトリ同期は成功しません。

      外部 ID を設定するときは、次の点に注意してください。

      • Workspace ONE Access を Workspace ONE UEM と統合する場合は、両方の製品で外部 ID が同じ属性に設定されているようにしてください。
      • 外部 ID は、ディレクトリの作成後に変更できます。ただし、ユーザーを Workspace ONE Access に同期する前に外部 ID を設定することがベスト プラクティスです。外部 ID を変更すると、ユーザーは再作成されます。その結果、すべてのユーザーがログアウトされるので、再度ログインする必要があります。また、Web アプリケーションと ThinApp のユーザー資格を再構成する必要があります。Horizon、Horizon Cloud、Citrix の資格が削除され、次回の資格同期で再作成されます。
      • 外部 ID オプションは、Workspace ONE Access コネクタ バージョン 20.10 以降で使用できます。Workspace ONE Access サービスに関連付けられたすべてのコネクタは、バージョン 20.10 以降である必要があります。バージョンの異なるコネクタがサービスに関連付けられている場合、外部 ID オプションは表示されません。
    2. [サーバの場所] オプションと [暗号化] オプションを設定するには、次の選択肢から選択します。
      オプション 説明
      Active Directory で DNS サービス ロケーション ルックアップを使用する場合 このオプションを使用すると、Workspace ONE Access は最適なドメイン コントローラを見つけて使用します。最適化されたドメイン コントローラの選択を使用しない場合は、このオプションを選択しないでください。
      1. [サーバの場所] で、[このディレクトリは DNS サービス ロケーションをサポートします] チェック ボックスをオンにします。
      2. Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[暗号化] セクションで、[すべての接続に STARTTLS が必要です] チェック ボックスをオンにします。
        注: [このディレクトリは DNS サービス ロケーションをサポートします] オプションが選択されている場合は、ポート 389 を介した暗号化で STARTTLS が使用されます。 [このディレクトリは DNS サービス ロケーションをサポートします] オプションが選択されていない場合は、ポート 636 を介した暗号化で LDAPS が使用されます。
      3. ドメイン コントローラの中間証明書(使用されている場合)およびルート CA 証明書をコピーして、[SSL 証明書] テキスト ボックスに貼り付けます。まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。それぞれの証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間-ルート CA 証明書チェーンを 1 つずつ入力していきます。

        例:

        -----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 2>
...
-----END CERTIFICATE-----
        注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
      Active Directory の DNS サービス ロケーション ルックアップを使用しない場合
      1. [サーバの場所] セクションで、[このディレクトリは DNS サービス ロケーションをサポートします] チェック ボックスがオンになっていないことを確認して、Active Directory サーバのホスト名とポート番号をテキスト ボックス [サーバ ホスト][サーバ ポート] に入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory と Workspace ONE Access の統合の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      2. Active Directory で SSL/TLS 経由のアクセスを必要とする場合は、[暗号化] セクションで、[すべての接続に LDAPS が必要です] チェック ボックスをオンにします。
        注: [このディレクトリは DNS サービス ロケーションをサポートします] オプションが選択されている場合は、ポート 389 を介した暗号化で STARTTLS が使用されます。 [このディレクトリは DNS サービス ロケーションをサポートします] オプションが選択されていない場合は、ポート 636 を介した暗号化で LDAPS が使用されます。
      3. ドメイン コントローラの中間証明書(使用されている場合)およびルート CA 証明書をコピーして、[SSL 証明書] テキスト ボックスに貼り付けます。まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。
        注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
      ディレクトリをグローバル カタログとして統合する場合
      1. [サーバの場所] セクションで、[このディレクトリは DNS サービス ロケーションをサポートします] オプションを選択解除します。
      2. [このディレクトリには、グローバル カタログがあります] オプションを選択します。
      3. [サーバ ホスト] テキスト ボックスに、Active Directory サーバのホスト名を入力します。
      4. [サーバ ポート] は 3268 に設定されています。[暗号化] セクションで SSL/TLS を選択すると、ポートは 3269 に設定されます。
      5. Active Directory で SSL/TLS 経由のアクセスを必要とする場合は、[暗号化] セクションでオプション [すべての接続に LDAPS が必要です] を選択します。
      6. ドメイン コントローラの中間証明書(使用されている場合)およびルート CA 証明書をコピーして、[SSL 証明書] テキスト ボックスに貼り付けます。まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。
    3. [バインド ユーザーの詳細] セクションで、次の情報を入力します。
      オプション 説明
      ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: ベース DN は認証に使用されます。ベース DN の下にいるユーザーのみが認証を受けることができます。後で同期のために指定したグループ DN とユーザー DN が、このベース DN の下にあることを確認します。
      注: ディレクトリをグローバル カタログとして追加する場合、ベース DN は必要なく、このオプションは表示されません。
      バインド ユーザー DN ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
      バインド ユーザー パスワード バインド ユーザーのパスワードです。
  5. ディレクトリ タイプに [統合 Windows 認証を使用する Active Directory] を選択した場合は、[ディレクトリの構成] セクションで次の手順を実行します。
    1. [ディレクトリの同期と認証] セクションで、次のように選択します。
      オプション 説明
      ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてディレクトリ同期サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] タブからリストの順序を変更できます。
      認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [このディレクトリのパスワード認証を設定] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。このオプションを選択すると、認証方法がパスワード(クラウド デプロイ)で [IDP for directory] という名前で組み込みタイプの ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [後で認証方法を追加] を選択します。ユーザー認証サービスを後で使用する場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。これを行う場合は、[統合] > [ID プロバイダ] ページで、[追加] > [組み込み IDP] を選択して、ディレクトリに新しい ID プロバイダを作成します。[Built-in] という名前の事前に作成された ID プロバイダを使用することは推奨されません。
      ユーザー認証ホスト このオプションは、[認証][このディレクトリのパスワード認証を設定] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。
      ユーザー名 ユーザー名を含むアカウントの属性を選択します。
      外部 ID

      Workspace ONE Access ディレクトリ内のユーザーの一意の ID として使用する属性。デフォルト値は objectGUID です。

      外部 ID は、次のいずれかの属性に設定できます。

      • sAMAccountName や distinguishedName などの任意の文字列属性
      • objectSid、objectGUID、または mS-DS-ConsistencyGuid などのバイナリ属性

      外部 ID 設定は、Workspace ONE Access のユーザーのみに適用されます。グループの場合、外部 ID は常に objectGUID に設定され、変更することはできません。

      重要: すべてのユーザーには、属性に対して一意の値が定義されている必要があります。値は Workspace ONE Access テナント全体で一意にする必要があります。
      重要: 外部 ID を Active Directory の属性 objectGUID または mS-DS-ConsistencyGuid に設定する場合、すべてのユーザーのこの値(長さはちょうど 16 バイト)が空でないことが必要です。

      また、[外部 ID] テキスト ボックスには Active Directory の正しい属性名を大文字と小文字を区別して指定してください。名前が Active Directory の属性名と一致しない場合、null 値が返され、ディレクトリ同期は失敗します。たとえば、Active Directory で mS-DS-ConsistencyGuid 属性を使用し、外部 ID を ms-DS-ConsistencyGuid に設定すると、ディレクトリ同期は成功しません。

      外部 ID を設定するときは、次の点に注意してください。

      • Workspace ONE Access を Workspace ONE UEM と統合する場合は、両方の製品で外部 ID が同じ属性に設定されていることを確認してください。
      • 外部 ID は、ディレクトリの作成後に変更できます。ただし、ユーザーを Workspace ONE Access に同期する前に、外部 ID を設定することが推奨されるベスト プラクティスです。外部 ID を変更すると、ユーザーは再作成されます。その結果、すべてのユーザーがログアウトされるので、再度ログインする必要があります。また、Web アプリケーションと ThinApp のユーザー資格を再構成する必要があります。Horizon、Horizon Cloud、Citrix の資格が削除され、次回の資格同期で再作成されます。
      • 外部 ID オプションは、Workspace ONE Access Connector バージョン 20.10 以降で使用できます。Workspace ONE Access サービスに関連付けられているすべてのコネクタは、バージョン 20.10 以降である必要があります。バージョンの異なるコネクタがサービスに関連付けられている場合、外部 ID オプションは表示されません。
    2. [暗号化] オプションに対するアクションは必要ありません。タイプが [統合 Windows 認証を使用する Active Directory] のディレクトリは、自動的に SASL Kerberos バインドを使用し、LDAPS または STARTTLS を選択する必要はありません。
    3. [バインド ユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードを入力します。ユーザー名を sAMAccountName@domain として入力します。ここで、domain は完全修飾ドメイン名です。たとえば、[email protected] のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  6. [保存] をクリックします。
  7. [ドメインの選択] セクションでドメインを選択し、[保存] をクリックします。
    • タイプが [LDAP 経由の Active Directory] のディレクトリの場合、ドメインのリストが表示されます。Workspace ONE Access ディレクトリに関連付けるためのドメインを選択します。
    • タイプが [統合 Windows 認証を使用する Active Directory] のディレクトリの場合、Workspace ONE Access ディレクトリに関連付けるドメインを選択します。ベース ドメインとの双方向の信頼関係があるすべてのドメインが一覧表示されます。

      Workspace ONE Access ディレクトリが作成された後に、ベース ドメインとの双方向の信頼関係があるドメインが Active Directory に追加される場合は、ディレクトリの [同期設定] > [ドメイン] タブから追加できます。

      ヒント: すべてのドメインを一度に選択するのではなく、信頼されているドメインを 1 つずつ選択します。このアプローチにより、ドメイン保存の実行時間が長くなってタイムアウトする可能性がなくなります。ドメインを順番に選択すると、ディレクトリ同期サービスでは、解決しようとするドメインを 1 つのみにして時間を費やすようになります。
    • [グローバル カタログ] オプションを選択して「LDAP 経由の Active Directory」ディレクトリを作成する場合、[ドメインの選択] セクションは表示されません。
  8. [ユーザー属性のマップ] セクションで、Workspace ONE Access ディレクトリ属性を Active Directory 属性にマッピングし、[保存] をクリックします。

    [設定] > [ユーザー属性] ページからは、属性を追加したり、必須属性のリストを管理したりすることができます。

    重要: 属性に必須のマークが付いている場合は、同期するユーザー全員に対して属性の値を設定する必要があります。必須属性の値が欠落しているユーザー レコードは同期されません。
  9. [グループの同期] セクションで、同期するグループを追加します。詳細については、Workspace ONE Access ディレクトリと同期するユーザーとグループの選択を参照してください。
  10. [ユーザーの同期] セクションで、同期するユーザーを追加します。詳細については、Workspace ONE Access ディレクトリと同期するユーザーとグループの選択を参照してください。
  11. [同期間隔] セクションで、同期スケジュールをセットアップしてユーザーとグループを定期的に同期するか、スケジュールを設定しない場合は [同期間隔] ドロップダウン メニューで [手動] を選択します。
    この時間は UTC で設定されます。
    ヒント: ディレクトリの同期にかかる時間よりも長い同期間隔をスケジュール設定します。次回の同期をスケジューリングするときにユーザーとグループがディレクトリに同期されている場合、新しい同期は前の同期の終了直後に開始されます。
    [手動] を選択する場合、ディレクトリを同期するときは常にディレクトリ ページで [同期] > [セーフガードを使用した同期] または [同期] > [セーフガードを使用しない同期] を選択する必要があります。
  12. [保存] をクリックしてディレクトリを作成するか、[保存と同期] をクリックしてディレクトリを作成し同期を開始します。

結果

Active Directory への接続が確立されます。[保存と同期] をクリックすると、ユーザーとグループ名が Active Directory から Workspace ONE Access ディレクトリに同期されます。

グループの同期方法の詳細については、『VMware Workspace ONE Access の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

  • [認証] オプションを [このディレクトリのパスワード認証を設定] に設定すると、[directoryname の IDP] という名前の ID プロバイダおよびパスワード(クラウド デプロイ)認証方法がディレクトリに自動作成されます。これらは、[統合] > [ID プロバイダ] ページおよび [統合] > [認証方法] ページで確認できます。[コネクタ認証方法] ページと [認証方法] ページでは、ディレクトリの認証方法をさらに作成することもできます。認証方法の作成の詳細については、Workspace ONE Access でのユーザー認証方法の管理を参照してください。
  • [リソース] > [ポリシー] ページでデフォルトのアクセス ポリシーを確認します。
  • 同期のセーフガードのデフォルト設定を確認し、必要に応じて変更します。詳細については、Workspace ONE Access でのディレクトリ同期のセーフガードの設定を参照してください。