他のディレクトリを LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory に変換する

Workspace ONE Access では、Workspace ONE UEM から同期されたユーザーとグループを保存する、タイプが [その他] のディレクトリを、Workspace ONE Access Connector に関連付けられている、タイプが [LDAP 経由の Active Directory] または [統合 Windows 認証を使用する Active Directory] のディレクトリに変換できます。ディレクトリを変換した後、Workspace ONE Access Connector のディレクトリ同期サービスが ACC の代わりに使用され、ユーザーとグループがエンタープライズディレクトリから Workspace ONE Access サービスに同期されます。

前提条件

バージョン 20.01.0.0 から始まる Workspace ONE Access Connector のコンポーネントであるディレクトリ同期サービスとユーザー認証サービスをインストールします。詳細については、最新バージョンの『VMware Workspace ONE Access Connector のインストール』を参照してください。
次の Active Directory 情報が必要です。
- LDAP 経由の Active Directory に変換する場合、ベース DN、およびバインドユーザー DN とパスワードが必要です。
  バインドユーザーがユーザーおよびグループオブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
  - 読み取り
  - すべてのプロパティの読み取り
  - アクセス許可の読み取り
  有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。
- 統合 Windows 認証を使用する Active Directory に変換する場合、必要なドメインのユーザーとグループをクエリする権限を持つバインドユーザーのユーザー名とパスワードが必要です。
  バインドユーザーがユーザーおよびグループオブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
  - 読み取り
  - すべてのプロパティの読み取り
  - アクセス許可の読み取り
  有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。
- Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメインコントローラの中間（使用されている場合）およびルート CA 証明書が必要です。ドメインコントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
- 統合 Windows 認証を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。
- 統合 Windows 認証を使用する Active Directory の場合：
  - SRV レコードのリストに含まれるすべてのドメインコントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
  - ネットワーク接続で、すべてのドメインコントローラにアクセスできる必要があります。

手順

Workspace ONE Access コンソールで、[統合] > [ディレクトリ] の順に選択します。
変換するディレクトリをクリックします。
[ディレクトリ] ページで、[変換] をクリックします。
必要に応じてディレクトリの名前を変更し、[その他] のディレクトリの変換先のディレクトリのタイプを、[LDAP 経由の Active Directory] と [統合 Windows 認証を使用する Active Directory] から選択します。
Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。
プロセスは、新しいディレクトリを作成する場合と同じです。詳細については、 Workspace ONE Access での Active Directory 接続の構成を参照してください。
ディレクトリをセットアップするときは、次のガイドラインに従ってください。
- [ディレクトリの同期と認証] セクションの [ディレクトリ同期ホスト] で、インストールしたディレクトリ同期サービスを選択します。
  ディレクトリ同期サービスがインストールされているすべてのコネクタインスタンスが一覧表示されます。複数のインスタンスを選択できます。Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します（以降同様）。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。
- [認証] には、[このディレクトリのパスワード認証を設定] を選択します。続いて、[ユーザー認証ホスト] で認証に使用するユーザー認証サービスインスタンスを選択します。
- 変換されたディレクトリを Workspace ONE UEM ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は Workspace ONE UEM ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。
- 外部 ID が Workspace ONE UEM で設定されているものと同じ属性に設定されていることを確認します。
ウィザードの最後のページで、[保存と同期] をクリックします。
ディレクトリが変換され、ディレクトリ同期サービスを使用してユーザーとグループを同期するようセットアップされます。 [認証] オプションを [このディレクトリのパスワード認証を設定] に設定すると、 [directoryname の IDP] という名前の ID プロバイダおよびパスワード（クラウドデプロイ）認証方法がディレクトリに自動作成されます。
（オプション）ディレクトリで他の認証方法を設定するには、[統合] > [コネクタ認証方法] ページに移動して、ディレクトリの認証方法を作成します。
詳細については、 Workspace ONE Access でのユーザー認証方法の管理を参照してください。
default_access_policy_set とカスタムポリシーを編集して、パスワード (AirWatch Connector) 認証方法をパスワード（クラウドデプロイ）で置き換えます。
1. [リソース] > [ポリシー] の順に選択します。
2. [デフォルトポリシーの編集] をクリックし、ポリシーの編集ウィザードで [構成] をクリックします。
3. 各ポリシールールを編集し、[パスワード (AirWatch Connector)] 認証方法を [パスワード (クラウドデプロイ)] で置き換えます。
4. [ポリシー] ページで、カスタムポリシーがあれば編集して、[パスワード (AirWatch Connector)] 認証方法を [パスワード (クラウドデプロイ)] で置き換えます。
5. （オプション）必要に応じて、追加の認証方法を使用するようにポリシーを変更します。
重要：パスワード (AirWatch Connector) をパスワード（クラウドデプロイ）または別のユーザー認証サービスの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のタスク

Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。