Workspace ONE Access では、Workspace ONE UEM から同期されたユーザーとグループを保存する、タイプが [その他] のディレクトリを、Workspace ONE Access Connector に関連付けられている、タイプが [LDAP 経由の Active Directory] または [統合 Windows 認証を使用する Active Directory] のディレクトリに変換できます。ディレクトリを変換した後、Workspace ONE Access Connector のディレクトリ同期サービスが ACC の代わりに使用され、ユーザーとグループがエンタープライズ ディレクトリから Workspace ONE Access サービスに同期されます。

前提条件

  • バージョン 20.01.0.0 から始まる Workspace ONE Access Connector のコンポーネントであるディレクトリ同期サービスとユーザー認証サービスをインストールします。詳細については、最新バージョンの『VMware Workspace ONE Access Connector のインストール』を参照してください。
  • 次の Active Directory 情報が必要です。
    • LDAP 経由の Active Directory に変換する場合、ベース DN、およびバインド ユーザー DN とパスワードが必要です。

      バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

      • 読み取り
      • すべてのプロパティの読み取り
      • アクセス許可の読み取り

      有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。

    • 統合 Windows 認証を使用する Active Directory に変換する場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。

      バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

      • 読み取り
      • すべてのプロパティの読み取り
      • アクセス許可の読み取り

      有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。

    • Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラの中間(使用されている場合)およびルート CA 証明書が必要です。ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
    • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
    • 統合 Windows 認証を使用する Active Directory の場合:
      • SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
      • ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。

手順

  1. Workspace ONE Access コンソールで、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動します。
  2. 変換するディレクトリをクリックします。
  3. [ディレクトリ] ページで、[変換] ボタンをクリックします。
  4. [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、「その他」のディレクトリの変換先のディレクトリのタイプを、[LDAP 経由の Active Directory][統合 Windows 認証を使用する Active Directory] から選択します。
  5. Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。
    プロセスは、新しいディレクトリを作成する場合と同じです。詳細については、 Workspace ONE Access サービスへの Active Directory 接続の構成を参照してください。

    ディレクトリをセットアップするときは、次のガイドラインに従ってください。

    • [ディレクトリの同期と認証] セクションの [ディレクトリ同期ホスト] で、インストールしたディレクトリ同期サービスを選択します。

      ディレクトリ同期サービスがインストールされているすべてのコネクタ インスタンスが一覧表示されます。複数のインスタンスを選択できます。Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。

    • [認証] で、[はい] を選択します。また、認証に使用するユーザー認証サービス インスタンスを選択します。
    • 変換されたディレクトリを Workspace ONE UEM ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は Workspace ONE UEM ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。
    • 外部 ID が Workspace ONE UEM で設定されているものと同じ属性に設定されていることを確認します。
  6. ウィザードの最後のページで、[ディレクトリ同期] をクリックします。
    ディレクトリが変換され、ディレクトリ同期サービスを使用してユーザーとグループを同期するようセットアップされます。[認証] オプションを [はい] に設定すると、 [directoryname の IDP] という名前の ID プロバイダおよびパスワード(クラウド デプロイ)認証方法がディレクトリに自動作成されます。
  7. (オプション)ディレクトリで他の認証方法を有効にするには、[ID とアクセス管理] > [管理] > [エンタープライズ認証方法] ページに移動して、ディレクトリの認証方法を作成します。
    詳細については、 Workspace ONE Access でのユーザー認証方法の管理を参照してください。
  8. default_access_policy_set とカスタム ポリシーを編集して、パスワード (AirWatch Connector) 認証方法をパスワード(クラウド デプロイ)で置き換えます。
    1. [ID とアクセス管理] > [管理] > [ポリシー] タブに移動します。
    2. [デフォルト ポリシーの編集] をクリックし、ポリシーの編集ウィザードで [構成] をクリックします。
    3. 各ポリシー ルールを編集し、[パスワード (AirWatch Connector)] 認証方法を [パスワード (クラウド デプロイ)] で置き換えます。
    4. [ポリシー] タブを再度クリックし、カスタム ポリシーがあれば編集して、[パスワード (AirWatch Connector)] 認証方法を [パスワード (クラウド デプロイ)] で置き換えます。
    5. (オプション)必要に応じて、追加の認証方法を使用するようにポリシーを変更します。
    重要: パスワード (AirWatch Connector) をパスワード(クラウド デプロイ)または別のユーザー認証サービスの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のタスク

Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。