Active Directory または LDAP ディレクトリを Workspace ONE Access に統合する場合は、同期するユーザー DN を指定します。ユーザー DN にフィルタを適用して、特定のユーザーを含めるか除外することができます。

DN に Workspace ONE Access と同期する必要のない不要なユーザー オブジェクトが含まれている場合は、LDAP フィルタを指定してクエリを絞り込むか、クエリの実行後にオブジェクトを除外することができます。使用するオプションは、特定のシナリオによって異なります。DN 内の多数のオブジェクトを除外する必要がある場合は、DN で包含フィルタを使用することでクエリと同期のプロセスが効率的になります。これは、Workspace ONE Access が Active Directory または LDAP ディレクトリから余分なオブジェクトを取得する必要がないためです。一方、一部のオブジェクトのみを除外する必要がある場合は、除外フィルタを使用できます。除外フィルタは、Active Directory または LDAP ディレクトリからすべてのユーザー オブジェクトを取得した後に適用されます。

注: 包含フィルタは Workspace ONE Access Connector 20.10 以降で使用できます。

包含フィルタの使用

包含フィルタを指定するには、フィルタを適用するユーザー DN にセミコロンを追加してから、フィルタを入力します。LDAP 検索フィルタの標準構文を使用します。たとえば、DN が CN=Users,DC=sales,DC=example,DC=com の場合、有効なユーザーのみを同期するには、次のクエリを使用します。

CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))

[ユーザー DN] テキスト ボックスに、ユーザー DN を入力し、その後にセミコロンとフィルタを入力します。

クエリが有効かどうかを確認し、同期されるユーザー数を確認するには、[テスト] ボタンをクリックします。

フィルタを指定しない場合、Workspace ONE Access はデフォルトで次のフィルタを適用します。

  • Active Directory の場合:(&(objectClass=User)(objectCategory=Person))
  • LDAP ディレクトリの場合:Workspace ONE Access で LDAP ディレクトリを作成するときに [LDAP 構成] セクションで指定したフィルタ。

除外フィルタの使用

選択した属性に基づいてユーザーを除外するには、[ユーザーを除外するフィルタを追加] セクションで除外フィルタを作成します。複数の除外フィルタを作成できます。

フィルタリングの基準となるユーザー属性と、定義した値に適用するクエリ フィルタを選択します。

オプション 説明
[次を含む] 設定した属性と値に一致するすべてのユーザーを除外します。たとえば、[name 次を含む Jane] は「Jane」という名前のユーザーを除外します。
[次を含まない] 設定した属性と値に一致するユーザー以外のすべてのユーザーを除外します。たとえば、[telephoneNumber 次を含まない 800] は、電話番号に「800」が含まれるユーザーのみを含めます。
[次で始まる] 属性値が指定の文字で始まるすべてのユーザーを除外します。たとえば、[employeeID 次で始まる ACME0] は、ID 番号の先頭に「ACME0」を含む従業員 ID を持つすべてのユーザーを除外します。
[次で終わる] 属性値が指定の文字で終わるすべてのユーザーを除外します。たとえば、[mail 次で終わる example1.com] は、メール アドレスが「example1.com」で終わるすべてのユーザーを除外します。

値は大文字と小文字を区別しません。値の文字列には、次の記号を使用しないでください。

  • アスタリスク *
  • カレット ^
  • 括弧 ( )
  • 疑問符 ?
  • 感嘆符 !
  • ドル記号 $
たとえば、DN が CN=Users,DC=sales,DC=example,DC=com の場合、無効なユーザーを除外するには、次のフィルタを使用します。
[ユーザーを除外するフィルタを追加] セクションで、除外フィルタを追加します。