Workspace ONE Access と Active Directory 環境を連携して、ユーザーとグループを Active Directory から Workspace ONE Access サービスに同期することができます。Active Directory 環境のタイプによって、Workspace ONE Access サービスで作成するディレクトリのタイプが決まります。

Active Directory 環境

Workspace ONE Access サービスは、単一の Active Directory ドメイン、単一の Active Directory フォレスト内の複数のドメイン、または複数の Active Directory フォレストにわたる複数のドメインで構成される Active Directory 環境と統合できます。

単一の Active Directory ドメイン環境

単一の Active Directory ドメイン環境では、単一の Active Directory ドメインからユーザーとグループを同期できます。

この環境では、Workspace ONE Access サービスで [LDAP 経由の Active Directory] または [統合 Windows 認証を使用する Active Directory] のいずれかのタイプのディレクトリを作成できます。

詳細については、次を参照してください。

マルチ ドメイン、シングル フォレストの Active Directory 環境

マルチドメイン、シングル フォレストの Active Directory 環境では、シングル フォレスト内の複数の Active Directory ドメインからユーザーとグループを同期できます。

この環境では、 Workspace ONE Access サービスに、統合 Windows 認証を使用する Active Directory のディレクトリを 1 つ作成するか、[グローバル カタログ] オプションで構成された LDAP 経由の Active Directory のディレクトリを作成します。
  • 推奨されるオプションは、統合 Windows 認証を使用する Active Directory のディレクトリを 1 つ作成することです。

    この環境にディレクトリを追加する場合は、[統合 Windows 認証を使用する Active Directory] オプションを選択します。ディレクトリ内のドメインと、ディレクトリのバインド ユーザーがメンバーになっているドメインとの間に、直接の(非推移的な)双方向の信頼がセットアップされているようにします。

    詳細については、次を参照してください。

  • 統合 Windows 認証が Active Directory 環境で動作しない場合は、LDAP 経由の Active Directory を作成して、[グローバル カタログ] オプションを選択します。

    [グローバル カタログ] オプションを選択するときには、次のようないくつかの制約があります。

    • グローバル カタログに複製される Active Directory のオブジェクト属性は、Active Directory スキーマで部分的な属性セット (PAS) として識別されます。これらの属性のみが、サービスによる属性マッピングで利用できます。必要な場合には、スキーマを編集して、グローバル カタログに保存されている属性を追加または削除します。
    • グローバル カタログには、ユニバーサル グループのグループ メンバーシップ(メンバー属性)のみが保存されます。ユニバーサル グループのみがサービスと同期されます。必要な場合、グループの範囲を、ローカル ドメインまたはグローバルからユニバーサルへと変更できます。
    • サービスでディレクトリを構成するときに定義したバインド DN アカウントには、Token-Groups-Global-And-Universal (TGGAU) 属性の読み取り権限が必要です。
    • ユーザーは、直接またはグループ メンバーシップを使用して、複数の Active Directory ドメインから Workspace ONE Access グローバル カタログ ディレクトリに同期できます。Workspace ONE Access テナントの他のディレクトリが同じドメインからのユーザーを同期していないことを確認する必要があります。そうしないと、競合が発生して同期に失敗する可能性があります。
    • Workspace ONE UEMWorkspace ONE Access と統合され、複数の Workspace ONE UEM 組織グループが構成されている場合、[Active Directory グローバル カタログ] オプションは使用できません。

    Active Directory は、標準の LDAP クエリにポート 389 と 636 を使用します。グローバル カタログ クエリには、ポート 3268 および 3269 が使用されます。

    グローバル カタログ環境でディレクトリを追加するときには、構成時に次の項目を指定します。

    • [LDAP 経由の Active Directory] オプションを選択します。
    • [このディレクトリは DNS サービス ロケーションをサポートします] オプションのチェック ボックスを選択解除します。
    • [このディレクトリには、グローバル カタログがあります] オプションを選択します。このオプションを選択すると、サーバのポート番号が 3268 に自動的に変更されます。また、グローバル カタログ オプションを構成するときにベース DN は不要であるため、[ベース DN] テキスト ボックスは表示されません。
    • Active Directory サーバのホスト名を追加します。
    • Active Directory に SSL 経由でアクセスする必要がある場合、[暗号化] セクションで [すべての接続に必要な LDAPS] オプションを選択して、表示されるテキスト ボックスに証明書をペーストします。このオプションを選択すると、サーバのポート番号が 3269 に自動的に変更されます。

信頼関係があるマルチフォレスト Active Directory 環境

信頼関係があるマルチフォレスト Active Directory 環境では、ドメイン間で双方向に信頼するフォレスト全体で複数の Active Directory ドメインのユーザーとグループを同期できます。Workspace ONE Access サービスで、この Active Directory 環境に、統合 Windows 認証を使用する Active Directory のディレクトリを 1 つ作成します。

この環境にディレクトリを追加する場合は、[統合 Windows 認証を使用する Active Directory] オプションを選択します。ディレクトリ内のドメインと、ディレクトリのバインド ユーザーがメンバーになっているドメインとの間に、直接の(非推移的な)双方向の信頼がセットアップされているようにします。

詳細については、次を参照してください。

信頼関係がないマルチフォレスト Active Directory 環境

信頼関係がないマルチフォレスト Active Directory 環境では、ドメイン間に信頼関係がないフォレスト全体で複数の Active Directory ドメインのユーザーとグループを同期できます。この環境では、各フォレストに対して 1 つディレクトリを作成し、Workspace ONE Access サービス内で複数のディレクトリを作成します。

詳細については、次を参照してください。