Workspace ONE Access では、タイプが [Active Directory] および [LDAP] のディレクトリの場合、ディレクトリの [同期設定] ページの [ユーザーとグループ] タブで同期対象として選択したユーザーとグループを表示および変更できます。

グループを追加するときは、常に次の考慮事項に留意してください。

  • ベスト プラクティスとして、最初は少数のグループを追加して同期します。初期セットアップの後なら、さらにグループを追加できます。
  • グループが追加され同期されると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。
    注: この制限をオーバーライドするには、 [ID とアクセス管理] > [セットアップ] > [設定] ページで [グループを追加するときにグループ メンバーをディレクトリに同期] を有効にします。
  • グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。

ユーザーを追加するときは、常に次の考慮事項に留意してください。

  • グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
  • [バインドの詳細] セクションで指定したバインド ユーザーは、デフォルトでは Workspace ONE Access サービスに同期されません。バインド ユーザーを同期する場合は、[ユーザー] タブでバインド ユーザー DN を入力します。ディレクトリが同期されてから、必要に応じてバインド ユーザーのロールを設定します。

手順

  1. [ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動します。
  2. 更新するディレクトリをクリックします。
  3. [同期設定] をクリックし、[グループ] タブを選択します。
    このページには、以前に追加したグループ DN と、各グループ DN で同期対象として選択されたグループの数が表示されます。
  4. [選択] をクリックして、グループ DN の下のグループのリストを表示し、必要に応じてグループを選択または選択解除します。
  5. グループ DN を追加するには、次の手順を実行します。
    1. [トップレベル グループを指定] 行で [+] をクリックし、トップレベル グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      ヒント: 検索に長い時間がかかるため、検索するのにベース DN などの上位 DN を入力することは推奨されません。検索には、より具体的な DN を入力するようにします。
      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. 追加したグループ DN の下のすべてのグループを選択する場合は、[すべてを選択] チェック ボックスを選択します。
      ディレクトリを作成してから Active Directory のグループ DN に対しグループの追加または削除をした場合、その変更はそれ以降の同期で反映されます。
    3. グループ DN の下で、すべてではなく特定のグループを選択する場合は、[グループを選択] をクリックして選択を行ってから、[保存] をクリックします。
      [グループを選択] をクリックすると、DN にあるすべてのグループが一覧表示されます。検索する語句を検索ボックスに入力すると、検索結果を絞り込んだり、特定のグループを検索したりできます。
    4. 必要に応じて、[ネストされたグループ メンバーを同期] オプションを選択または選択解除します。
      [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。 Workspace ONE Access ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

      [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  6. [保存] をクリックします。
  7. [ユーザー] タブをクリックして、同期するユーザーを選択します。
    1. [ユーザー DN を指定] 行で [+] をクリックし、ユーザー DN を入力します。例:

      CN=username,CN=Users,OU=myUnit,DC=example,DC=com

      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

      ユーザー DN が有効かどうかを確認し、同期されるユーザー数を確認するには、その行の [テスト] ボタンをクリックします。

    2. 必要に応じて、DN にユーザーを含めるか除外するフィルタを指定します。
      詳細については、 Workspace ONE Access でのディレクトリ同期のフィルタの指定を参照してください。