Workspace ONE Access コンソールで、Active Directory に接続するために必要な情報を入力し、Workspace ONE Access ディレクトリに同期するユーザーおよびグループを選択します。Active Directory では、LDAP 経由の Active Directory または統合 Windows 認証を使用する Active Directory の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。

前提条件

  • ディレクトリ同期サービスをインストールします。このサービスは、バージョン 20.01.0.0 から始まる Workspace ONE Access Connector のコンポーネントとして使用できます。詳細については、最新バージョンの『VMware Workspace ONE Access Connector のインストール』を参照してください。

    ユーザー認証サービスを使用してディレクトリのユーザーを認証する場合は、ユーザー認証サービス コンポーネントもインストールします。

  • Workspace ONE Access コンソールの [設定] > [ユーザー属性] ページで、必須のユーザー属性を選択し、必要に応じてその他の属性を追加します。Workspace ONE Access のユーザー属性の管理を参照してください。次の考慮事項に留意してください。
    • ユーザー属性が必要な場合は、同期するユーザー全員に対してユーザー属性の値を設定する必要があります。値が設定されていないユーザーは同期されません。
    • 属性は、すべてのディレクトリに適用されます。
    • Workspace ONE Access サービスで 1 つ以上のディレクトリを構成すると、属性に必須のマークを付けることができなくなります。
  • Active Directory から同期する Active Directory のユーザーとグループのリストを作成します。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
    注: Workspace ONE Access Connector バージョン 19.03 以前のバージョンでは、グループ名または distinguishedName 属性に / および $ 文字を使用することはできません。この制限が適用されるのは、グループ DN に追加するグループと、グループ DN には直接追加されず、ネストされたグループ メンバーシップが選択されている場合に親グループの一部として同期されるグループです。

    グループを Workspace ONE Access に同期することを計画していて、Connector バージョン 19.03 以前のバージョンを使用している場合は、グループ名または distinguishedName 属性に / または $ 文字を使用しないでください。

  • [グローバル カタログ] オプションを使用して [LDAP 経由の Active Directory] タイプのディレクトリを作成する場合は、Workspace ONE Access テナント内の他のディレクトリがグローバル カタログ ディレクトリと同じドメインのユーザーを同期していないことを確認する必要があります。競合が発生すると、同期に失敗する可能性があります。
  • LDAP 経由の Active Directory の場合、ベース DN、およびバインド ユーザー DN とパスワードが必要となります。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • 統合 Windows 認証を使用する Active Directory の場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラの中間(使用されている場合)およびルート CA 証明書が必要です。ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
    注: タイプが [統合 Windows 認証を使用する Active Directory] のディレクトリでは、SASL Kerberos バインドが自動的に暗号化に使用されます。証明書は不要です。
  • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
  • 統合 Windows 認証を使用する Active Directory の場合:
    • SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
    • ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。

手順

  1. Workspace ONE Access コンソールで、[統合] > [ディレクトリ] の順に選択します。
  2. [ディレクトリを追加] をクリックし、[Active Directory] を選択します。
  3. Workspace ONE Access ディレクトリの名前を入力します。
  4. 統合する Active Directory のタイプを [LDAP 経由の Active Directory][統合 Windows 認証を使用する Active Directory] から選択します。
  5. [LDAP 経由の Active Directory] を統合する場合は、次の手順を実行します。そうでない場合は、手順 6 に進みます。
    1. [ディレクトリの同期と認証] セクションで、次のように選択します。
      オプション 説明
      ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されているすべてのディレクトリ同期サービス インスタンスが一覧表示されます。選択できるインスタンスはアクティブ状態のもののみです。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。

      認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [はい] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。[はい] を選択すると、パスワード(クラウド デプロイ)認証方法および組み込みタイプの [IDP for directoryName] という名前の ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [いいえ] を選択します。ユーザー認証サービスを後で使用する場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。これを行う場合は、[統合] > [ID プロバイダ] ページで、[ID プロバイダを追加] > [組み込み ID プロバイダを作成] を選択して、ディレクトリに新しい ID プロバイダを作成します。[Built-in] という名前の事前に作成された ID プロバイダを使用することは推奨されません。

      ユーザー認証ホスト このオプションは、[認証][はい] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。

      ユーザー名 ユーザー名を含むアカウントの属性を選択します。
      外部 ID

      Workspace ONE Access ディレクトリ内のユーザーの一意の ID として使用する属性。デフォルト値は objectGUID です。

      外部 ID は、次のいずれかの属性に設定できます。

      • sAMAccountName や distinguishedName などの任意の文字列属性
      • objectSid、objectGUID、または mS-DS-ConsistencyGuid などのバイナリ属性

      外部 ID 設定は、Workspace ONE Access のユーザーのみに適用されます。グループの場合、外部 ID は常に objectGUID に設定され、変更することはできません。

      重要: すべてのユーザーには、属性に対して空でない一意の値が定義されている必要があります。値は Workspace ONE Access テナント全体で一意にする必要があります。属性に値が設定されていないユーザーがいる場合、ディレクトリは同期されません。

      外部 ID を設定するときは、次の点に注意してください。

      • Workspace ONE Access を Workspace ONE UEM と統合する場合は、両方の製品で外部 ID が同じ属性に設定されていることを確認してください。
      • 外部 ID は、ディレクトリの作成後に変更できます。ただし、ユーザーを Workspace ONE Access に同期する前に、外部 ID を設定することをお勧めします。外部 ID を変更すると、ユーザーは再作成されます。その結果、すべてのユーザーがログアウトされるので、再度ログインする必要があります。また、Web アプリケーションと ThinApp のユーザー資格を再構成する必要があります。Horizon、Horizon Cloud、Citrix の資格が削除され、次回の資格同期で再作成されます。
      • 外部 ID オプションは Workspace ONE Access Connector バージョン 20.10 以降および 19.03.0.1 で使用できます。Workspace ONE Access サービスに関連付けられたすべてのコネクタはバージョン 20.10 以降である必要があります。またはすべてバージョン 19.03.0.1 である必要があります。異なるバージョンのコネクタがサービスに関連付けられている場合、外部 ID オプションは表示されません。
    2. [サーバの場所] セクションと [暗号化] セクションで、次のオプションから選択します。
      オプション 説明
      Active Directory で DNS サービス ロケーション ルックアップを使用する場合 このオプションを使用すると、Workspace ONE Access は最適なドメイン コントローラを見つけて使用します。最適化されたドメイン コントローラの選択を使用しない場合は、このオプションを選択しないでください。
      1. [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスを選択します。
      2. Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[暗号化] セクションで、[すべての接続に必要な STARTTLS] チェック ボックスを選択します。
        注: [このディレクトリ は DNS サービス ロケーションをサポートします] オプションが選択されている場合は、ポート 389 を介した暗号化で STARTTLS が使用されます。 [このディレクトリ は DNS サービス ロケーションをサポートします] オプションが選択されていない場合は、ポート 636 を介した暗号化で LDAPS が使用されます。
      3. ドメイン コントローラの中間証明書(使用されている場合)およびルート CA 証明書をコピーして、[SSL 証明書] テキスト ボックスに貼り付けます。まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。それぞれの証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間-ルート CA 証明書チェーンを 1 つずつ入力していきます。

        例:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
      Active Directory の DNS サービス ロケーション ルックアップを使用しない場合
      1. [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory と Workspace ONE Access の統合の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      2. Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[暗号化] セクションで、[すべての接続に必要な LDAPS] チェック ボックスを選択します。
        注: [このディレクトリ は DNS サービス ロケーションをサポートします] オプションが選択されている場合は、ポート 389 を介した暗号化で STARTTLS が使用されます。 [このディレクトリ は DNS サービス ロケーションをサポートします] オプションが選択されていない場合は、ポート 636 を介した暗号化で LDAPS が使用されます。
      3. ドメイン コントローラの中間証明書(使用されている場合)およびルート CA 証明書をコピーして、[SSL 証明書] テキスト ボックスに貼り付けます。まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。
        注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
      ディレクトリをグローバル カタログとして統合する場合
      1. [サービス ロケーション] セクションで、[このディレクトリは DNS サービス ロケーションをサポートします] オプションを選択解除します。
      2. [このディレクトリには、グローバル カタログがあります] オプションを選択します。
      3. [サーバ ホスト] テキスト ボックスに、Active Directory サーバのホスト名を入力します。
      4. [サーバ ポート] は 3268 に設定されています。[暗号化] セクションで SSL/TLS を選択すると、ポートは 3269 に設定されます。
      5. Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[暗号化] セクションで [すべての接続に必要な LDAPS] を選択します。
      6. ドメイン コントローラの中間証明書(使用されている場合)およびルート CA 証明書をコピーして、[SSL 証明書] テキスト ボックスに貼り付けます。まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。
    3. [バインド ユーザーの詳細] セクションで、次の情報を入力します。
      オプション 説明
      ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: ベース DN は認証に使用されます。ベース DN の下にいるユーザーのみが認証を受けることができます。後で同期のために指定したグループ DN とユーザー DN が、このベース DN の下にあることを確認します。
      注: ディレクトリをグローバル カタログとして追加する場合、ベース DN は必要なく、このオプションは表示されません。
      バインド ユーザー DN ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
      バインド ユーザー パスワード バインド ユーザーのパスワードです。
  6. [統合 Windows 認証を使用する Active Directory] を統合する場合は、次の手順を実行します。
    1. [ディレクトリの同期と認証] セクションで、次のように選択します。
      オプション 説明
      ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてディレクトリ同期サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。

      認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [はい] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。[はい] を選択すると、パスワード(クラウド デプロイ)認証方法および組み込みタイプの [IDP for directory] という名前の ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [いいえ] を選択します。後で考えが変わった場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。これを行う場合は、[統合] > [ID プロバイダ] ページで、[ID プロバイダを追加] > [組み込み ID プロバイダを作成] を選択して、ディレクトリに新しい ID プロバイダを作成します。[Built-in] という名前の事前に作成された ID プロバイダを使用することは推奨されません。

      ユーザー認証ホスト このオプションは、[認証][はい] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。

      ユーザー名 ユーザー名を含むアカウントの属性を選択します。
      外部 ID

      Workspace ONE Access ディレクトリ内のユーザーの一意の ID として使用する属性。デフォルト値は objectGUID です。

      外部 ID は、次のいずれかの属性に設定できます。

      • sAMAccountName や distinguishedName などの任意の文字列属性
      • objectSid、objectGUID、または mS-DS-ConsistencyGuid などのバイナリ属性

      外部 ID 設定は、Workspace ONE Access のユーザーのみに適用されます。グループの場合、外部 ID は常に objectGUID に設定され、変更することはできません。

      重要: すべてのユーザーには、属性に対して一意の値が定義されている必要があります。値は Workspace ONE Access テナント全体で一意にする必要があります。

      外部 ID を設定するときは、次の点に注意してください。

      • Workspace ONE Access を Workspace ONE UEM と統合する場合は、両方の製品で外部 ID が同じ属性に設定されていることを確認してください。
      • 外部 ID は、ディレクトリの作成後に変更できます。ただし、ユーザーを Workspace ONE Access に同期する前に、外部 ID を設定することをお勧めします。外部 ID を変更すると、ユーザーは再作成されます。その結果、すべてのユーザーがログアウトされるので、再度ログインする必要があります。また、Web アプリケーションと ThinApp のユーザー資格を再構成する必要があります。Horizon、Horizon Cloud、Citrix の資格が削除され、次回の資格同期で再作成されます。
      • 外部 ID オプションは Workspace ONE Access Connector バージョン 20.10 以降および 19.03.0.1 で使用できます。Workspace ONE Access サービスに関連付けられたすべてのコネクタはバージョン 20.10 以降である必要があります。またはすべてバージョン 19.03.0.1 である必要があります。異なるバージョンのコネクタがサービスに関連付けられている場合、外部 ID オプションは表示されません。
    2. [暗号化] セクションでのアクションは不要です。タイプが [統合 Windows 認証を使用する Active Directory] のディレクトリは、自動的に SASL Kerberos バインドを使用し、LDAPS または STARTTLS を選択する必要はありません。
    3. [バインド ユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードを入力します。ユーザー名を sAMAccountName@domain として入力します。ここで、domain は完全修飾ドメイン名です。たとえば、jdoe@example.com のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  7. [保存して次へ] をクリックします。
  8. [ドメインを選択] ページで、該当する場合はドメインを選択してから、[次へ] をクリックします。
    • タイプが [LDAP 経由の Active Directory] のディレクトリの場合、ドメインのリストが表示されますが、すでに選択されています。
    • タイプが [統合 Windows 認証を使用する Active Directory] のディレクトリの場合、この Active Directory 接続に関連付ける必要があるドメインを選択します。ベース ドメインとの双方向の信頼関係があるすべてのドメインが一覧表示されます。

      Workspace ONE Access ディレクトリが作成された後に、ベース ドメインとの双方向の信頼関係があるドメインが Active Directory に追加される場合は、ディレクトリの [同期設定] > [ドメイン] ページから追加できます(更新アイコンをクリックして最新のリストを取得)。

      ヒント: すべてのドメインを一度に選択するのではなく、信頼されているドメインを 1 つずつ選択します。こうすることにより、ドメイン保存の実行時間が長くなってタイムアウトする可能性がなくなります。ドメインを順番に選択すると、ディレクトリ同期サービスでは、解決しようとするドメインを 1 つのみにして時間を費やすようになります。
    • [グローバル カタログ] オプションを選択して「LDAP 経由の Active Directory」ディレクトリを作成する場合、[ドメイン] タブは表示されません。
  9. [ユーザー属性のマップ] ページで、Workspace ONE Access ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。
    重要: 属性に必須のマークが付いている場合は、同期するユーザー全員に対して属性の値を設定する必要があります。必須属性の値が欠落しているユーザー レコードは同期されません。
  10. Workspace ONE Access ディレクトリと同期するユーザーとグループの選択の指示に従って、[同期するグループを選択します] ページでグループを追加し、[同期するユーザーを選択] ページでユーザーを追加します。
  11. [同期間隔] ページで、同期スケジュールをセットアップしてユーザーとグループを定期的に同期するか、スケジュールを設定しない場合は [同期間隔] ドロップダウン リストで [手動] を選択します。
    この時間は UTC で設定されます。
    ヒント: 同期の間隔は同期する時間より長くなるようにスケジュールします。次回の同期をスケジューリングするときにユーザーとグループがディレクトリに同期されている場合、新しい同期は前の同期の終了直後に開始されます。
    [手動] を選択した場合は、ディレクトリを同期するたびに、[ディレクトリ] ページの [同期] ボタンをクリックする必要があります。
  12. [保存] をクリックしてディレクトリを作成するか、[ディレクトリ同期] をクリックしてディレクトリを作成し同期を開始します。

結果

Active Directory への接続が確立されます。[ディレクトリ同期] をクリックすると、ユーザーとグループ名が Active Directory から Workspace ONE Access ディレクトリに同期されます。

グループの同期方法の詳細については、『VMware Workspace ONE Access の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

  • [認証] オプションを [はい] に設定すると、[directoryname の IDP] という名前の ID プロバイダおよびパスワード(クラウド デプロイ)認証方法がディレクトリに自動作成されます。これらは、[統合] > [ID プロバイダ] ページおよび [統合] > [認証方法] ページで確認できます。[認証方法] ページでは、ディレクトリの認証方法をさらに作成することもできます。認証方法の作成の詳細については、Workspace ONE Access でのユーザー認証方法の管理を参照してください。
  • [リソース] > [ポリシー] ページでデフォルトのアクセス ポリシーを確認します。
  • 同期のセーフガードのデフォルト設定を確認し、必要に応じて変更します。詳細については、Workspace ONE Access でのディレクトリ同期のセーフガードの設定を参照してください。