ディレクトリ統合を行ってユーザー グループを作成することは、より系統だったデバイス管理を行ううえでメリットがあります。デバイス加入に加え、それ以降の更新、管理、ユーザー管理にいたるまで、貴社の既存のディレクトリ サービス構造と足並みを揃えて行うことができます。

前提条件

ユーザー グループ [タイプ][ディレクトリ] であることを確認します。

手順

  1. [アカウント] > [ユーザー グループ] > [リスト表示] の順に進み、[追加] を選択し、[ユーザー グループを追加] を選択します。
    設定 説明
    [タイプ]

    ユーザー グループのタイプを選択します。

    • [ディレクトリ] – 貴社の既存の Active Directory 構造に沿ってユーザー グループを作成します。
    • [カスタム] – 貴社の既存の Active Directory 構造とは関係なくユーザー グループを作成します。このユーザー グループ タイプでは、ベーシック ユーザーとディレクトリ ユーザーが機能とコンテンツを利用して、貴社の環境に従ってユーザー グループをカスタマイズすることができます。カスタム ユーザー グループを追加できるのはカスタマー レベルの組織グループのみですのでご注意ください。
    [外部タイプ]

    追加するグループの外部タイプを選択します。

    • [グループ] – 貴社のユーザー グループのベースとなるグループ オブジェクト クラスを参照します。このクラスをカスタマイズするには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] > [グループ] の順に進みます。
    • [組織ユニット] – 貴社のユーザー グループのベースとなる組織ユニット オブジェクト クラスを参照します。このクラスをカスタマイズするには、[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] > [グループ] の順に進みます。
    • [カスタム クエリ] – カスタム クエリを実行し、返されたユーザーを含むユーザー グループを作成することもできます。この外部タイプを選択すると、テキスト検索の代わりに、「カスタム クエリ」 セクションが表示されます。
    [検索テキスト]

    貴社のディレクトリ内のユーザーの名前を特定するには、検索条件を入力し、[検索] を選択して検索します。入力した語句がディレクトリ グループの名前に含まれている場合、そのグループ名のリストが表示されます。

    [外部タイプ] として [カスタム クエリ] を選択した場合、このフィールドは使用できません。

    [ディレクトリ名] 貴社のディレクトリ サービス サーバのアドレスが表示されます。この欄は読み取りのみです。

    [ドメイン][グループ ベース DN]

    この情報は、[ディレクトリ サービス] 画面([グループと設定] > [システム] > [ エンタープライズ統合] > [ディレクトリ サービス])で入力したディレクトリ サービス サーバ情報に基づいて自動的に入力されます。

    [グループ ベース DN] の横にある [DN を取得] (+) を選択します。識別名のリストが表示されます。このリストで識別名を選択できます。

    [カスタム オブジェクト クラス]

    クエリを実行するオブジェクト クラスを特定します。既定のオブジェクト クラスは 「person」 ですが、カスタム オブジェクト クラスを提供することで貴社のユーザーを特定する精度を上げることができます。

    この欄は、[外部タイプ] として [カスタム クエリ] を選択した場合のみに表示されます。

    [グループ名]

    [テキスト検索] 結果リストから [グループ名] を選択します。「識別名」 欄の値を変えると、選択されるグループ名も自動で変わります。

    このオプションは、[テキスト検索] 設定を使った検索が正常に行われた後にのみ使用できます。

    [識別名]

    作成しているグループの完全な識別名が表示されます。この欄は読み取りのみです。

    この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

    [カスタム ベース DN]

    ベース識別名を特定します。これはクエリの開始点としての役割を果たします。既定のベース識別名は "AirWatch" および "sso" です。ただし、別の開始点からクエリを実行したい場合は、カスタム ベース識別名を指定できます。

    この欄は、[外部タイプ] として [カスタム クエリ] を選択した場合のみに表示されます。

    [組織グループ割り当て]

    この欄はオプションです。これにより、作成しているユーザー グループを特定の組織グループに割り当てることができます。

    この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

    [ユーザー グループ設定]

    [既定の設定を適用][このユーザー グループに対して、カスタム設定を使用する] のいずれかを選択します。[カスタム設定] セクションに入力欄の追加説明があります。グループを作成した後、権限設定からこれらを構成することができます。

    この欄は、[外部タイプ] として [グループ] または [組織ユニット] を選択した場合のみ表示されます。

    カスタム クエリ - [クエリ] この欄は、[クエリをテスト] ボタンを選択したときと、[続行] ボタンを選択したときに、現在読み込んでいるクエリを表示します。[カスタム ロジック] 欄または [カスタム オブジェクト クラス] 欄の変更はここに反映されます。
    [カスタム ロジック] ユーザー名や管理者名などのカスタム クエリ ロジックはここに追加します。例: "cn=jsmith"。識別名の大部分を含めることも、わずかな部分しか含めないこともできます。[クエリをテスト] ボタンにより、クエリのシンタックスが正しいかを [続行] ボタンをクリックする前に確認することができます。
    カスタム設定 - [管理権限] 作成するユーザー グループを管理する権限を、すべての管理者に許可することも管理権限をブロックすることもできます。
    [既定の役割] ドロップダウン メニューからユーザー グループの既定の役割を選択します。
    [既定の加入ポリシー] ドロップダウン メニューから既定の加入ポリシーを選択します。
    [ディレクトリと自動同期]

    このオプションでディレクトリ同期が有効になり、ディレクトリ サーバからユーザー メンバーシップを検出し、一時テーブルに保管します。[自動融合] チェック ボックスがオフになっている場合、管理者はコンソールに対する変更内容を承認します。

    定期同期時にユーザー グループが自動同期されないようにするには、この設定を無効にする必要があります。

    [変更を自動融合する] 管理者の承認なしにデータベースの変更を自動で適用するようにするにはこのオプションを有効に設定します。
    [Maximum Allowable Changes]

    自動によるユーザーグループ同期の変更数にしきい値を設定する場合はこの欄を使用します。この数を超えると、変更を適用する前に承認が必要になります。

    変更回数がこのしきい値を超えた場合、管理者による承認が必要になります。また、その旨の通知が送信されます。

    この欄は [変更を自動融合する] が有効になっている場合のみに表示されます。

    [グループ メンバーを自動で追加]

    ユーザーをユーザー グループに自動追加するには、この設定を有効にします。

    定期同期時にユーザー グループが自動同期されないようにするには、この設定を無効にする必要があります。

    [不明なユーザーを追加するときにユーザーに E メールを送信する] ユーザー グループに不明なユーザーが追加されている場合に、ユーザーに E メールを送信できるようにします。不明ユーザーを追加するということは、一時ユーザー グループ テーブルと Active Directory テーブルを結合することを意味します。
    [メッセージテンプレート]

    この欄は [不明なユーザーを追加するときにユーザーに Eメールを送信する] が有効になっている場合のみに表示されます。

    不明ユーザーをユーザー グループに追加する際に Eメール通知に使用するメッセージ テンプレートを選択します。

    Active Directory ユーザーを Workspace ONE UEM Console に新規追加する場合、メッセージ テンプレートの可用性は、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入]の順に進み、[認証] を選択して、[デバイス加入モード] オプションでの選択によって構成された登録モードによって決まります。

    [新規加入][デバイス加入モード] として選択されている場合、ユーザー アクティブ化 E メール テンプレートを [ メッセージ テンプレート] ドロップダウンで使用できます。この E メール メッセージは、新しい Active Directory ユーザーの登録を有効にします。

    [登録済みデバイスのみ][デバイス加入モード] として選択されている場合、デバイス アクティベーション E メール テンプレートを [ メッセージ テンプレート] ドロップダウンで使用できます。この E メール メッセージは、新しい Active Directory ユーザーがデバイスを登録できるようにします。[登録トークンを要求する] が有効になっている場合は、このメッセージに組み込まれたトークンでデバイスを登録できます。

    識別名の詳細は、Microsoft's TechNet (https://technet.microsoft.com/) の「Object Naming」と題された記事を参照してください。

  2. [[保存]] を選択します。