在 Workspace ONE Access 中設定 Active Directory 連線

在 Workspace ONE Access 主控台中，建立一個目錄，輸入連線至 Active Directory 所需的資訊，然後選取要與 Workspace ONE Access 目錄同步的使用者和群組。Active Directory 連線選項是 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory。Active Directory over LDAP 連線支援 DNS 服務位置查閱。

必要條件

安裝目錄同步服務，此服務從 20.01.0.0 版開始作為 Workspace ONE Access Connector 的元件提供。如需相關資訊，請參閱最新版本的《安裝 VMware Workspace ONE Access Connector》。
如果您想要利用 [使用者驗證] 服務來驗證目錄的使用者，請同時安裝使用者驗證服務元件。
在 Workspace ONE Access 主控台的設定 > 使用者屬性頁面上，選取必要的使用者屬性，並視需要新增自訂屬性。請參閱在 Workspace ONE Access 中管理使用者屬性。請留意下列考量事項：
- 對於必要的使用者屬性，您必須為要同步的所有使用者設定其值。不會同步沒有該屬性值的使用者。
- 屬性會套用至所有目錄。
- 在 Workspace ONE Access 服務中設定一或多個目錄後，即無法再將屬性標示為必要。
建立要從 Active Directory 進行同步的使用者和群組清單。群組名稱會立即同步至目錄。群組成員在群組有權使用資源或新增至原則規則之前不會進行同步。需要在設定群組權利之前進行驗證的使用者應在初始設定期間新增。
如果您使用 [全域目錄] 選項建立 Active Directory over LDAP 類型的目錄，則必須確定 Workspace ONE Access 承租人中沒有其他目錄會從與全域目錄相同的網域同步使用者。衝突可能會導致同步失敗。
對於 Active Directory over LDAP，您需要基準 DN、繫結使用者 DN 及密碼。
繫結使用者必須在 Active Directory 中具備下列權限，才能將存取權授與使用者和群組物件：
- 讀取
- 讀取全部內容
- 讀取權限
備註：建議您使用密碼不會到期的繫結使用者帳戶。
對於透過整合式 Windows 驗證的 Active Directory，您需要繫結使用者的使用者名稱和密碼，且該使用者有權查詢所需網域的使用者和群組。
繫結使用者必須在 Active Directory 中具備下列權限，才能將存取權授與使用者和群組物件：
- 讀取
- 讀取全部內容
- 讀取權限
備註：建議您使用密碼不會到期的繫結使用者帳戶。
如果 Active Directory 要求透過 SSL/TLS 存取，則需要所有相關 Active Directory 網域之網域控制站的中繼 (如有使用) 和根 CA 憑證。如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證，則需要所有中繼和根 CA 憑證。

備註：對於類型為「透過整合式 Windows 驗證的 Active Directory」的目錄，系統會自動將 SASL Kerberos 繫結用於加密。不需要憑證。
對於透過整合式 Windows 驗證的 Active Directory，如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員，請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做，網域本機群組中會遺失這些成員。
對於透過整合式 Windows 驗證的 Active Directory：
- 針對 SRV 記錄中列出的所有網域控制站和隱藏的 RODC，對主機名稱和 IP 位址進行 nslookup 應可正常運作。
- 所有網域控制站的網路連線方面必須可連接。
如果 Workspace ONE Access Connector 在 FIPS 模式下執行，還需符合其他需求和必要條件。請參閱適用於您所用連接器版本的 Workspace ONE Access Connector 和 FIPS 模式。

程序

在 Workspace ONE Access 主控台中，選取整合 > 目錄。
從新增目錄下拉式功能表中，選取 Active Directory。

在目錄資訊區段中，輸入下列資訊。

選項	說明
目錄名稱	輸入 Workspace ONE Access 目錄的名稱。
類型	選取目錄類型：Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory。

如果您選取了 Active Directory over LDAP 作為目錄類型，請遵循設定目錄區段的以下步驟，否則，繼續執行下一步。

在目錄同步與驗證區段中，選取以下項目。

選項	敘述
目錄同步主機	選取要用來同步此目錄的一或多個目錄同步服務執行個體。清單中會列出已向承租人登錄的所有目錄同步服務執行個體。您僅能選取處於作用中狀態的執行個體。如果您選取多個執行個體，Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用，則會使用下一個選取的執行個體，依此類推。您可以在建立目錄後，從目錄的同步設定索引標籤中重新排序清單。
驗證	如果您想要利用 [使用者驗證] 服務對該目錄的使用者進行驗證，請選取設定此目錄的密碼驗證。必須已安裝使用者驗證服務。如果您選取此選項，系統會自動為目錄建立密碼 (雲端部署) 驗證方法，以及名為 IDP for `directoryName`、屬於「內嵌」類型的身分識別提供者。如果您不想利用 [使用者驗證] 服務來驗證此目錄的使用者，請選取稍後新增驗證方法。如果您決定稍後利用 [使用者驗證] 服務，則可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時，請在整合 > 身分識別提供者頁面中，選取新增 > 內建 IDP，為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。
使用者驗證主機	驗證設定為設定此目錄的密碼驗證時，即會顯示此選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。如果您選取多個執行個體，Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。
使用者名稱	選取包含使用者名稱的帳戶屬性。
外部識別碼	您要讓 Workspace ONE Access 目錄中的使用者作為唯一識別碼的屬性。預設值為 objectGUID。您可以將外部識別碼設定為下列任何屬性：任何字串屬性，例如 sAMAccountName 或 distinguishedName 二進位屬性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid 外部識別碼設定只套用至 Workspace ONE Access 中的使用者。對於群組，外部識別碼一律會設定為 objectGUID，且無法變更。重要：所有使用者都必須具有為屬性定義的唯一非空值。此值在 Workspace ONE Access 承租人中必須是唯一的。如果有任何使用者沒有屬性值，則不會同步目錄。重要：如果將外部識別碼設定為 Active Directory 屬性 objectGUID 或 mS-DS-ConsistencyGuid，則所有使用者必須具有長度恰好為 16 位元組的非空屬性值。此外，請確保在外部識別碼文字方塊中使用正確大小寫指定正確的 Active Directory 屬性名稱。如果該名稱與 Active Directory 中的屬性名稱不相符，則會傳回空值，並且目錄同步失敗。例如，如果在 Active Directory 中使用 mS-DS-ConsistencyGuid 屬性，並將外部識別碼設定為 ms-DS-ConsistencyGuid，目錄同步將失敗。設定外部識別碼時，請留意下列考量事項：如果您要整合 Workspace ONE Access 與 Workspace ONE UEM，請務必在兩項產品中將外部識別碼設定為相同的屬性。您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼，再將使用者同步至 Workspace ONE Access。變更外部識別碼時，系統會重新建立使用者。因此，所有使用者都將登出，且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除，然後在下一次同步權利時重新建立。 [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 版和更新版本。與 Workspace ONE Access 服務相關聯的所有連接器必須都是 20.10 版或更新版本。如果有不同版本的連接器與服務相關聯，則不會顯示 [外部識別碼] 選項。

若要設定伺服器位置和加密選項，請從以下選項中選擇。

選項	敘述
如果您想要對 Active Directory 使用 DNS 服務位置查閱	使用此選項時，Workspace ONE Access 會尋找並使用最佳化網域控制站。如果您不想使用選取的最佳化網域控制站，請不要選取此選項。對於伺服器位置，請選取此目錄支援 DNS 服務位置核取方塊。如果您的 Active Directory 需要透過 SSL/TLS 進行存取，請在加密區段中選取所有連線皆需要 STARTTLS 核取方塊。備註：如果選取了此目錄支援 DNS 服務位置選項，則使用 STARTTLS 透過連接埠 389 進行加密。如果取消選取了此目錄支援 DNS 服務位置選項，則使用 LDAPS 透過連接埠 636 進行加密。請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。先輸入中繼 CA 憑證，然後輸入根 CA 憑證。確認每個憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 這兩行。如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證，請逐一輸入所有的中繼根 CA 憑證鏈結。例如： -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- 備註：如果 Active Directory 要求透過 SSL/TLS 存取但您未提供憑證，將無法建立目錄。
如果您不想對 Active Directory 使用 DNS 服務位置查閱	在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後在伺服器主機和伺服器連接埠文字方塊中輸入 Active Directory 伺服器主機名和連接埠號碼。若要將目錄設定為全域目錄，請參閱整合 Active Directory 與 Workspace ONE Access中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。如果您的 Active Directory 需要透過 SSL/TLS 進行存取，請在加密區段中選取所有連線皆需要 LDAPS 核取方塊。備註：如果選取了此目錄支援 DNS 服務位置選項，則使用 STARTTLS 透過連接埠 389 進行加密。如果取消選取了此目錄支援 DNS 服務位置選項，則使用 LDAPS 透過連接埠 636 進行加密。請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。先輸入中繼 CA 憑證，然後輸入根 CA 憑證。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 這兩行。備註：如果 Active Directory 要求透過 SSL/TLS 存取但您未提供憑證，將無法建立目錄。
如果您要將目錄整合成全域目錄	在伺服器位置區段中，取消選取此目錄支援 DNS 服務位置選項。選取此目錄具有全域目錄選項。在伺服器主機文字方塊中，輸入 Active Directory 伺服器主機名稱。伺服器連接埠將設定為 3268。如果在加密區段中選取 SSL/TLS，則連接埠將設定為 3269。如果您的 Active Directory 需要透過 SSL/TLS 進行存取，請在加密區段中選取所有連線皆需要 LDAPS 選項。請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。先輸入中繼 CA 憑證，然後輸入根 CA 憑證。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 這兩行。

在繫結使用者詳細資料區段中，輸入下列資訊。

選項	敘述
基準 DN	輸入要開始搜尋帳戶的 DN。例如，OU=myUnit,DC=myCorp,DC=com。重要：將使用基準 DN 進行驗證。只有基準 DN 下的使用者才能進行驗證。請確定您稍後指定用於同步的群組 DN 和使用者 DN 位於此基準 DN 下。備註：如果您要將目錄新增為全域目錄，則不需要基準 DN，且不會出現該選項。
繫結使用者 DN	輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。備註：建議您使用密碼不會到期的繫結使用者帳戶。
繫結使用者密碼	繫結使用者密碼。

如果您選取了透過整合式 Windows 驗證的 Active Directory 作為目錄類型，請遵循設定目錄區段的以下步驟。

在目錄同步與驗證區段中，選取以下項目。

選項	敘述
目錄同步主機	選取要用來同步此目錄的一或多個目錄同步服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有目錄同步服務執行個體。如果您選取多個執行個體，Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用，則會使用下一個選取的執行個體，依此類推。您可以在建立目錄後，從目錄的同步設定索引標籤中重新排序清單。
驗證	如果您想要利用 [使用者驗證] 服務對該目錄的使用者進行驗證，請選取設定此目錄的密碼驗證。必須已安裝使用者驗證服務。如果您選取此選項，系統會自動為目錄建立密碼 (雲端部署) 驗證方法，以及名為 IDP for `directory`、屬於「內嵌」類型的身分識別提供者。如果您不想利用 [使用者驗證] 服務來驗證此目錄的使用者，請選取稍後新增驗證方法。如果您決定稍後利用 [使用者驗證] 服務，則可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時，請在整合 > 身分識別提供者頁面中，選取新增 > 內建 IDP，為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。
使用者驗證主機	驗證設定為設定此目錄的密碼驗證時，即會顯示此選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。如果您選取多個執行個體，Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。
使用者名稱	選取包含使用者名稱的帳戶屬性。
外部識別碼	您要讓 Workspace ONE Access 目錄中的使用者作為唯一識別碼的屬性。預設值為 objectGUID。您可以將外部識別碼設定為下列任何屬性：任何字串屬性，例如 sAMAccountName 或 distinguishedName 二進位屬性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid 外部識別碼設定只套用至 Workspace ONE Access 中的使用者。對於群組，外部識別碼一律會設定為 objectGUID，且無法變更。重要：所有使用者都必須具有為屬性定義的唯一值。此值在 Workspace ONE Access 承租人中必須是唯一的。重要：如果將外部識別碼設定為 Active Directory 屬性 objectGUID 或 mS-DS-ConsistencyGuid，則所有使用者必須具有長度恰好為 16 位元組的非空白值。此外，請確保在外部識別碼文字方塊中使用正確大小寫指定正確的 Active Directory 屬性名稱。如果該名稱與 Active Directory 中的屬性名稱不相符，則會傳回空值，並且目錄同步失敗。例如，如果在 Active Directory 中使用 mS-DS-ConsistencyGuid 屬性，並將外部識別碼設定為 ms-DS-ConsistencyGuid，目錄同步將失敗。設定外部識別碼時，請留意下列考量事項：如果您要整合 Workspace ONE Access 與 Workspace ONE UEM，請務必在兩項產品中將外部識別碼設定為相同屬性。您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼，再將使用者同步至 Workspace ONE Access。變更外部識別碼時，系統會重新建立使用者。因此，所有使用者都將登出，且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除，然後在下一次同步權利時重新建立。 [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 版和更新版本。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版或更新版本。如果有不同版本的連接器與服務相關聯，則不會顯示 [外部識別碼] 選項。

不需要為加密選項執行任何動作。類型為「透過整合式 Windows 驗證的 Active Directory」的目錄會自動使用 SASL Kerberos 繫結，且您不需要選取 LDAPS 或 STARTTLS。
在繫結使用者詳細資料區段中，輸入有權查詢所需網域的使用者和群組之繫結使用者的使用者名稱和密碼。以 sAMAccountName@domain 形式輸入使用者名稱，其中的 domain 是完整網域名稱。例如 [email protected]。

備註：建議您使用密碼不會到期的繫結使用者帳戶。

按一下儲存。
在選取網域區段中，選取網域，然後按一下儲存。
- 對於屬於 Active Directory over LDAP 類型的目錄，將列出這些網域。選取要與 Workspace ONE Access 目錄相關聯的網域。
- 對於屬於「透過整合式 Windows 驗證的 Active Directory」類型的目錄，請選取要與 Workspace ONE Access 目錄相關聯的網域。接著會列出與基底網域具有雙向信任關係的所有網域。
  如果在建立 Workspace ONE Access 目錄後才將與基底網域具有雙向信任關係的網域新增至 Active Directory，您可以從目錄的同步設定 > 網域索引標籤新增這些網域。
  
  提示：請逐一選擇信任的網域，而非一次選取所有網域。此方法可確保網域儲存不會長時間執行作業，因而可能逾時。依序選擇網域可確保目錄同步服務只將時間花費在嘗試解析單一網域。
- 如果您要在選取全域目錄選項的情況下建立 Active Directory over LDAP 目錄，則不會顯示選取網域區段。
在對應使用者屬性區段中，將 Workspace ONE Access 目錄屬性對應至 Active Directory 屬性，然後按一下儲存。

您可以從設定 > 使用者屬性頁面中，新增屬性並管理必要屬性的清單。

重要：對於標示為必要的屬性，您必須為要同步的所有使用者設定其值。遺漏必要屬性值的使用者記錄將不會同步。
在同步群組區段中，新增要同步的群組。如需詳細資訊，請參閱選取要同步至 Workspace ONE Access 目錄的使用者和群組。
在同步使用者區段中，新增要同步的使用者。如需詳細資訊，請參閱選取要同步至 Workspace ONE Access 目錄的使用者和群組。
在同步頻率區段中，設定同步排程以定期同步使用者和群組，或者如果您不想要設定排程，則請在同步頻率下拉式清單中選取手動。
時間以 UTC 設定。

提示：讓排程的同步間隔大於同步目錄所需的時間。如果在排程下一次同步時將使用者和群組同步至目錄，則會在上一次同步結束後立即開始新的同步。

如果選取手動，無論何時要同步目錄，都必須在目錄頁面上選取同步 > 使用保護措施進行同步或同步 > 不使用保護措施進行同步。
按一下儲存以建立目錄，或按一下儲存並同步以建立目錄並開始同步。

結果

與 Active Directory 的連線已建立。如果您先前按一下儲存並同步，則使用者和群組名稱會從 Active Directory 目錄同步至 Workspace ONE Access 目錄。

如需關於群組同步方式的詳細資訊，請參閱《VMware Workspace ONE Access 管理》中的〈管理使用者和群組〉。

下一步

如果將驗證選項設定為設定此目錄的密碼驗證，則會自動為目錄建立名為 IDP for directoryname 的身分識別提供者以及密碼 (雲端部署) 驗證方法。您可以在整合 > 身分識別提供者和整合 > 驗證方法頁面上，檢視這些資訊。您也可以從連接器驗證方法和驗證方法頁面中為目錄建立更多驗證方法。如需建立驗證方法的相關資訊，請參閱在 Workspace ONE Access 中管理使用者驗證方法。
在資源 > 原則頁面上檢閱預設存取原則。
檢閱預設同步保護設定，並視需要進行變更。如需詳細資訊，請參閱在 Workspace ONE Access 中設定目錄同步保護措施。