您可以整合 Workspace ONE Access 與 Active Directory 部署,以將使用者和群組從 Active Directory 同步至 Workspace ONE Access 服務。您擁有的 Active Directory 環境類型會決定您在 Workspace ONE Access 服務中建立的目錄類型。

Active Directory 環境

您可以將 Workspace ONE Access 服務與 Active Directory 環境整合,該環境可由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域,或多個 Active Directory 樹系中的多個網域組成。

單一 Active Directory 網域環境

有了單一 Active Directory 網域部署,您即可以同步單一 Active Directory 網域中的使用者和群組。

對於此環境,您可以在 Workspace ONE Access 服務中建立 Active Directory over LDAP 類型或「透過整合式 Windows 驗證的 Active Directory」類型的目錄。

如需詳細資訊,請參閱:

擁有多網域的單一樹系 Active Directory 環境

在多網域的單一樹系 Active Directory 部署中,您可以從單一樹系內多個 Active Directory 網域中同步使用者和群組。

對於此環境,您可以在 Workspace ONE Access 服務中建立單一透過整合式 Windows 驗證的 Active Directory 目錄,或使用全域目錄選項設定的 Active Directory over LDAP 目錄。
  • 建議的選項是建立單一透過整合式 Windows 驗證的 Active Directory 目錄。

    為此環境新增目錄時,請選取 [透過整合式 Windows 驗證的 Active Directory] 選項。請確定在目錄中的網域與直接繫結使用者所屬的網域之間設定直接 (不可轉換) 的雙向信任。

    如需詳細資訊,請參閱:

  • 如果整合式 Windows 驗證無法在您的 Active Directory 環境中運作,請建立 Active Directory over LDAP 目錄,然後選取 [全域目錄] 選項。

    選取 [全域目錄] 選項的部分限制包括:

    • 複寫至全域目錄的 Active Directory 物件屬性,在 Active Directory 結構描述中會被識別為部分屬性組 (PAS)。只有這些屬性可供服務用於屬性對應。如有需要,請編輯結構描述,以新增或移除儲存在全域目錄中的屬性。
    • 全域目錄只會儲存萬用群組的群組成員資格 (成員屬性)。只有萬用群組會同步至服務。如有需要,請將群組的範圍從本機網域或全域變更為萬用。
    • 您在服務中設定目錄時所定義的繫結 DN 帳戶,必須具有讀取 Token-Groups-Global-And-Universal (TGGAU) 屬性的權限。
    • 使用者可以從多個 Active Directory 網域同步至 Workspace ONE Access 全域類別目錄 (直接同步或透過群組成員資格)。您必須確定 Workspace ONE Access 承租人中沒有其他目錄從相同的網域同步使用者,否則衝突可能會導致同步失敗。
    • Workspace ONE UEMWorkspace ONE Access 整合,且設定了多個 Workspace ONE UEM 組織群組時,[Active Directory 全域目錄] 選項將無法使用。

    Active Directory 會使用連接埠 389 和 636 進行標準 LDAP 查詢。對於全域目錄查詢,則會使用連接埠 3268 和 3269。

    當您為全域目錄環境新增目錄時,請在設定期間指定下列項目。

    • 選取 Active Directory over LDAP 選項。
    • 取消選取此目錄支援 DNS 服務位置選項的核取方塊。
    • 選取此目錄具有全域目錄選項。當您選取此選項時,伺服器連接埠號碼會自動變更為 3268。此外,由於在設定全域目錄選項時並不需要基準 DN,因此 [基準 DN] 文字方塊不會顯示。
    • 新增 Active Directory 伺服器主機名稱。
    • 如果您的 Active Directory 需要透過 SSL 進行存取,請在加密區段中選取所有連線都需要 LDAPS 選項,然後將憑證貼到提供的文字方塊中。當您選取此選項時,伺服器連接埠號碼會自動變更為 3269。

具備信任關係的多樹系 Active Directory 環境

在具備信任關係的多樹系 Active Directory 部署中,您可以在網域之間存在雙向信任的各個樹系間,同步多個 Active Directory 網域中的使用者和群組。在 Workspace ONE Access 服務中,針對此 Active Directory 環境,建立單一透過整合式 Windows 驗證的 Active Directory 目錄。

為此環境新增目錄時,請選取 [透過整合式 Windows 驗證的 Active Directory] 選項。請確定在目錄中的網域與直接繫結使用者所屬的網域之間設定直接 (不可轉換) 的雙向信任。

如需詳細資訊,請參閱:

不具備信任關係的多樹系 Active Directory 環境

在不具備信任關係的多樹系 Active Directory 部署中,您可以在網域之間不存在信任關係的各個樹系間,同步多個 Active Directory 網域中的使用者和群組。在此環境中,您會在 Workspace ONE Access 服務中建立多個目錄,每個樹系一個目錄。

如需詳細資訊,請參閱: