アクティブディレクトリでの利用者アカウント管理
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
Active DirectoryがWorkplaceと連携するクラウドIDプロバイダーと同期されている場合、Workplaceをクラウドプロバイダーに直接統合することをおすすめします。
WorkplaceのAD Syncコンポーネントを使うと、選択したグループと組織単位がActive DirectoryからWorkplaceに同期されるため、利用者の入社時や退職時の管理を手動で行う手間が省けます。AD Syncは以下を自動で行います。
  • 新しく入社した社員の利用者アカウントをプロビジョニング(作成)して、Workplaceへのアクセス許可を付与します。
  • 利用者のプロフィール属性が変更(電話番号の変更など)されると、自動でアップデートします。
  • 社員の退職時やアクセスを停止する際に、利用者アカウントのプロビジョニングを解除(利用解除)します。
AD SyncはITインフラストラクチャ内でWindowsサービスとして実行されます。Workplaceへのアクセスを許可する利用者をADに問い合わせるように設定すると、AD Syncが3時間ごとに実行され、ADとWorkplace間でアカウントを照合します。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
AD Syncコンポーネントの要件は以下のとおりです。
  • ソフトウェアをインストールするには、ADドメイン管理者の権限が必要です。
  • AD Syncを使用するには、Windows Server 2012 R2またはWindows Server 2016が必要です。その他の構成でも動作する場合がありますが(OS言語をen_USに設定した場合)、Workplaceはサポートしていません。
  • AD Syncを使用するには、Workplace利用者が属するものと同じADコントローラーにドメイン参加しているコンピューターである必要があります。Workplace利用者が複数のADドメインに属している場合、各ドメインのサーバーごとにAD Syncのインストールと設定を行う場合があります。
  • 利用者データを保存するには、Microsoftコンポーネント(NET Framework 4.5.2、SQL Server 2014 Express LocalDB (SQL Server Expressのライトバージョン))が必須です。まだサーバーにインストールされていない場合は、AD Syncとともにインストールされます。累積更新プログラムをすべてインストールしてください。
  • Workplace from Facebookと同期する利用者グループごとに、利用者を含むActive Directoryのルートエントリの識別名(DN)と、Workplaceと同期する利用者を特定するLDAPフィルターまたはActive Directoryグループを指定します。
  • ドメインコントローラーがポート636経由のLDAPS (SSL)接続をサポートしている必要があります。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
AD Syncコンポーネントには以下の制限があります。
  • サーバーが属しているアクティブディレクトリのドメインからの利用者、または同じADフォレスト内の適切な信頼関係が確立されたドメインへの利用者のみが同期されます。
  • 利用者の同期は、LDAPフィルター(特定の利用者階層または属性値など)またはADセキュリティ/配信グループに基づいたもののみ設定できます。
  • デフォルトの管理システムSQL Server 2014 Express LocalDBを使用して処理できる最大利用者数は(約)10万人です。最大利用者数を超える利用者を同期するには、管理者が独自のデータベースを管理する必要があります。
  • 同期はWindows Server 2012の機能レベルでのアクティブディレクトリのドメインおよびフォレストのみでテストされています。
  • カスタマイズが許可されている利用者プロフィール属性のマッピングルールは、フォーマット済みの氏名、位置情報、その他デフォルトのロジックでマッピングされている属性のみです(詳細は同期属性の参照表をご覧ください)。
  • Workplaceフィールドの3つの必須項目である、メールアドレス、表示名、姓にAD値がない利用者は同期されません。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
AD Syncを利用すると、選択した利用者のプロフィールデータに対して一方向のレプリケーションをバッチで実行できます。ディレクトリサービスへの書き戻しは、AD Syncコンポーネントでは実行できません。Workplaceへのアクセスを許可したい利用者をADからクエリで取得するようAD Syncを設定すると、AD Syncが3時間ごとに実行され、ADとWorkplace間でアカウントが照合されます。
この情報は役に立ちましたか?