Active Directory との同期: FAQ

Sophos Central Admin での Active Directory との同期に関するよくある質問の回答をまとめました。

Active Directory との同期によって、Active Directory から Sophos Central Admin にユーザーやグループをマッピングし、同期するサービスを管理者が実行できるようになります。これは、Active Directory Synchronization Setup を使用して設定できます。

Active Directory FAQ は、次の 2つのセクションから構成されています。

  • このページでは、Sophos Central Admin での Active Directory との同期に関する一般的な情報について説明しています。
  • Active Directory Synchronization Setup、インストール、対応している OS、同期エラー、ディレクトリサービスの変更、Active Directory との同期の削除などに関する一般的な情報は、Active Directory との同期: インストールに関する FAQを参照してください。

プロキシはどこで設定できるのか?

Active Directory Synchronization Setup (バージョン 4.0) では、プロキシを設定することができます。これは「Sophos Credentials」で実行できます。詳細は、Active Directory との同期の設定を参照してください。

Active Directory Synchronization Setup のプロキシ設定領域

評価版アカウントをお持ちの場合は、Sophos Central AD Sync Utility (バージョン 3.5.4) を使用することになります。同バージョンではプロキシの詳細は設定できません。

Sophos Central AD Sync Utility では、サービスはローカルサービスアカウントを使用して実行されますが、プロキシでの認証にはデフォルトでアクセスできません。プロキシ接続の問題を処理すると、次のエラーが表示されます。

Failed active directory synchronization.Reason: System.Net.Http.HttpRequestException 
---> CommandLib.HttpRequestCommand+HttpStatusException: Exception of type 'CommandLib.HttpRequestCommand+HttpStatusException' was thrown.

アクセスを持つアカウントを作成する必要がある場合、そのアカウントは次の方法でログオンできる必要があります。

  • サービスとして。
  • 対話的。
  • バッチとして。

アカウントには、同期するドメインコントローラ上の組織単位 (OU) の読み取り権限も必要です。

このアカウントには、C:\ProgramData\Sophos\Sophos Cloud AD Sync への NTFS フルコントロール権限も必要です。

Active Directory との同期に使用するサービスアカウントを変更するたびに、毎回 Sophos Central AD Sync Utility も再設定する必要があります。

また、Active Directory 同期プロキシによる対応策もあります。詳細は、プロキシサーバーを使用するように AD Sync Utility を設定する方法を参照してください。

LDAP フィルタとは?

ユーザーは、 次の LDAP クエリによってフィルタリングされます。 (&(objectCategory=person)(objectClass=user)(!sAMAccountType=805306370)(!userAccountControl:1.2.840.113556.1.4.803:=2))

グループの LDAP フィルタは、次のとおりです。 (&(objectCategory=group)(objectClass=group))

これらのフィルタは、ドメインごとに拡張が可能です。フィルタリングと LDAP クエリの詳細については、Active Directory Sync Utility のログファイルの場所をご覧ください。

非アクティブなユーザーとデバイスは、フィルタを使用するのではなく、削除することを推奨します。詳細は、非アクティブな AD ユーザーのフィルタリングを参照してください。

同期によってユーザー名がインポートされる方法は?

Active Directory からユーザーをインポートする場合、「Display name」が使用されます。

表示名の例

同期によってメールのエイリアスアドレスがインポートされる方法は?

エイリアスには、proxyAddresses が使用されます。

プロキシアドレス

ログファイルの保存場所は?

詳細は、Active Directory Sync Utility のログファイルの場所を参照してください。

サポートケースを開く必要がある場合は、ログファイルからできるだけ多くの情報をソフォスサポートに提供する必要があります。

同期によって Active Directory ユーザーが既存のユーザーと照合される方法は?

ドメインログイン (ドメイン/ユーザー) またはメールアドレス (mail を使用) を使用して、Active Directory ユーザーと照合します。

ドメインログオンの例 メールアドレスの例

一致した場合、一致した Sophos Central Admin ユーザーは、Active Directory にあるデータで更新や置き換えが行われます。ユーザーアイコンは、Sophos Central Admin ユーザーアイコン Sophos Central ユーザーアイコン から、Active Directory ユーザーアイコン Active Directory ユーザーアイコン に変わります。

新しいユーザーは、メールアドレスや Sophos Central Admin ユーザーが異なる場合に作成されます。

必要に応じて、Sophos Central Admin でユーザーログインを更新できます。たとえば、デバイスに関連付けられたユーザーのログイン詳細を編集できます。詳細は、ユーザーの既存のログインを割り当てまたは削除する手順を参照してください。

同期を実行する前に、一致したアカウントをプレビューすることができます。これには、「Preview and Sync...」をクリックします。

「Preview and Sync...」オプション

一致がある場合、「Users to Modify」タブに表示されます。

一致がない場合、「Users to Add」タブにユーザーが表示されます。変更を拒否することもできます。

Sophos Central Admin ユーザーと Azure AD をリンクする際の問題の修正については、Azure ADを参照してください。

ユーザーを Active Directory で削除するとどうなるか?

ユーザーにデバイスログイン、メールボックス、または Sophos Central Admin 管理者ロールがある場合、Sophos Central Admin でユーザーは削除されません。

ユーザーアイコンは、Active Directory ユーザーアイコン Active Directory ユーザーアイコン から、Sophos Central Admin ユーザーアイコン Sophos Central ユーザーアイコン に変わります。

ユーザーにデバイスログイン、メールボックス、または Sophos Central Admin 管理者ロールがない場合、ユーザーは削除されます。

Active Directory の変更が Sophos Central Admin に反映されていない理由は?

Sophos Central Admin で管理者ロールが割り当てられており、同時に Active Directory ユーザーでもあるユーザーは自動的に削除されません。これは、Sophos Central Admin ロールを持つユーザーのプライマリメールアドレスの変更にも適用されます。

(Active Directory で削除された後で) 管理者ロールが割り当てられたユーザーを削除する、または関連付けられたメールアドレスを変更するには、そのユーザーを (Sophos Central Admin で) 降格して、管理者ロールを削除する必要があります。次回 Active Directory と同期する際、適宜、アカウントの削除やメールの更新が行われます。メールアドレスを更新した場合は、その後でユーザーに管理者ロールを割り当てることができます。

同期後にユーザー名が変更された理由は?

これは、ユーザーに、別のユーザーのデバイスログインが与えられた際に発生することがあります。この場合、Active Directory のユーザーレコードには、異なるユーザー 2人のデバイスログインが含まれます。

たとえば、ユーザー A に userA/domain と userB/domain の両方のデバイスログインがあり、ユーザー B に userB/domain のデバイスログインがある場合を想定します。

まずユーザー A を同期し、両方のデバイスログインをユーザー A に関連付けます。次に同期プロセスがユーザー B に到達し、ユーザーを作成しようとすると、ユーザー B のデバイスログインがユーザー A の下で見つかります。この際、ユーザー B がユーザー A に照合されるので、ユーザー A の名前がユーザー B に変更されます。

これを修正するには、次の手順を実行します。

  1. Sophos Central Admin でユーザーを検索します。
  2. そのユーザーのログイン情報を確認し、他のユーザーのログイン情報がある場合、それを削除します。
  3. 同期します。

Active Directory 管理対象ユーザーにロールを割り当てることができない理由は?

これは通常、ユーザーが重複している場合に発生します。この問題を修正するには、次の手順を実行します。

  1. Sophos Central Admin で、「概要 > ユーザーとグループ」を参照します。
  2. ユーザーのメールアドレスを検索します。
    • 同じユーザーに対して複数の結果が返された場合は、手順 3 に進みます。
    • ユーザーが 1人しかいない場合は、手順 7 に進みます。
  3. どの重複ユーザーアカウント 1つにロールを割り当てるかを決定します。
  4. ロールを割り当てない重複ユーザーをそれぞれクリックし、次の手順を実行します。
    1. ログインの編集」をクリックします。
    2. ユーザーのサインインの認証情報をメモします。
    3. そのユーザーに関連付けられているサインインの認証情報すべてを削除します。
    4. 保存」をクリックします。
  5. ロールを割り当てるユーザーをクリックし、次の手順を実行します。
    1. ログインの編集」をクリックします。
    2. 重複ユーザーから削除した認証情報すべてを追加します。
    3. 保存」をクリックします。
  6. ユーザーにロールを割り当てます。これが保存可能で、さらにユーザーがセットアップメールを受信したことを確認します。
  7. それでもユーザーを編集または保存できないというエラーが表示される場合は、通常、そのメールアドレスが Sophos Central Admin で既に使用されていることを意味します。メールアドレスを解放して再度使用できるようにするには、ユーザーのロールを変更できないの手順に従います。

所属していないグループにユーザーがリンクされている理由は?

ネストされた Active Directory グループは、Sophos Central Admin のユーザーのページの「グループ」領域にリンクされたグループとして表示されます。

次のスクリーンショットでは、Sophos Central Admin のユーザーに対して 4つのグループが表示されています。

Sophos Central Admin でのネストされたグループの例

ユーザーが直接メンバーなのは 1つのグループのみです。他の 3つのグループは、このユーザーにリンクされているネストされたグループです。ユーザーは、このようなリンクされたグループのメンバーではありません。

ユーザーにリンクされた Active Directory のネストされたグループ

Domain Users のグループのメンバー数が Active Directory の内容に一致しない理由は?

詳細は、Sophos AD Sync Utility がグループの作成に失敗する、または正しいユーザー数が反映されないを参照してください。

同期されたユーザーに Mac が関連付けられていない理由は?

Active Directory Synchronization Setup は、ログイン名を [NetBIOSDomainName]\[User] としてインポートします。これに対して Mac ではユーザー名は [MacComputerName]\[User] としてレポートされます。このため、Mac は同期されたユーザーとは関連付けられず、新しいユーザーが、[MacComputerName]\[User] ログイン名に基づいて作成されます。

Mac を Sophos Central Admin ユーザーにマッピングするには、自動生成されたユーザー ([MacComputerName]\[User]) を削除し、[MacComputerName]\[User] など、ログインを AD Sync で作成されたユーザーに関連付けてください。

この情報はローカルで上書きできます。詳細は、報告されるユーザーに関するドメインの上書きを有効にする手順を参照してください。