Active Directory との同期の設定

ここにある手順に従って、Active Directory との同期を設定できます。

Active Directory との同期を設定する前に、以下のセクションを読んで、必要なタスクを完了する必要があります。

  • はじめに
  • ベストプラクティス
  • Active Directory との同期。

既に完了している場合は、ディレクトリサービスの選択を参照して設定を開始します。

はじめに

同期を設定するためには、次の事柄が必要です。

  • Active Directory Synchronization Setup を実行するコンピュータに、.NET Framework 4.5.2 がインストールされている。
  • Active Directory と同期する際に使用する、Sophos API 認証情報。Active Directory との同期の設定、既存の設定の変更、または Active Directory との同期を実行する前に、これらを設定する必要があります。詳細は、API 認証情報の管理を参照してください。

すべての Active Directory ユーザーにメールアドレスがあることを確認してください。多数の Sophos Central ワークフローを使用する際、ユーザーを保護するために、ユーザーのメールアドレスが登録されている必要があります。たとえば、Sophos Email を使用してユーザーを保護する場合、ユーザーに関連付けされていないメールアドレスに送信されたメールは配信されません。

ベストプラクティス

非アクティブなユーザーとデバイスは、Active Directory ドメインからを削除することを推奨します。非アクティブなユーザーのアカウントとデバイスは、セキュリティリスクをもたらします。また、これによって、Active Directory から Sophos Central に送信されるファイルのサイズも小さくなります。これにより、同期が高速化されます。

非アクティブなユーザーを検索して削除する方法の詳細は、次を参照してください。

Active Directory フィルタを使用して、非アクティブなユーザーが Sophos Central と同期することを阻止することもできます。これにより、Sophos Central に送信される同期ファイルのサイズは削減できますが、Active Directory ドメイン内の非アクティブなユーザーに関連するセキュリティリスクは軽減されません。

Active Directory との同期方法

Active Directory と同期するには、Active Directory Synchronization Setup をダウンロードしてインストールする必要があります (インストールとダウンロード方法は、以下を参照してください)。

Active Directory Synchronization Setup は、次のように機能します。

  • アクティブなユーザーおよびユーザーグループを同期します。

    既存のユーザーやグループが、Sophos Central の既存のユーザーやグループと一致する場合、複製されません。たとえば、Active Directory にあるメールアドレスを、Sophos Central の既存のユーザーに追加できます。

  • デバイスとデバイスグループを同期します。デバイスとグループの一致方法、および他の役に立つ情報は、デバイスグループの検出に関する FAQを参照してください。

指定した日時に自動的に実行されるように設定できます。

Active Directory サービスのみをサポートしています。

ソフォスのエージェントソフトウェアを、ユーザーのデバイスにインストールするために使用することはできません。他の Active Directory による導入手法を使ってください。

制約事項 ディレクトリサービスを設定または変更するには、管理者である必要があります。

Active Directory との同期を設定するには、次の手順を実行する必要があります。

  1. 使用するディレクトリサービスを選択します。
  2. Active Directory Synchronization Setup をダウンロードし、認証情報を検証します。
  3. Active Directory の設定を入力します。
  4. 同期オプションを設定します。
  5. Active Directory と同期します。

ディレクトリサービスの選択

ここでの手順は、ディレクトリサービスを設定済みでないことを想定しています。

ディレクトリサービスを変更する場合は、ディレクトリサービスの変更を参照してください。

ディレクトリサービスを選択するには、次の手順を実行します。

  1. 概要 > グローバル設定 > ディレクトリサービス」を参照します。
  2. 作業の開始」リンクをクリックします。
  3. 使用するディレクトリサービスを選択します。
    • AD Sync
    • Azure AD Sync
  4. 次へ」をクリックし、警告を確認して承認します。
  5. 次へ」をクリックします。

次に、選択したディレクトリサービスをセットアップできます。

セットアップソフトウェアのダウンロードと認証情報の検証

Active Directory 同期を設定する前に、Active Directory Synchronization Setup をダウンロードし、API 認証情報を検証する必要があります。プロキシを使用している場合は、プロキシサーバーの設定も検証する必要があります。

認証情報を検証するには、次の手順を実行します。

  1. Active Directory Synchronization Setup をダウンロードするリンクをクリックします。そして、実行します。
    Active Directory Synchronization Setup」が開始されます。
  2. クライアント ID」および「クライアントシークレット」を入力し、「Validate credentials」(認証情報の検証) をクリックします。
  3. プロキシを使用する場合は「Configure proxy manually」(プロキシの手動設定) をオンにして、「Proxy address」(プロキシアドレス) を入力します。
  4. プロキシを使用している場合は、追加の認証をオンにすることができます。「Enable proxy authentication」(プロキシ認証の有効化) をオンにして、次の情報を入力します。
    • Proxy user (プロキシユーザー)
    • Proxy password (プロキシパスワード)
  5. Validate credentials」(認証情報の検証) をクリックして、プロキシ設定を確認します。

Active Directory の設定の入力

設定内容を入力する方法は次のとおりです。

  1. AD Configuration」(AD の設定) ページで、使用している Active Directory LDAP サーバーと認証情報の詳細を入力します。

    同期する Active Directory フォレスト全体への読み取り権限のある、ユーザーアカウントの認証情報を使用する必要があります。セキュリティを維持するためには、権限の制限されたアカウントを使用するようにしてください。

    SSL で暗号化された LDAP のセキュア接続を使用し、「Use LDAP over an SSL connection」(SSL 接続で LDAP を使用する (推奨)) をオンにしたままにすることを推奨します。

  2. 使用している LDAP 環境が SSL に対応していない場合は、「Use LDAP over an SSL connection (recommended)」(SSL 接続で LDAP を使用する (推奨)) をオフにし、ポート番号を変更してください。ポート番号は、通常、SSL 接続の場合 636で、セキュア接続でない場合は 389 です。

同期オプションの設定

同期のオプションを設定するには次の手順を実行します。

  1. Next」(次へ) をクリックして、残りのタブで同期を設定します。いずれのタブにおいても、設定が完了したら「Finish」(完了) をクリックできます。
  2. デバイスおよびデバイスグループを同期する場合は、次の手順を実行します。
    1. AD Filters」(AD のフィルタ) をクリックします。
    2. Sync devices」(デバイスの同期) と「Sync organizational units」(組織単位の同期) をオンにします。
    3. デバイスを同期する前に組織単位を同期すると、グループを事前に設定することができます。これを行うには、「Sync organizational units」(組織単位の同期) のみをオンにします。

      デバイスを同期する前に組織単位を同期した場合は、デバイスを同期する際に「Sync devices」(デバイスの同期) と「Sync organizational units」(組織単位の同期) をオンにする必要があります。これによって、組織単位とデバイスの間の関連付けが維持されます。

      組織単位とデバイスを同期した後にこれらの設定を変更する場合は、次のことを確認する必要があります。

      • Sync organizational units」(組織単位の同期) をオフにして、「Sync devices」(デバイスの同期) をオンにしたままにした状態で同期すると、組織単位は Sophos Central のカスタムグループとして表示されます。
      • Sync devices」(デバイスの同期) をオフにして、「Sync organizational units」(組織単位の同期) をオンのままにした状態で同期すると、デバイスは Sophos Central のグループに割り当てられません。
  3. AD Filters」(AD のフィルタ) タブで、LDAP フィルタを設定して、同期するユーザー、デバイス、およびグループを選択します。各ドメインに対して、検索のベースや LDAP クエリのフィルタなど、追加の検索オプションを入力できます。また、ユーザーおよびユーザーグループに対して、異なるオプションも指定できます。
    同期では、グループのフィルタ設定に関わらず、検出されたユーザーまたはデバイスを含むグループのみが作成されます。
    オプション説明

    検索のベース

    検索のベース (別名: ベース識別名) を指定できます。たとえば、組織単位 (OU) でフィルタする場合は、次の形式で検索のベースを指定できます。

    OU=Finance,DC=myCompany,DC=com

    LDAP クエリのフィルタ

    グループメンバーシップなどでユーザーをフィルタするには、次の形式でユーザークエリのフィルタを定義できます。

    memberOf=CN=testGroup, DC=myCompany, DC=com

    このクエリでは、「testGroup」に所属しているユーザーのみがフィルタ表示の対象になります。グループクエリのフィルタを指定しない場合は、検出されたユーザーが属するすべてのグループが同期によって検出されることに注意してください。また、グループ検出で「testGroup」グループのみを検出する場合は、次のグループクエリのフィルタを定義してください。

    CN=testGroup

    これらのフィルタは、非アクティブなユーザーが Sophos Central と同期することを阻止するためにも使用できます。

    無効化されたユーザーアカウントを除外する

    デフォルトで、無効なユーザーアカウントは同期の際に除外されます。含めるには、このオプションをオフにします。

    警告 検索オプションにベース識別名を含めたり、フィルタの設定を変更したりした場合、前回同期を行った際に作成された Sophos Central ユーザーやグループの一部が、検索の対象外となって Sophos Central から削除される可能性があります。
  4. Sync Schedule」(同期のスケジュール) タブで、同期を行う日時を指定します。
    スケジュール設定された同期は、バックグラウンドサービスによって実行されます。
  5. 手動で同期を行い、同期を自動実行しない場合は、「Never. Only sync when manually initiated.」(なし。手動同期のみ実行する) をクリックします。

Active Directory との同期

同期を設定したり、設定を変更したりするときは、Active Directory と手動で同期することを推奨します。この場合、同期によって実行される変更内容を確認できます。

同期するには、次の手順を実行します。

  1. Preview and Sync」(プレビューして同期) をクリックします。
    1. LDAP クエリのフィルタを使用している場合は、設定が適切であることを確認してください。
  2. 同期によって実行される変更内容を確認します。変更内容に問題がない場合は、「Approve Changes and Continue」(変更を確定して続行) をクリックします。
    Active Directory ユーザー、デバイス、およびグループが、Active Directory から Sophos Central にインポートされます。
  3. Sophos Central で、ユーザー、デバイス、およびグループを確認します。
    1. ユーザーをチェックして、デバイスが保護されていることを確認します。
    2. ユーザーおよびユーザーグループに適用されているポリシーを確認します。
    3. コンピュータとサーバーで、管理下にないデバイスの存在を確認します。これは、専用のタブに表示されます。管理下にないデバイスをすべて保護します。
    4. ユーザーおよびユーザーグループに適用されているポリシーを確認します。ポリシーは、Active Directory デバイスグループにも適用できます。

Active Directory 同期サーバーの移動

Active Directory との同期に使用しているサーバーを移動する場合は、次の手順を実行します。

  1. 現在のサーバーで同期を停止します。
  2. 新しいサーバーで、Active Directory との同期を設定します。

    この操作に関する詳細は、このページの前のセクションにある手順に従ってください。

  3. フィルタに変更を加える必要がないことを確認します。
  4. 同期をプレビューして、設定が正しいことを確認します。
  5. 同期を実行し、すべて予想どおりに動作していることを確認します。
  6. 同期のスケジュールを設定します。
  7. 元のサーバーから Active Directory との同期を削除します。