非アクティブな AD ユーザーのフィルタリング

Active Directory ドメイン内の非アクティブなユーザーが Sophos Central と同期しないようにするには、ここでの手順を実行します。

警告 非アクティブなユーザーとデバイスは、フィルタを使用するのではなく、削除することを推奨します。非アクティブなユーザーのアカウントとデバイスは、セキュリティリスクをもたらします。詳細は、Active Directory との同期の設定を参照してください。

AD Sync を設定する際に LDAP クエリフィルタを使用して、同期するユーザーとグループを検索できます。また、フィルタを変更して、再度同期を実行することで、同期するユーザー、グループ、およびデバイスを変更することもできます。LDAP クエリフィルタの LDAP 属性を使用して、非アクティブなユーザーが Sophos Central と同期しないようにできます。

lastLogon 属性と lastLogonTimestamp 属性を使用できます。使用にあたっては、これらの属性がどのように機能するかを考慮する必要があります。なお、これらを使用しても、取得される情報が最新または正確であることが保証されるわけではありません。

  • lastLogon 属性の情報は、最新である可能性が高いですが、ドメインコントローラすべてに対して複製されません。したがって、各ドメインコントローラでクエリを実行する必要があります。
  • lastLogonTimestamp 属性の情報は最新でない可能性があります。しかし、これは、非アクティブなユーザーをフィルタリングする際に、最も頻繁に使用される属性です。

これらの属性の使用方法の詳細は、AD アカウントの属性についてを参照してください。

lastLogonTimestamp を使用して非アクティブなユーザーを除外するには、次の手順を実行します。

  1. 同期にユーザーを含める際の期限 (日時) を決定します。たとえば、2020年 12月 1日、00:01 などです。
  2. LDAP、Active Directory、および FILETIME タイムスタンプコンバータ などの変換ツールを使用して、これを LDAP/FILETIME に変換します。
    この例に使用した期限 (日時) は、132581431640000000 となります。
  3. まだ設定していない場合は、Active Directory との同期を設定します。
  4. Active Directory Synchronization Setup」で、「AD Filters」(AD のフィルタ) をクリックします。
  5. custom filters」(カスタムフィルタ) ボックスで、lastLogonTimestamp および変換された値を入力します。
    例: lastLogonTimestamp >=132581431640000000
  6. 設定内容とフィルタを確認し、同期を実行します。