Active Directory との同期の設定

ここにある手順に従って、Active Directory との同期を設定できます。

同期を設定するには、Sophos Central AD Sync Utility を実行するコンピュータに .NET Framework 4 がインストールされている必要があります。

警告 続行する前に、すべての Active Directory ユーザーにメールアドレスが登録されていることを確認してください。メールアドレスが登録されていないユーザーは保護されません。また、ユーザーとの関連付けのないメールアドレスに送信されたメールは配信されません。

Active Directory と同期するには、API 認証情報を使用する必要があります。

Active Directory との同期を設定する方法は次のとおりです。

  1. AD Sync 用の API 認証情報を設定します。これを行うには、「設定 > API 認証情報」をクリックします。
  2. 新しい認証情報を追加します。次の情報を入力します。
    • 認証名
    • 説明
  3. クライアント ID」および「クライアントシークレット」をコピーします。
  4. 設定 > Active Directory Sync」をクリックし、リンクをクリックして Sophos Central AD Synchronization Utility インストーラをダウンロードします。そして、実行します。

    または、「スタート」メニューを参照して、「Sophos > Central > AD Sync」の順にクリックします。Windows 8 以降を稼動している場合は、アプリの一覧で、「Sophos」の下にある「AD Sync」アプリを参照してください。

    Sophos Central AD Sync Utility Setup」アシスタントが起動します。
  5. セットアップアシスタントの案内に従って必要事項を入力します。

    Sophos Central AD Sync Utility Setup」アシスタントの指示に従ってください。

  6. セットアップアシスタントの最後のページで「Launch Sophos Central AD Sync Utility」(Sophos Central AD Sync Utility を起動する) を選択して、「Finish」(完了) をクリックします。
  7. Active Directory Synchronization Setup ユーティリティの「Sophos Credentials」(ソフォスの認証情報) ページで、Sophos Central のアカウント情報の代わりに「クライアント ID」と「クライアントシークレット」を入力してください。
  8. AD Configuration」(AD の設定) ページで、使用している Active Directory LDAP サーバー、および同期対象の Active Directory フォレスト全体に対する読み取りアクセス権のあるユーザーアカウントのアカウント情報を指定します。セキュリティを確保するために、このアクセスを付与可能な最小限の権限のあるアカウントを使用してください。

    SSL で暗号化された LDAP のセキュア接続を使用し、「Use LDAP over an SSL connection (recommended)」(SSL 接続で LDAP を使用する (推奨)) チェックボックスを選択したままにすることを推奨します。使用している LDAP 環境が SSL に対応していない場合は、「Use LDAP over an SSL connection (recommended)」(SSL 接続で LDAP を使用する (推奨)) チェックボックスを選択から外し、ポート番号を変更してください。ポート番号は、通常、SSL 接続の場合 636で、セキュア接続でない場合は 389 です。

  9. フォレスト全体の同期を実行しない場合は、「AD Filters」(AD のフィルタ) ページで、同期の対象にするドメインを指定できます。また、各ドメインに対して、検索のベースや LDAP クエリのフィルタなど、追加の検索オプションも指定できます。特定のユーザーやユーザーグループに対して、異なるオプションを設定できます。
    AD Sync は、グループのフィルタ設定に関わらず、検出されたユーザーまたはデバイスが所属するグループのみを作成します。
    オプション説明

    検索のベース

    検索のベース (別名: ベース識別名) を指定できます。たとえば、組織単位 (OU) でフィルタする場合は、次の形式で検索のベースを指定できます。

    OU=Finance,DC=myCompany,DC=com

    LDAP クエリのフィルタ

    グループメンバーシップなどでユーザーをフィルタするには、次の形式でユーザークエリのフィルタを定義できます。

    memberOf=CN=testGroup, DC=myCompany, DC=com

    このクエリでは、「testGroup」に所属しているユーザーのみがフィルタ表示の対象になります。なお、グループクエリのフィルタを指定しないと、検出したユーザーが所属するグループすべてが AD Sync で検出されます。また、グループ検出で「testGroup」グループのみを検出する場合は、次のグループクエリのフィルタを定義してください。

    CN=testGroup

    無効化されたユーザーアカウントを除外する

    デフォルトで、無効化されたユーザーアカウントは同期から除外されます。同期の対象にするには、チェックボックスの選択を解除します。

    検索オプションにベース識別名を含めたり、フィルタの設定を変更したりした場合、前回同期を行った際に作成された既存の Sophos Central ユーザーやグループの一部が、検索の対象外となって Sophos Central から削除される可能性があります。
  10. Sync Schedule」(同期のスケジュール) ページで、自動的に同期を行う日時を指定します。
    スケジュール設定された同期はバックグラウンドで実行されます。Active Directory Synchronization Utility が稼動していなくても、スケジュール設定された同期は実行されます。

    Active Directory Synchronization Utility を実行して手動で同期を行い、定期的に同期を自動実行しない場合は、「Never.Only sync when manually initiated.」(なし。手動同期のみ実行する。) を選択します。

  11. Finished」(完了) をクリックします。
  12. 今すぐ同期を行う場合は、AD Sync Utility で「Preview and Sync」(プレビューして同期) をクリックします。同期によって実行される変更内容を確認します。変更内容に問題がない場合は、「変更を確定して続行」をクリックします。

    Active Directory ユーザーとグループが、Active Directory から Sophos Central にインポートされます。

    進行中の同期を停止するには、「Stop」(停止) をクリックします。