コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=directory-service-AD-to-AzureAD

Microsoft Azure AD への移行

ユーザーとユーザーグループを Sophos Central と同期する方法を変更できます。ディレクトリソースを Active Directory (AD) から Microsoft Azure AD に変更できます。

ディレクトリソースを変更する前に、Microsoft Azure AD では、AD とは異なる情報が同期されることを理解する必要があります。詳細は、ディレクトリサービスを参照してください。

ドメイン内のユーザーおよびユーザーグループのディレクトリソースとして、AD または Microsoft Azure AD のいずれかを使用できます。

要件

ディレクトリソースを変更する前に、次の環境が必要です。

  • ドメインの AD ソース。このソースは、ソフォスが指定する要件に一致する必要があります。詳細は、Active Directory との同期の設定を参照してください。
  • 同じドメインの Microsoft Azure AD ソース。このソースは、ソフォスが指定する要件に一致する必要があります。詳細は、Azure AD との同期の設定を参照してください。

推奨事項

ディレクトリソースを変更する前に、次の手順を実行することを推奨します。

  • ディレクトリサービスの制限事項を確認します。詳細は、制限を参照してください。

  • ユーザーがディレクトリソース内で一致することを確認します。

    これは、AD と同期されたユーザーとメールボックスのうち、Microsoft Azure AD ソースにないものは削除されるためです。削除されるのは、AD から Microsoft Azure AD に移行するドメイン内の一致しないユーザーのみです。他のすべてのユーザーは維持されます。

  • 必要に応じて Azure アプリケーションを設定します。詳細は、Azure アプリケーションの設定を参照してください。

制限

同期を設定する前に、次の事柄を理解するようにしてください。

  • ディレクトリソースを使用してデバイスおよびデバイスグループを管理する場合は、AD のみを使用できます。Microsoft Azure AD は、デバイスおよびデバイスグループには対応していません。

    デバイスとデバイスグループには AD を使用し、同じドメインのユーザーとユーザーグループには Microsoft Azure AD を使用できます。

  • ディレクトリソースを使用してパブリックメールフォルダを管理する場合は、AD のみを使用できます。Microsoft Azure AD は、パブリックメールフォルダには対応していません。

    パブリックメールフォルダは、ユーザーとユーザーグループも同期する場合のみ、AD から同期できます。AD を使用して管理できるのは、パブリックメールフォルダと同じドメイン内のユーザーとユーザーグループだけです。

  • Microsoft Azure AD で共有メールボックスを管理する場合は、新しく作成する必要があります。Microsoft Azure AD で、既存の共有メールボックスを管理することはできません。

    Microsoft Azure AD で管理されている共有メールボックスの関連付けられたユーザーは表示されません。ソースを変更した後は、既存の共有メールボックスに関連付けられたユーザーは表示されなくなります。 詳細は、メールボックスを参照してください。

ディレクトリサービスの変更

デバイスとデバイスグループがなく、Microsoft Azure AD を使用してユーザーとユーザーグループを管理する場合は、Microsoft Azure AD のみを使用する方法の手順に従います。

ユーザーとユーザーグループの管理に Microsoft Azure AD を使用し、デバイスとデバイスグループの管理に AD を使用する場合は、Microsoft Azure AD と AD を使用する方法の手順に従います。

Microsoft Azure AD のみを使用する方法

ドメインの唯一のディレクトリソースとして Microsoft Azure を使用するには、次の手順を実行します。

  1. Active Directory と同期します。詳細は、Active Directory との同期の設定を参照してください。
  2. データが正しく同期されたことを Sophos Central で確認します。
  3. グローバル設定 > ディレクトリサービス」に移動して、AD ソースを選択します。
  4. AD ソースをオフにします。
  5. グローバル設定 > ディレクトリサービス」に移動し、「Azure AD の追加」をクリックします。
  6. Microsoft Azure AD ソースとの同期を設定します。詳細は、Azure AD との同期の設定を参照してください。
  7. Microsoft Azure AD と同期した後、データが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。
  8. Active Directory Synchronization Setup をアンインストールします。

Microsoft Azure AD と AD を使用する方法

Microsoft Azure AD と AD の両方を使用するには、次の手順を実行します。

  1. Active Directory と同期します。詳細は、Active Directory との同期の設定を参照してください。
  2. データが正しく同期されたことを Sophos Central で確認します。
  3. グローバル設定 > ディレクトリサービス」に移動して、AD ソースを選択します。

  4. デバイスとデバイスグループのみを同期するようにフィルタを変更します。詳細は、デバイスおよびデバイスグループを参照してください。

    デバイスとデバイスグループの同期のみを絞り込み表示するように設定された AD フィルタ。

  5. AD ソースをオフにします。

  6. グローバル設定 > ディレクトリサービス」に移動し、「Azure AD の追加」をクリックします。
  7. Microsoft Azure AD ソースとの同期を設定します。詳細は、Azure AD との同期の設定を参照してください。
  8. Microsoft Azure AD と同期し、ユーザー、ユーザーグループ、共有メールボックスが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。
  9. グローバル設定 > ディレクトリサービス」に移動して、AD ソースを選択します。
  10. AD ソースをオンにします。
  11. Active Directory と同期し、デバイスとデバイスグループが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。

ソースの変更後

ユーザーとユーザーグループのソースを AD から Microsoft Azure AD に変更すると、同期する情報が変更されます。これによって、Sophos Central に表示される情報が変更されることがあります。また、情報の更新方法も変更されます。

Microsoft Azure AD をドメインの唯一のソースとして使用する場合は、次の事柄が実行されます。

  • Microsoft Azure AD からユーザーが同期されます。表示される情報は、Microsoft Azure AD のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーを参照してください。
  • Microsoft Azure AD からユーザーグループが同期されます。表示される情報は、Microsoft Azure AD のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーグループを参照してください。
  • AD から同期された共有メールボックスの更新が停止されます。共有メールボックスは保持されます。Microsoft Azure AD にある共有メールボックスが作成および更新されます。詳細は、メールボックスを参照してください。
  • パブリックメールフォルダの更新が停止されます。フォルダは保持されます。
  • デバイスとデバイスグループの更新が停止されます。デバイスとデバイスグループは保持されます。

Microsoft Azure AD および AD をドメインのソースとして使用する場合は、次の事柄が実行されます。

  • Microsoft Azure AD からユーザーが同期されます。表示される情報は、Microsoft Azure AD のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーを参照してください。
  • Microsoft Azure AD からユーザーグループが同期されます。表示される情報は、Microsoft Azure AD のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーグループを参照してください。
  • AD から同期された共有メールボックスの更新が停止されます。共有メールボックスは保持されます。Microsoft Azure AD にある共有メールボックスが作成および更新されます。詳細は、メールボックスを参照してください。
  • パブリックメールフォルダの更新が停止されます。フォルダは保持されます。
  • AD からデバイスとデバイスグループが同期され更新されます。

ユーザー

この情報は、現在 Microsoft Azure AD で管理しているドメインのみに適用されます。

次のようにしてユーザーを同期します。

  • 既存のユーザーと一致する場合は、Microsoft Azure AD の情報でそのユーザーは更新されます。ユーザーに関連付けられたメールボックスは保持されます。
  • 既存のユーザーと一致しない場合、そのユーザーおよび関連付けられたメールボックスは削除されます。
  • 新しいユーザーとその関連付けられたメールボックスが作成されます。

ユーザーグループ

この情報は、現在 Microsoft Azure AD で管理しているドメインのみに適用されます。

次のようにしてユーザーグループを同期します。

  • 既存のグループと一致する場合は、Microsoft Azure AD のすべての情報でそのグループは更新されます。
  • 既存のグループと一致しない場合、そのグループは保持され、更新は停止されます。
  • 新しいユーザーグループが作成されます。

メールボックス

この情報は、現在 Microsoft Azure AD で管理しているドメインのみに適用されます。

共有メールボックスは、次のように同期されます。

  • 既存の共有メールボックスはすべて保持されます。関連付けられたユーザーはありません。どのユーザーページにも表示されません。「メールボックス」に共有メールボックスが表示されます。AD との前回の同期からのデータが表示されます。
  • 新しい共有メールボックスは、ユーザーとして「ユーザー」に表示され、「メールボックス」に表示されます。関連付けられたユーザーはありません。