Active Directory との同期の設定
ヘルプの公開時点では、一部の機能がリリースされていないこともあります。
ユーザー、デバイス、およびグループを同期できます。パブリックフォルダおよびメールボックスも同期できます。
同じフォレスト内の異なるドメインを同期できます。1つのフォレスト内で複数の子ドメインを選択できます。
複数のフォレストを 1つの Sophos Central Admin アカウントと同期することもできます。次の事柄について理解しておく必要があります。
- フォレストを 1つの Sophos Central Admin アカウントと同期することを推奨します。フォレストを複数のアカウントと同期すると、Sophos Central Admin で予期しない動作が発生する可能性があります。
- ユーザーとメールアドレスは、各フォレストで一意である必要があります。オブジェクトが重複している場合は、同期中に各フォレストからの情報で更新されます。同期によってデータはマージされません。つまり、重複しているフォレストのオブジェクトの矛盾する情報を、Sophos Central Admin で表示することができます。
また、次の操作も実行できます。
-
デバイスとデバイスグループを Active Directory (AD) と同期し、同じドメインのユーザーとユーザーグループを Microsoft Entra ID と同期する。
警告
共有メールボックスおよびパブリックフォルダを同期する際、ユーザーとユーザーグループが、共有メールボックスおよびパブリックフォルダと同じドメインにある場合は、AD を使用してユーザーとユーザーグループも同期する必要があります。
-
異なるドメインの AD および Microsoft Entra ID と同期する。
Active Directory Synchronization Setup
AD と同期するには、Active Directory Synchronization Setup をダウンロードしてインストールする必要があります (インストールとダウンロード方法は、以下を参照してください)。Active Directory Synchronization Setup は、次のように機能します。
-
アクティブなユーザーおよびユーザーグループを同期します。
ユーザーが既存の Sophos Central ユーザーと一致する場合、Active Directory Synchronization Setup は、既存のユーザーが Sophos Central で手動で作成された場合にのみ新しいユーザーを作成します。既存のユーザーが別のディレクトリサービスから同期された場合、新しいユーザーは作成されません。グループについても同様です。
例
- 別のディレクトリサービスを使用して追加された Sophos Central の既存のユーザに、AD からメールアドレスを追加できます。
- 「ユーザーとグループ」ページで「Bob」という名前のユーザーを手動で作成し、AD から「Bob」という名前の別のユーザーを追加すると、Sophos Central には 2人の「Bob」ユーザーが存在します。
-
デバイスとデバイスグループを同期します。デバイスやグループとの一致方法、および他の役に立つ情報は、デバイスグループの検出に関する FAQを参照してください。
-
共有メールボックスおよびパブリックフォルダを同期します。
共有メールボックスを同期する場合は、同期オプションを設定する際に「無効化されたユーザーアカウントを除外する」がオンになっていることを確認する必要があります。このオプションをオフにすると、Sophos Central で共有メールボックスのメールボックスが重複して表示されます。
指定した日時に自動的に実行されるように設定できます。AD 同期サービスのみに対応しています。ソフォスのエージェントソフトウェアを、ユーザーのデバイスにインストールするために使用することはできません。これには、他のインストール方法を使用してください。
AD との同期を設定する前に、以下のセクションを読んで、必要なタスクを完了する必要があります。
- 要件
- 制限
- 非アクティブなユーザーとデバイスの削除
既に完了している場合は、セットアップソフトウェアのダウンロードと認証情報の検証を参照してください。
要件
同期を設定するためには、次の事柄を確認する必要があります。
- ディレクトリソースを設定するには、管理者である必要があります。
- Active Directory Synchronization Setup を実行するコンピュータに、.NET Framework 4.5.2 がインストールされている必要があります。
-
AD と同期するには、Sophos API 認証情報が必要です。これは、同期の設定、既存の設定の変更、または同期を実行する前に必要となります。
サービスプリンシパルの Active Directory Sync API ロールを使用する必要があります。アクセス権は、常にできるだけ具体的に設定されているようにしてください。
詳細は、API 認証情報の管理を参照してください。
-
すべての Active Directory ユーザーにメールアドレスがあることを確認する必要があります。
多数の Sophos Central ワークフローを使用する際、ユーザーを保護するために、ユーザーのメールアドレスが登録されている必要があります。
たとえば、Sophos Email を使用してユーザーを保護する場合、ユーザーに関連付けされていないメールアドレスに送信されたメールは配信されません。
-
特定のドメインを許可するように、ファイアウォールやプロキシを設定する必要があります。詳細は、許可するドメインおよびポートを参照してください。
制限
次の操作は実行できません。
- 同じドメインにある AD と Microsoft Entra ID の両方を使用して、ユーザーおよびユーザーグループを同期する。
- ユーザーやメールアドレスを複数の Sophos Central Admin アカウントと同期する。ユーザーとメールアドレスは、各 Sophos Central Admin アカウントで一意である必要があります。
-
ユーザーを複数のドメインのグループと同期する。ユーザーは、グループが属するドメインのみと同期されます。「Preview and Sync」にはすべてのグループメンバーが表示されますが、他のドメインのユーザーはこのグループに追加されません。
たとえは、domainX.com および sub.domainX.com という 2つのドメインがある場合を想定します。1つ目のドメイン domainX.com には、g1 というグループがあります。グループ g1 には、両方のドメインのメンバーが含まれます。この場合、ユーザーは同期され、グループ g1 に関連付けられます。この操作は、グループが関連付けられているドメインに対してのみ行われます。つまり、domainX.com ユーザーは同期され、g1 グループに追加されます。「Preview and Sync」にはすべてのグループメンバーが表示されますが、2番目のドメインのユーザーは追加されません。
-
ディレクトリオブジェクトで 1000個を超えるフィルタを設定する。フィルタを使用すると、同期するユーザーとデバイスを選択できます。
- 5000文字を超える追加の LDAP フィルタを設定する。
- 任意の部分が 63文字を超える名前のあるドメインを使用するか、「-」または「_」文字で開始または終了する名前のあるドメインを使用する。
- ユーザーを、ユーザーグループとは別に同期する。両方を同期する、またはどちらも同期しないことのみを選択できます。
- デバイスを、デバイスグループとは別に同期する。両方を同期する、またはどちらも同期しないことのみを選択できます。
- Microsoft 365 グループ (共有) メールボックスを同期する。Microsoft Entra ID 同期を使用する必要があります。
- 単一のドメインまたはサブドメインにある複数の AD クライアントを同期する。
非アクティブなユーザーとデバイスの削除
非アクティブなユーザーとデバイスは、AD ドメインから削除することを推奨します。非アクティブなユーザーのアカウントとデバイスは、セキュリティリスクをもたらします。また、これによって、AD から Sophos Central に送信されるファイルのサイズも小さくなるので、同期が高速化されます。
非アクティブなユーザーを検索して削除する方法の詳細は、次を参照してください。
AD フィルタを使用して、非アクティブなユーザーが Sophos Central と同期することを阻止することもできます。これにより、Sophos Central に送信される同期ファイルのサイズは削減できますが、AD ドメイン内の非アクティブなユーザーに関連するセキュリティリスクは軽減されません。
詳細は、非アクティブな AD ユーザーのフィルタリングを参照してください。
セットアップソフトウェアのダウンロードと認証情報の検証
AD との同期の設定を開始するには、Active Directory Synchronization Setup をダウンロードし、認証情報を検証する必要があります。
ここでは、AD との同期を設定する方法について説明します。これによって、AD ディレクトリソースが追加されます。ディレクトリソースの管理の詳細は、ソースの管理を参照してください。
設定を開始するには、次の手順を実行します。
- 「マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
- Active Directory Synchronization Setup をダウンロードするリンクをクリックします。そして、実行します。「Active Directory Synchronization Setup」が開始されます。
- 「クライアント ID」および「クライアントシークレット」を入力し、「Validate credentials」(認証情報の検証) をクリックします。
- プロキシを使用する場合は「Configure proxy manually」(プロキシの手動設定) をオンにして、「Proxy address」(プロキシアドレス) を入力します。
-
プロキシを使用している場合は、追加の認証をオンにすることができます。「Enable proxy authentication」(プロキシ認証の有効化) をオンにして、次の情報を入力します。
- プロキシユーザー
- プロキシパスワード
-
「Validate credentials」(認証情報の検証) をクリックして、プロキシ設定を確認します。
次に、AD 設定の詳細を入力する必要があります。
AD 設定の入力
次に、AD 設定の詳細を入力します。同期する Active Directory フォレスト全体への読み取り権限のある、ユーザーアカウントの認証情報を使用する必要があります。セキュリティを維持するためには、権限の制限されたアカウントを使用するようにしてください。
設定内容を入力する方法は次のとおりです。
-
「AD Configuration」(AD の設定) ページで、使用している Active Directory LDAP サーバーと認証情報の詳細を入力します。
SSL で暗号化された LDAP のセキュア接続を使用し、「Use LDAP over an SSL connection」(SSL 接続で LDAP を使用する (推奨)) をオンにしたままにすることを推奨します。
-
使用している LDAP 環境が SSL に対応していない場合は、「Use LDAP over an SSL connection (recommended)」(SSL 接続で LDAP を使用する (推奨)) をオフにし、ポート番号を変更してください。ポート番号は、通常、SSL 接続の場合 636で、セキュア接続でない場合は 389 です。
Microsoft は、Active Directory の LDAP チャネルバインディングと LDAP 署名を変更するセキュリティ更新プログラムをリリースしました。ポート 389 のセキュリティ保護されていない接続は、この Microsoft セキュリティ更新プログラムでは動作しません。詳細は、Windows の 2020 年 LDAP 署名と LDAP チャネル バインディングの要件を参照してください。
次に、同期オプションを設定する必要があります。これには、「Next」(次へ) をクリックして、残りのタブで同期を設定します。
設定が完了したら、任意のタブで「Finish」(完了) をクリックできます。
同期オプションの設定
次に、AD から Sophos Central への情報の同期に使用するフィルタを設定できます。
ヘルプの公開時点では、一部の機能がリリースされていないこともあります。
AD フィルタ
Active Directory Synchronization Setup を使用して同期するデータの種類を選択できます。
LDAP フィルタを設定して、同期するデータの種類を選択できます。
異なるデータの種類の同期に関する具体的なヘルプは、次を参照してください。
データをフィルタするには、次の手順を実行します。
-
「AD Filters」(AD のフィルタ) タブで、LDAP フィルタを設定して、同期するユーザー、デバイス、およびグループを選択します。
各ドメインに対して、検索のベースや LDAP クエリのフィルタなど、追加の検索オプションを入力できます。また、ユーザーおよびユーザーグループに対して、異なるオプションも指定できます。
注
同期では、グループのフィルタ設定に関わらず、検出されたユーザーまたはデバイスを含むグループのみが作成されます。
オプション 説明 検索のベース 検索のベース (別名: ベース識別名) を指定できます。たとえば、組織単位 (OU) でフィルタする場合は、次の形式で検索のベースを指定できます。
OU=Finance,DC=myCompany,DC=com
LDAP クエリのフィルタ グループメンバーシップなどでユーザーをフィルタするには、次の形式でユーザークエリのフィルタを定義できます。
memberOf=CN=testGroup, DC=myCompany, DC=com
このクエリでは、「testGroup」に所属しているユーザーのみがフィルタ表示の対象になります。グループクエリのフィルタを指定しない場合は、検出されたユーザーが属するすべてのグループが同期によって検出されることに注意してください。また、グループ検出で「testGroup」グループのみを検出する場合は、次のグループクエリのフィルタを定義してください。
CN=testGroup
これらのフィルタは、非アクティブなユーザーが Sophos Central と同期することを阻止するためにも使用できます。
無効化されたユーザーアカウントを除外する デフォルトで、無効なユーザーアカウントは同期から除外されます。含めるには、このオプションをオフにします。
共有メールボックスを同期する場合は、このオプションがオンになっていることを確認する必要があります。このオプションがオンになっていない場合、Sophos Central で共有メールボックスのメールボックスが重複して表示されます。
警告
検索オプションにベース識別名を含めたり、フィルタの設定を変更したりした場合、前回同期を行った際に作成された Sophos Central ユーザーやグループの一部が、検索の対象外となる可能性があります。Sophos Central から削除される場合があります。
次に、同期スケジュールを設定できます。詳細は、同期間隔を参照してください。
デバイスおよびデバイスグループ
デバイスおよびデバイスグループを同期する場合は、次の手順を実行します。
- 「AD Filters」(AD のフィルタ) をクリックします。
- 「Sync devices」(デバイスの同期) と「Sync organizational units」(組織単位の同期) をオンにします。
-
デバイスを同期する前に組織単位を同期すると、グループを事前に設定することができます。これを行うには、「Sync organizational units」(組織単位の同期) のみをオンにします。
デバイスをはじめて同期する前に、組織単位を同期することを推奨します。これによって、ポリシーを設定してグループに適用できます。その後、デバイスを同期して、設定済みのポリシーをデバイスに適用できます。この手順を行わなかった場合は、グループおよびデバイスにデフォルトポリシーが適用されます。
デバイスを同期する前に組織単位を同期した場合は、デバイスを同期する際に「Sync devices」(デバイスの同期) と「Sync organizational units」(組織単位の同期) をオンにする必要があります。これによって、組織単位とデバイスの間の関連付けが維持されます。
組織単位とデバイスを同期した後にこれらの設定を変更する場合は、次のことを確認する必要があります。
- 「Sync organizational units」(組織単位の同期) をオフにして、「Sync devices」(デバイスの同期) をオンにしたままにした状態で同期すると、組織単位は Sophos Central のカスタムグループとして表示されます。
- 「Sync devices」(デバイスの同期) をオフにして、「Sync organizational units」(組織単位の同期) をオンのままにした状態で同期すると、デバイスは Sophos Central のグループに割り当てられません。
ユーザーおよびユーザーグループ
ユーザーおよびユーザーグループを同期する場合は、次の手順を実行します。
- 「AD Filters」(AD のフィルタ) をクリックします。
-
「Sync users and user groups」(ユーザーとユーザーグループの同期) をオンにします。
このオプションによって、共有メールボックスも同期されます。
代わりに Microsoft Entra ID を使用して、ユーザーおよびユーザーグループを同期することもできます。これを行うには、このオプションをオフにします。
このオプションをオフにすると、共有メールボックスやパブリックフォルダを同期できなくなります。
パブリックフォルダ
パブリックフォルダを同期するには、次の手順を実行します。
- 「AD Filters」(AD のフィルタ) をクリックします。
-
「Sync users and user groups」(ユーザーとユーザーグループの同期) をオンにします。
パブリックフォルダはメールボックスなので、このオプションをオンにする必要があります。
-
「Sync public folders」(パブリックフォルダの同期) をオンにします。
同期間隔
同期間隔を設定するには、次の手順を実行します。
-
「Sync Schedule」(同期間隔) タブで、同期を行う日時を指定します。
注
スケジュール設定された同期は、バックグラウンドサービスによって実行されます。
-
手動で同期を行い、同期を自動実行しない場合は、次をクリックします:「Never. Only sync when manually initiated.」(なし。手動同期のみ実行する。)
次に AD と同期できます。
AD との同期
同期を設定したり、設定を変更したりするときは、AD と手動で同期することを推奨します。この際、同期によって実行される変更内容を確認できます。
手動での同期には、最長 15分かかります。
同期するには、次の手順を実行します。
-
「Preview and Sync」(プレビューして同期) をクリックします。
- LDAP クエリのフィルタを使用している場合は、設定が適切であることを確認してください。
-
同期によって実行される変更内容を確認します。変更内容に問題がない場合は、「Approve Changes and Continue」(変更を確定して続行) をクリックします。ユーザー、デバイス、およびグループが、AD から Sophos Central にインポートされます。
-
Sophos Central で、ユーザー、デバイス、およびグループを確認します。
- ユーザーをチェックして、デバイスが保護されていることを確認します。
- ユーザーおよびユーザーグループに適用されているポリシーを確認します。
- コンピュータとサーバーで、管理下にないデバイスの存在を確認します。これは、専用のタブに表示されます。管理下にないデバイスをすべて保護します。
- ユーザーおよびユーザーグループに適用されているポリシーを確認します。ポリシーは、AD デバイスグループにも適用できます。
Active Directory 同期サーバーの移動
AD との同期に使用しているサーバーを移動する場合は、次の手順を実行します。
- 現在のサーバーで同期を停止します。
-
新しいサーバーで、Active Directory との同期を設定します。
この操作に関する詳細は、このページの前のセクションにある手順に従ってください。
-
フィルタに変更を加える必要がないことを確認します。
- 同期をプレビューして、設定が正しいことを確認します。
- 同期を実行し、すべて予想どおりに動作していることを確認します。
- 同期のスケジュールを設定します。
- 元のサーバーから Active Directory との同期を削除します。