ディレクトリサービス

Microsoft Active Directory (AD) および Microsoft Entra ID を使用して、複数のソースからユーザーとグループを同期できます。AD からデバイス、デバイスグループ、パブリックフォルダ、メールボックスを同期することもできます。

注

ディレクトリ同期では、手動で追加した Sophos Central オブジェクトが AD オブジェクトを複製する際に上書きされます。さらに、ディレクトリ同期オブジェクトを Sophos Central から消去すると、関連付けられたデータも削除されます。これは、ディレクトリオブジェクトとして上書きされたためです。

また、次の操作も実行できます。

デバイスとデバイスグループを AD と同期し、同じドメインのユーザーとユーザーグループを Microsoft Entra ID と同期する。
異なるドメインの Microsoft Entra ID を同期します。
同じフォレスト内の異なるドメインの AD または Google ディレクトリを同期する。1つのフォレスト内で複数の子ドメインを選択できます。
同じ Sophos Central Admin アカウントのある複数のフォレストの AD または Google ディレクトリを同期する。

はじめに

ユーザーがセルフメール管理のために Sophos Central Self Service Portal (SSP) にアクセスできるようにするには、ディレクトリ同期を設定する前に、まずユーザーアクセスを設定する必要があります。Sophos Central SSP へのユーザーアクセスを設定する方法の詳細については、ユーザーアクセスを参照してください。

これにより、新規および既存のユーザーがメール通知を受信し、SSP にアクセスできるようになります。

制限

ユーザーやメールアドレスを複数の Sophos Central Admin アカウントと同期することはできません。ユーザーとメールアドレスは、各 Sophos Central Admin アカウントで一意である必要があります。
同じドメインにある複数の AD ソースを同期することはできません。
同じドメインにある複数の Microsoft Entra ID または Google Directory ソースを同期することはできません。
AD、Microsoft Entra ID、および　Google ディレクトリを使用して同じドメインからユーザーを同期できません。
異なるディレクトリサービスの異なるユーザー、グループ、またはドメインを個別に同期することはできません。
Active Directory Synchronization Setup を使用して、Microsoft 365 グループ (共有) メールボックスを同期できません。Microsoft Entra ID または Google Directory 同期を使用する必要があります。
25個より多くのソースから同期することはできません。これを行うには、Sophos Central Enterprise を使用してください。

評価版ライセンスでは、ユーザー、デバイス、グループなど、作成またはアクセスできるディレクトリオブジェクトの数が制限されます。

ディレクトリソースの設定

ディレクトリソースを設定するには、管理者である必要があります。

「ユーザーとグループ > ディレクトリサービスの設定」に移動します。

最新のインストーラをダウンロードして、AD との同期を設定できます。AD の同期の設定方法については、Active Directory との同期の設定を参照してください。
Microsoft Entra ID ソースを追加できます。「Microsoft Entra ID の追加 をクリックします。Microsoft Entra ID の同期の設定方法については、Microsoft Entra ID との同期を設定するを参照してください。
Google ディレクトリソースを追加できます。「ディレクトリサービスの追加」をクリックします。Google ディレクトリの同期の設定方法については、Google ディレクトリとの同期の設定を参照してください。

同期を設定すると、ディレクトリソースが表示されます。

ディレクトリソース

各ソースについて、次の情報が表示されます。

名前: ディレクトリソース名をクリックすると、詳細が表示されます。
種類: Active Directory、Azure Active Directory、または Google ディレクトリ。
ドメイン名: 情報の同期元のドメイン。
同期間隔: 同期が実行される日時。
状態: 前回の同期が成功したかどうか。また、警告やエラーが発生したかどうかも表示されます。

同期に関する警告は、「警告」で確認できます。

同期のイベントは、「レポート > ログ > 一般ログ > イベント」で表示できます。

詳細の確認

ディレクトリソースの詳細を確認するには、ソースの名前をクリックします。

AD ソースについては、次の情報が表示されます。

ユーザー、グループ、デバイス、デバイスグループ、パブリックフォルダ、およびインポートされた共有メールボックスの数。
クライアントのホスト名と AD バージョン。
前回の同期に成功したかどうか、または警告やエラーが発生したかどうか。
前回 AD と同期した日時。
情報の同期元のドメイン。

Microsoft Entra ID、または Google ディレクトリソースの場合、次のような情報が表示されます。

Microsoft Entra ID または Google ディレクトリからインポートされたユーザーとグループの数。
前回の同期に成功したかどうか、または警告やエラーが発生したかどうか。
Microsoft Entra ID または Google ディレクトリとの最後の同期の時刻。
同期間隔。

共有メールボックスについて

共有メールボックスを使用すると、複数のユーザーが 1つのメールアカウントにアクセスして管理できるため、組織内でのコミュニケーションとコラボレーションが容易になります。これらのメールボックスは、Microsoft Entra ID または Google ディレクトリを介して同期できます。

共有メールボックスに関するその他の重要な情報は次のとおりです。

共有メールボックスは、特定のユーザーに関連付けられなくても機能するため、ユーザーはユーザー固有の詳細情報がないメールボックスを持つことになります。
委任ユーザーは、共有メールボックスを管理する際にセルフサービスポータルにアクセスできます。
セルフサービスポータルにアクセスできるユーザーは、共有メールボックスに関連付けられた緊急インボックスと隔離の概要メールを表示できます。
共有メールボックスに割り当てられたユーザは、自分のメールボックスと委任先のメールボックスの隔離のサマリーメールを受信します。
ユーザーがオンプレミス AD (Active Directory) から Microsoft Entra ID に移行する場合は、Microsoft Entra ID 統合を使用することをお勧めします。詳細は、ディレクトリソースの変更を参照してください。

この推奨事項は、変換後のディレクトリオブジェクトの種類の違いによって発生する可能性がある、共有メールボックスの予期せぬ削除を回避するのに役立ちます。この問題は、お客様がオンプレミスの AD 同期を引き続き使用している場合に発生する可能性があります。

ソースの管理

ディレクトリソースごとに、次の操作を実行できます。

名前と説明の編集。詳細は、ディレクトリソース名の変更を参照してください。
手動同期。詳細は、ソースの同期を参照してください。

ディレクトリソースの設定を変更できます。同期されたデータを消去したり、ディレクトリソースを削除したりできます。

同期されたデータの消去と AD ソースの削除のヘルプについては、次を参照してください。

同期されたデータの消去と Microsoft Entra ID ディレクトリソースの削除については、次のトピックを参照してください。

同期されたデータの消去と Google Directory ソースの削除については、次の文章を参照してください。

ディレクトリソース名の変更

ソースの名前と説明を変更できます。

警告

変更内容を反映させるには、同期をオンにする必要があります。同期をオンにすると、変更を元に戻すことはできません。

変更するには、次の手順を実行します。

「マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
ソースの名前をクリックします。
「オフにする」をクリックします。
名前と説明を編集します。
「オンにする」をクリックします。

ソースの同期

手動で同期するには、次の手順を実行します。

「マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
ソースの名前をクリックします。
「同期」をクリックします。