Active Directory と同期する
ここでは Active Directory との同期の概要について説明します。
Active Directory の同期とは?
Active Directory の同期で、Sophos Enterprise Console グループと Active Directory コンテナを同期することができます。Active Directory で検出される新しいコンピュータやコンテナは、Sophos Enterprise Console に自動的にコピーされます。また、検出された Windows のクライアントマシンの自動保護を選択することもできます。これにより、コンピュータが保護されるまでの無防備な時間が短縮され、また、保護の作業負担が軽減されます。
同期の設定が完了したら、以後、同期中にコンピュータやコンテナが新しく検出された際に、特定の宛先にメール警告を送信するように設定できます。同期した Sophos Enterprise Console グループ内のコンピュータを自動保護する場合は、自動保護に失敗した場合に警告を送信するように設定することもできます。
Active Directory の同期方法
Sophos Enterprise Console では、この製品で作成・管理する同期を行わない「通常」のグループと、Active Directory と同期するグループの両方を持つことができます。
同期を設定する際に、Active Directory コンテナと常に同期する Sophos Enterprise Console グループ (同期ポイント) を選択、または作成します。Active Directory コンテナに含まれるすべてのコンピュータやサブグループは、Sophos Enterprise Console にコピーされ、常に Active Directory と同期されます。
Active Directory との同期の設定が完了すると、同期設定した部分の Sophos Enterprise Console のグループ構成が同期をとる Active Directory のコンテナ構成と全く同じになります。変更は次のように反映されます。
- Active Directory コンテナに新規コンピュータが追加されると、Enterprise Console にも表示されます。
- Active Directory からコンピュータを削除したり、同期していないコンテナに移動した場合、それらのコンピュータは、Sophos Enterprise Console では「グループ外のコンピュータ」フォルダに移動されます。 警告 「グループ外のコンピュータ」フォルダに移動されたコンピュータには、新しいポリシーが適用されなくなります。
- 同期するコンテナ間でコンピュータが移動されると、Sophos Enterprise Console でもグループ間でコンピュータが移動されます。
- はじめて同期する際に、グループ内に既にコンピュータが存在する場合は、同期する Active Directory の構成と一致するグループに移動されます。
- 新しいグループに移動したコンピュータのポリシーが移動先のポリシーと異なる場合は、当該のコンピュータに新しいポリシーが送信されます。
デフォルトで、同期は 1時間ごとに行われます。同期の間隔は、必要に応じて変更できます。
同期の設定にあたって
Active Directory と同期するグループや、設定する同期ポイントの数は自由に決めることができますが、作成されるグループのサイズが管理可能な大きさであるかを考慮してください。無理なくコンピュータにソフトウェアをインストールし、検索・クリーンアップできるようにしてください。これは特に、初回のインストールにおいて重要です。
推奨する方法は次のとおりです。
- 「Active Directory のインポート」機能を使用して、グループ構成 (コンピュータなし) をインポートします。
- インポートしたグループ構成を確認して、同期ポイントを選択します。
- グループポリシーを設定し、グループおよびサブグループに適用します。
- 選択した同期ポイントを 1つずつ Active Directory と同期します。