コンテンツにスキップ

Active Directory ユーザーとグループに関するよくある質問 (FAQ)

ファイアウォールは、ユーザーを認証するときに、インポートした Active Directory (AD) グループに追加します。

AD グループをインポートするにはどうすればよいですか?

AD サーバーを設定し、AD グループをファイアウォールにインポートするには、Active Directory 認証を設定するを参照してください。

高可用性クラスタでは、AD グループをプライマリデバイスにインポートしてください。

AD サーバーに後から追加されたグループは、ファイアウォールに自動的に同期されますか?

いいえ。インポートアシスタントを使用してグループをインポートする必要があります。詳細は、Active Directory グループをインポートするを参照してください。

または、AD サーバーとファイアウォールの両方でグループを手動で作成してください。

AD ユーザーは、ファイアウォール内のグループにいつ追加されますか?

AD グループをインポートすると、選択したグループだけがインポートされます。ユーザーがサインインするたびに、ファイアウォールはユーザーのグループを評価し、変更点を適用します。

ユーザーがファイアウォール内のグループに属していない場合はどうなりますか?

サインインしたユーザーの AD グループがファイアウォール内に存在しない場合、ファイアウォールはそのユーザーをデフォルトグループに割り当てます。

デフォルトグループは、「ファイアウォール認証手段」の「認証 > サービス」で確認できます 。デフォルトでは、「オープングループ」になっています。

AD のプライマリグループ情報はファイアウォールに追加されますか?

Active Directory は、プライマリグループ情報をユーザー属性やグループ属性に追加しません。したがって、この情報はファイアウォールに追加されません。

AD のデフォルトのプライマリグループをドメイングループとして保持している場合、ユーザーはこのグループには追加されません。AD のプライマリグループを別のグループ (グループAなど) に変更した場合、ユーザーはこのグループに追加されません。

以下の動作の例をご覧ください。

次の手順を実行します。

  1. Windows で、「管理ツール」を開きます。

    手順は、オペレーティングシステムやそのバージョンによって異なります。

  2. ユーザーを右クリックし、「プロパティ」を選択して「メンバー」に移動します。

    このユーザーはグループ A、グループ B、グループ C に属しており、プライマリグループはドメインユーザーです。

    Active Directory のユーザーのプロパティタブ。

  3. キャプティブポータルにサインインするようにユーザーに依頼します。

    キャプティブポータルのサインインページ。

    認証されたユーザーはファイアウォールにインポートされ、リストの最初のグループ (グループ A) にマッピングされます。

  4. Sophos Firewall で「認証 > ユーザー」に移動し、ユーザーのグループを確認します。

    Sophos Firewall の認証グループ。

Active Directory のプライマリグループが ドメインユーザーではなくグループ A であるとします。ファイアウォールは、リスト上の次に一致するグループ (たとえば、グループB) にユーザーを追加します。

以下の例では、AD サーバーのユーザーのプライマリグループを変更し、Sophos Firewall でユーザーのグループを確認しています。

  1. Windows で、「管理ツール」を開きます。

    手順は、オペレーティングシステムやそのバージョンによって異なります。

  2. ユーザーを右クリックし、「プロパティ」を選択して「メンバー」に移動します。

  3. プライマリグループをグループ A に変更します

    ユーザーの AD グループリスト内の最初のグループは A です。

    Active Directory のユーザーのプロパティタブ。

  4. キャプティブポータルにサインインするようにユーザーに依頼します。

    キャプティブポータルのサインインページ。

    ユーザーが認証されると、ファイアウォールにインポートされ、グループ B にマッピングされます。

  5. Sophos Firewall で「認証 > ユーザー」に移動し、ユーザーのグループを確認します。

    Sophos Firewall の認証グループ。

ファイアウォールにおける、ユーザーの AD グループの優先順位は?

ファイアウォールには、AD ユーザーのメイングループと他のグループのメンバーシップが保持されています。

認証 > ユーザー」に移動し、目的のユーザーをクリックします。ユーザーのグループは、「ポリシー」に次のように表示されます。

  • グループ: ファイアウォールがユーザーを認証するときの、ユーザーのグループリスト内の最初のグループ。これが、ファイアウォール内のユーザーのメイングループとなります。一部のルールおよびポリシーでは、メイングループのみがサポートされます。詳細は、Active Directory グループメンバーシップのサポートを参照してください。
  • その他のグループメンバーシップ: ユーザーが所属する他のグループ。

次に例を示します。

ユーザーのその他のグループメンバーシップ。

高可用性クラスタに AD グループをインポートするにはどうすればよいですか?

プライマリデバイスでインポートアシスタントを使用してください。詳細は、Active Directory グループをインポートするを参照してください。

ファイアウォール内のユーザーグループ

ファイアウォールでユーザーのメイングループを変更するにはどうすればよいですか?

ファイアウォールの「認証 > グループ」のグループの順番で、ユーザーのメイングループが決まります。

ファイアウォールにおけるユーザーのメイングループは、次のいずれかによって変更できます。

  • AD でユーザーのグループを追加または削除するか、ユーザーのグループメンバーシップを変更する。
  • ファイアウォールの「認証 > グループ」でグループの順番を変更する。そのためには、ユーザーのメイングループを、そのユーザーが属する他のグループの下にドラッグ&ドロップします。

ユーザーが次にサインインしたときに、AD で行った変更に基づいて、ユーザーがグループに追加またはグループから削除されます。続けて、ファイアウォール内のグループの順序を評価し、リスト内の最初のグループをユーザーのメイングループとして設定します。

「認証 > グループ」の順序を変更するにはどうすればよいですか?

次の手順を実行します。

  1. 認証 > グループ」に移動します。
  2. 並べ替え」をクリックします。

    グループの順序を変更。

  3. 目的のグループをドラッグ&ドロップします。

  4. 閉じる」をクリックします。
ルールとポリシーはすべて、複数のグループメンバーシップをサポートしていますか?

ルールおよびポリシーによって、ユーザーの複数のグループメンバーシップをサポートしているものと、メイングループのみをサポートしているものがあります。

詳細は、Active Directory グループメンバーシップのサポートを参照してください。

複数のグループメンバーシップをサポートするルールやポリシーでは、ユーザーのグループの順序が影響しますか?

複数のグループメンバーシップをサポートするルールやポリシーの場合、ルールまたはポリシーをトラフィックと照合し、ルールまたはポリシーの中の最初に一致するグループが選択されます。これは、メイングループ、または他のグループメンバーシップのいずれかとなります。詳細は、Active Directory グループメンバーシップのサポートを参照してください。

AD ユーザーおよびグループのポリシーおよび設定はどこで更新できますか?

ポリシーと設定は、「認証 > グループ」で更新できます。または、「認証 > ユーザー」から、個々のユーザーのポリシーおよび設定を更新できます。

ユーザーのポリシーおよび設定は、グループのポリシーおよび設定よりも優先されます。

更新プログラムはいつユーザーに適用されますか?

ユーザーが次にサインインするまで待つ必要があります。ユーザーがサインインするたびに、ユーザーのグループ、グループの順序、ポリシーおよび設定に関する変更内容が適用されます。

AD グループを削除するにはどうすればよいですか?

次の手順を実行します。

  1. AD サーバーでグループを削除します。
  2. ファイアウォールでグループを削除します。
AD ユーザーを削除するにはどうすればよいですか?

AD サーバーとファイアウォールの両方で、ユーザーを削除する必要があります。AD サーバーからユーザーを削除しないと、ユーザーがサインインしようとするとファイアウォールで再度作成され、認証されます。

次の手順を実行します。

  1. まず、AD サーバーからユーザを削除します。
  2. ファイアウォールでこのユーザーを削除するには、次の手順に従います。

    1. 認証 > ユーザー」に移動します。
    2. AD ユーザーの消去」をクリックします。

      ここでユーザーを選択する必要はありません。AD サーバーがチェックされ、サーバーから削除した AD ユーザーのみが自動的に削除されます。

      高可用性クラスタでは、プライマリデバイスの AD ユーザーを消去してください。すると、プライマリデバイスおよび補助デバイスからその AD ユーザーのレコードが削除されます。

    ユーザーの消去によって、ユーザーのサインインやサインアウト、および利用通信量の計算が中断されることはありません。

AD ユーザーおよびグループのエクスポートや、バックアップの作成はできますか?

ファイアウォールのエクスポート対象は、手動で作成したユーザーのみとなります。AD や RADIUS などの外部認証サーバーで認証したユーザーは、サインイン時にファイアウォールに自動的に追加されますが、エクスポートの対象とはなりません。

インポートした AD グループと、ファイアウォールで手動で作成した AD グループをエクスポートできます。

バックアップは、認証サーバーからのグループとユーザーも含め、すべてのグループとユーザーが対象となります。

エンドポイントのサインインで AD を使用できますか?

はい。詳細は、Synchronized User ID 認証を参照してください。

Synchronized User ID 認証は、ファイアウォールでローカルに作成されたユーザーに対応していますか?

いいえ。Synchronized User ID 認証を参照してください。

その他のリソース