Active Directory ユーザーとグループに関するよくある質問 (FAQ)
ファイアウォールは、ユーザーを認証するときに、インポートした Active Directory (AD) グループに追加します。
AD からインポートしたユーザーグループ
AD グループをインポートするにはどうすればよいですか?
AD サーバーを設定し、AD グループをファイアウォールにインポートするには、Active Directory 認証を設定するを参照してください。
高可用性クラスタでは、AD グループをプライマリデバイスにインポートしてください。
AD サーバーに後から追加されたグループは、ファイアウォールに自動的に同期されますか?
いいえ。インポートアシスタントを使用してグループをインポートする必要があります。詳細は、Active Directory グループをインポートするを参照してください。
または、AD サーバーとファイアウォールの両方でグループを手動で作成してください。
AD ユーザーは、ファイアウォール内のグループにいつ追加されますか?
AD グループをインポートすると、選択したグループだけがインポートされます。ユーザーがサインインするたびに、ファイアウォールはユーザーのグループを評価し、変更点を適用します。
ユーザーがファイアウォール内のグループに属していない場合はどうなりますか?
サインインしたユーザーの AD グループがファイアウォール内に存在しない場合、ファイアウォールはそのユーザーをデフォルトグループに割り当てます。
デフォルトグループは、「ファイアウォール認証手段」の「認証 > サービス」で確認できます 。デフォルトでは、「オープングループ」になっています。
AD のプライマリグループ情報はファイアウォールに追加されますか?
Active Directory は、プライマリグループ情報をユーザー属性やグループ属性に追加しません。したがって、この情報はファイアウォールに追加されません。
AD のデフォルトのプライマリグループをドメイングループとして保持している場合、ユーザーはこのグループには追加されません。AD のプライマリグループを別のグループ (グループAなど) に変更した場合、ユーザーはこのグループに追加されません。
以下の動作の例をご覧ください。
次の手順を実行します。
Active Directory のプライマリグループが ドメインユーザーではなくグループ A であるとします。ファイアウォールは、リスト上の次に一致するグループ (たとえば、グループB) にユーザーを追加します。
以下の例では、AD サーバーのユーザーのプライマリグループを変更し、Sophos Firewall でユーザーのグループを確認しています。
ファイアウォールにおける、ユーザーの AD グループの優先順位は?
ファイアウォールには、AD ユーザーのメイングループと他のグループのメンバーシップが保持されています。
「認証 > ユーザー」に移動し、目的のユーザーをクリックします。ユーザーのグループは、「ポリシー」に次のように表示されます。
- グループ: ファイアウォールがユーザーを認証するときの、ユーザーのグループリスト内の最初のグループ。これが、ファイアウォール内のユーザーのメイングループとなります。一部のルールおよびポリシーでは、メイングループのみがサポートされます。詳細は、Active Directory グループメンバーシップのサポートを参照してください。
- その他のグループメンバーシップ: ユーザーが所属する他のグループ。
次に例を示します。
高可用性クラスタに AD グループをインポートするにはどうすればよいですか?
プライマリデバイスでインポートアシスタントを使用してください。詳細は、Active Directory グループをインポートするを参照してください。
ファイアウォール内のユーザーグループ
ファイアウォールでユーザーのメイングループを変更するにはどうすればよいですか?
ファイアウォールの「認証 > グループ」のグループの順番で、ユーザーのメイングループが決まります。
ファイアウォールにおけるユーザーのメイングループは、次のいずれかによって変更できます。
- AD でユーザーのグループを追加または削除するか、ユーザーのグループメンバーシップを変更する。
- ファイアウォールの「認証 > グループ」でグループの順番を変更する。そのためには、ユーザーのメイングループを、そのユーザーが属する他のグループの下にドラッグ&ドロップします。
ユーザーが次にサインインしたときに、AD で行った変更に基づいて、ユーザーがグループに追加またはグループから削除されます。続けて、ファイアウォール内のグループの順序を評価し、リスト内の最初のグループをユーザーのメイングループとして設定します。
「認証 > グループ」の順序を変更するにはどうすればよいですか?
次の手順を実行します。
ルールとポリシーはすべて、複数のグループメンバーシップをサポートしていますか?
ルールおよびポリシーによって、ユーザーの複数のグループメンバーシップをサポートしているものと、メイングループのみをサポートしているものがあります。
詳細は、Active Directory グループメンバーシップのサポートを参照してください。
複数のグループメンバーシップをサポートするルールやポリシーでは、ユーザーのグループの順序が影響しますか?
複数のグループメンバーシップをサポートするルールやポリシーの場合、ルールまたはポリシーをトラフィックと照合し、ルールまたはポリシーの中の最初に一致するグループが選択されます。これは、メイングループ、または他のグループメンバーシップのいずれかとなります。詳細は、Active Directory グループメンバーシップのサポートを参照してください。
AD サーバーおよびファイアウォールにおけるユーザーとグループの管理
AD ユーザーおよびグループのポリシーおよび設定はどこで更新できますか?
ポリシーと設定は、「認証 > グループ」で更新できます。または、「認証 > ユーザー」から、個々のユーザーのポリシーおよび設定を更新できます。
ユーザーのポリシーおよび設定は、グループのポリシーおよび設定よりも優先されます。
更新プログラムはいつユーザーに適用されますか?
ユーザーが次にサインインするまで待つ必要があります。ユーザーがサインインするたびに、ユーザーのグループ、グループの順序、ポリシーおよび設定に関する変更内容が適用されます。
AD グループを削除するにはどうすればよいですか?
次の手順を実行します。
- AD サーバーでグループを削除します。
- ファイアウォールでグループを削除します。
AD ユーザーを削除するにはどうすればよいですか?
AD サーバーとファイアウォールの両方で、ユーザーを削除する必要があります。AD サーバーからユーザーを削除しないと、ユーザーがサインインしようとするとファイアウォールで再度作成され、認証されます。
次の手順を実行します。
- まず、AD サーバーからユーザを削除します。
-
ファイアウォールでこのユーザーを削除するには、次の手順に従います。
- 「認証 > ユーザー」に移動します。
-
「AD ユーザーの消去」をクリックします。
ここでユーザーを選択する必要はありません。AD サーバーがチェックされ、サーバーから削除した AD ユーザーのみが自動的に削除されます。
高可用性クラスタでは、プライマリデバイスの AD ユーザーを消去してください。すると、プライマリデバイスおよび補助デバイスからその AD ユーザーのレコードが削除されます。
ユーザーの消去によって、ユーザーのサインインやサインアウト、および利用通信量の計算が中断されることはありません。
AD ユーザーおよびグループのエクスポートや、バックアップの作成はできますか?
ファイアウォールのエクスポート対象は、手動で作成したユーザーのみとなります。AD や RADIUS などの外部認証サーバーで認証したユーザーは、サインイン時にファイアウォールに自動的に追加されますが、エクスポートの対象とはなりません。
インポートした AD グループと、ファイアウォールで手動で作成した AD グループをエクスポートできます。
バックアップは、認証サーバーからのグループとユーザーも含め、すべてのグループとユーザーが対象となります。
エンドポイントのサインインにおける AD の使用
エンドポイントのサインインで AD を使用できますか?
はい。詳細は、Synchronized User ID 認証を参照してください。
Synchronized User ID 認証は、ファイアウォールでローカルに作成されたユーザーに対応していますか?
いいえ。Synchronized User ID 認証を参照してください。
その他のリソース