メニュー 日本語 Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) Français (France) हिंदी Magyar Bahasa Indonesia Italiano 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

Active Directory統合(ADI)設定ガイド

更新:

作成日時:

Active Directory統合の設定

KnowBe4のActive Directory統合(ADI)機能を使用して、組織のActive Directory(AD)とKMSATコンソールを統合できます。ADIを設定すると、ADから送信される情報を基準に、KMSATコンソールでユーザーおよびグループが自動的に追加、変更、アーカイブされます。この同期は一方向のプロセスであり、KMSATコンソールからADに情報が送信されることはないことに注意してください。 

ADIを組織で設定する利点については、KnowBe4の「Active Directory統合(ADI)を設定する利点」の記事を参照してください。ADIの設定方法は、KnowBe4のActive Directory統合(ADI)に関するビデオでも参照できます。また、SCIMを使用してユーザーを同期する場合は、「SCIM設定ガイド」を参照してください。

注:お客様の環境によっては、高度な設定オプションが必要となる場合があります。高度な設定オプションの詳細については、「Active Directory統合(ADI)の高度な設定ガイド」を参照してください。

リンク先:

既存のユーザーがいるアカウントでのADIの運用方法

前提条件
開始する前に:必要なステップ
インストールと設定
同期するOU、グループ、およびユーザーの定義
ADI同期の開始

 

既存のユーザーがいるアカウントでのADIの運用方法

すでにKMSATコンソールにユーザーを追加している場合は、ADIを設定する前に知っておくべきことがいくつかあります。詳細情報については、以下のリストを参照してください。

  • ADIを設定すると、ADから同期されたデータは信頼されるものとみなされます。KMSATコンソールとADを同期するときには、以下の処理が発生します。
    • ADで見つからなかったユーザーは、KMSATコンソールでアーカイブされます。
    • KMSATコンソールでユーザー情報を変更している場合、その変更はADのデータにより上書きされます。
  • ADIで同期する前は、KMSATコンソールのユーザーアカウントはコンソールで管理されているとみなされます。ユーザーがコンソールで管理されている場合、CSVファイルをコンソールにアップロードするか、コンソールで直接ユーザープロファイルを編集することで、ユーザー情報を編集できます。 
    • ADIを設定し、ADとの最初の同期が行われると、ユーザーはADで管理されているとみなされます。ユーザーがADで管理されている場合は、ADでユーザー情報を編集する必要があり、その変更は次回同期する時にKMSATコンソールにプッシュされます。
  • 初回のAD同期時には、KMSATコンソールが管理するユーザーアカウントとADアカウントを自動的に照合します。この作業が実行されると、ユーザーアカウントはコンソールではなくADで管理されるように変更されます。このプロセスの概要は以下の通りです。
    1. お使いの環境でADI同期ツールをインストールして設定します。詳細については、この記事にある「インストールと設定」のセクションを参照してください。
    2. ADから同期する情報を設定します。 詳細については、この記事の次の「同期するOU、グループ、およびユーザーの定義」のセクションを参照してください。
    3. 次に、ADI同期サービスはADにユーザーやグループの情報を照会し、その結果をKnowBe4のサーバーに送信します。
    4. KnowBe4のサーバーは、ADから送信された情報を確認し、サーバーは次のロジックに従って、KMSATコンソールのユーザーとグループを自動的に更新します。
      • ADユーザーのメールアドレスが、既存のKMSATコンソールのアカウントのメールアドレスと一致する場合、KMSATコンソールのユーザーアカウントはADで管理されるアカウントになります。
      • ADユーザーがKMSATコンソールで見つからない場合、ADで管理されるユーザーアカウントが作成されます。
      • すべてのADユーザーが処理されると、ADで管理されないコンソールアカウントはアーカイブされます。

ADIを設定すると、ユーザー情報は組織のADの最新情報で常に更新されます。

トップに戻る

 

前提条件

ADIの設定を始める前に、お客様の環境が以下の表示されているKnowBe4の基本的な要件を満たしていることを確認してください。

1.組織でMicrosoft Active DirectoryまたはAzure Active Directoryを使用している必要があります。詳細情報については、以下のリストを参照してください。

  • 組織でMicrosoft Active Directoryを使用している場合、ドメインの機能レベルはWindows Server 2003以降である必要があります。
  • 組織でAzure Active Directoryを使用している場合、Azure Active Directory Domain ServicesをKMSATコンソールと同期できます。詳細については、「Azure Active Directory Domain ServicesでActive Directory統合を使用する方法」の記事を参照してください。

2.ADIツールは、ユーザーのワークステーションではなく、アプリケーションサーバーにインストールすることをお勧めします。ADIをインストールするシステムが、以下の仕様を満たしていることを確認してください。

  • システムが、Windows Desktop 7/Vista/8/10またはWindows Server 2008/2012/2016/2019(64ビット)を使用している必要があります。
  • アカウントのトレーニングインスタンスのサーバーにシステムがアクセスできることを確認してください。インスタンスのリストについては、「KnowBe4のトレーニングインスタンス」の記事を参照してください。
    • トレーニングインスタンスは、KnowBe4のAD同期ツールがPOSTリクエストによってアクセスする必要があるサーバーのURLです。ポート443(SSL/HTTPS)でリモートサーバーへのアウトバウンド接続を許可する必要があります。

注:プロキシ経由でADIを設定する場合は、HTTP_PROXY変数を環境変数に追加する必要があります。詳細については、「プロキシを使用してActive Directory統合(ADI)を設定する方法」の記事を参照してください。

ADIを設定する準備を行うために必要な重要なステップについては、次のセクションを参照してください。

トップに戻る

 

開始する前に:必要なステップ

ローカルシステムにKnowBe4のAD同期ツールをインストールして設定する前に、以下の手順に従ってください。

1.ADについて、以下の情報を収集します。

注:ユーザーが複数のドメインコントローラに配置されている場合各ドメインコントローラについて以下の情報を収集する必要があります。また、これらの各ドメインでADIを設定する必要があります。詳細については、「Active Directory Integration(ADI)の高度な設定ガイド」「マルチソースドメインのサポート」のセクションを参照してください。
  • ADが設置されているドメインコントローラのIPアドレスまたはFQDN(完全修飾ドメイン名)を確認します。

  • ADドメインコントローラがLDAP要求に応答できることを確認します。デフォルトでは、すべてのドメインコントローラがLDAP要求に応答するように設定されています。

    ヒント:AD同期はLDAPを介して通信することができます。しかし、必要であれば、ADを同期する前に、ドメインコントローラでLDAPSを有効にできます。デフォルトでは、ほとんどのドメインコントローラでLDAPSは有効ではありません。詳細については、「ADIのFAQ」を参照してください。

  • ADドメイン名を見つけます。ADドメイン名は、ADドメインコントローラが管理するルートドメインです。ADドメイン名の例は次の画像を参照してください。

    次の例のドメイン名であるDevKB4-a.comが表示されている[Active Directory ユーザーとコンピュータ]ウィンドウのスクリーンキャプチャ。

  • LDAPクエリを実行する権限を持つAD管理者アカウントのユーザー名とパスワードを確認します。デフォルトでは、[ドメインユーザー]グループのすべてのアカウントにこれらの権限が付与されています。しかし、セキュリティを強化するために、ADで「読み取り」権限しか設定されていないサービスアカウントを使用することをお勧めします。このサービスアカウントに必要な「読み取り」権限を確認するには、「Active Directory Integration(ADI)の高度な設定ガイド」を参照してください。

2.ADI同期トークンを取得し、KMSATの[アカウント設定]からADI同期ツールをダウンロードします。以下のステップに従って操作します。

    1. KMSATコンソールにログインしたら、ページの右上隅にあるメールアドレスをクリックします。次に、[アカウント設定]をクリックします。
    2. [ユーザープロビジョニング]セクションに移動します。次に、[ユーザープロビジョニング(ユーザー同期)を有効化]チェックボックスを選択します。
      [アカウント設定]の[Active Directory統合の有効化]チェックボックス
    3. [テストモード]設定が有効になっていることを確認します。テストモードは、ADIの設定が完了し、ADIが正しく動作していることを確認した後でオフにしてください。[テストモード]が有効な間は、ユーザーのプロビジョニングや同期は行われません。その代わりに、ユーザーのプロビジョニングが実施される場合の仮定の結果を示すレポートが生成されます。テストモードでは、コンソールに登録されている現在のユーザーに影響を与えることなく、潜在的な問題を解決できます。[アカウント設定]の領域で、テストモード、ADI同期トークン、ADIツールが表示されます。

      ヒント:[グループドメインを表示]チェックボックスを選択すると、ユーザーが複数のドメインソースに分かれている場合に便利です。詳細については、「ADIのFAQ」を参照してください。

    4. ADI同期トークンをコピーして、ローカルに保存します。設定を完了するには、このトークンが必要です。ADI同期トークンは32桁の長さであり、9X140X4829E37XX545401X97912X604Xのように表示されます。
    5. ADIツール(KnowBe4_AD_Sync.msi)の横にあるダウンロードアイコンをクリックして、ADIツールのファイルをダウンロードします。 
    6. [アカウント設定]ページの下部にある[変更を保存]をクリックします。
    7. 同期するユーザーを決定し、そのユーザーオブジェクトがADのどこにあるかを把握します。 

3.このセクションのステップおよび以下の「インストールと構成」のステップを完了したら、ユーザーオブジェクトがADのどこに配置されているかを定義する必要があります。ユーザーオブジェクトは、組織単位(OU)、セキュリティグループ、配布グループの1つまたは複数のグループから同期できます。同期するユーザーの定義についての詳細については、この記事の「同期するOU、グループ、およびユーザーの定義」のセクションを参照してください。

ユーザーオブジェクトがOU、セキュリティグループ、配布グループに配置されていない場合は、以下の情報を参照してください。

  • 同期するユーザーがOUではなくビルトインのユーザーコンテナにある場合、コンテナの同期はできません。この問題を回避するには、セキュリティグループを作成して、そのセキュリティグループにユーザーを追加し、コンテナではなくそのグループを同期します。 
  • お使いのADがKMSATコンソールと同期するうえで理想的な方法で整理されていない場合や、以下の点が不明な場合、同期するすべてのユーザーオブジェクトとグループを追加するために、ADに1つまたは複数のグループを設定できます。その後で、これらのグループだけを同期するように指定します。
  • ルートドメインに子ADがある場合、各子ドメインに対してADIインストーラを実行することができます。各子ドメインは、ルートドメインと同じドメインコントローラを使用する必要があります。

4.ユーザーのメールアドレスを取得するADのフィールドを決定します。デフォルトでは、ADIサービスはユーザーのプロキシアドレスを取得して、KnowBe4アカウントのメールアドレスとして使用します。 

  • プロキシアドレス以外を使用する必要がある場合は、ADIsync.confファイルのemailAttribフィールドを編集する必要があります。例えば、メールサーバーとしてExchangeやMicrosoft 365を使用していない場合、ADのプロキシアドレスフィールドは通常は空欄になります。emailAttribフィールドの編集は、ADI同期サービスをインストールした後ADI同期サービスを開始する前に行います。操作手順については、「Active Directory Integration(ADI)の高度な設定ガイド」「Active Directoryからメールアドレスを取得する場所の変更」のセクションを参照してください。

    注:useMailAttribフィールドは、emailAttributeフィールドに置換されています。

  • すべてのキャンペーンの設定が、ユーザーの急増に対応できるように適切に調整されていることを確認してください。ADIの同期によって新しいユーザーが表示されると影響を受ける場合がありますので、キャンペーンの[スマートグループ]の設定を再確認してください。

上記の情報を収集したら、次のセクションのステップに進みます。

トップに戻る

 

インストールと設定

上記のセクションで説明した情報を収集したら、ADI同期ツールをインストールして設定する準備が整いました。以下のステップに従って、操作を進めます。

1.Active Directory同期ツールを実行します。これは、上記の[開始する前に:必要なステップ]セクションのステップ2で、KMSATの[アカウント管理]からダウンロードしたKnowBe4_AD_Sync.msiファイルです。AD同期ツールは、ドメインコントローラにインストールする必要はありません。LDAP接続を受け入れるドメインコントローラと通信できるシステムであれば、お使いの環境のどこにでもインストールできます。

ヒント:AD同期はLDAPを介して通信することができます。しかし、必要であれば、Active Directoryを同期する前に、ドメインコントローラでLDAPSを有効にできます。デフォルトでは、ほとんどのドメインコントローラでLDAPSは有効ではありません。詳細については、「ADIのFAQ」を参照してください。

コマンドプロンプトが自動的に開き、インストールディレクトリが表示されます。64ビットプラットフォームのデフォルトのインストールディレクトリは、以下になります。

  • C:\Program Files (x86)\KnowBe4\ADISync

2.コマンドプロンプトウィンドウで、以下の情報を入力するように求められます。 コマンドプロンプトウィンドウには、この画像のフィールドが表示されます。

    1. [Enter Active Directory Hostname or IP address(Active Directory同期トークンの入力)]:このコマンドを初めて実行する場合は、Active Directory同期トークンの入力を求められます。このトークンは、KMSATの[アカウント設定]でコピーした文字列です。詳細情報については、上記の「開始する前に:
    2. [Enter Domain Name(ドメイン名の入力)]:このドメイン名には、ADのルートドメインを指定します。例については、上記の「開始する前に: 
    3. [Enter Active Directory Hostname or IP address(Active Directoryのホスト名またはIPアドレスの入力)]:ADのホスト名またはIPアドレスには、ADが設置されているドメインコントローラのIPアドレスまたはFQDN(完全修飾ドメイン名)を指定します。
    4. [Enable SSL (true/false)(SSLの有効化(true/false))]:デフォルトでは、LDAPSはドメインコントローラで有効になっていませんので、「false」と入力するか、キーボードのEnterキーを押して自動的にfalseを選択します。また、この同期でLDAPSを有効にしている場合は、代わりに「true」を入力します。
    5. [Enter Active Directory Port number(Active Directoryのポート番号の入力)]:適切なLDAPまたはLDAPSポートを入力します。デフォルトでは、LDAPの場合は389番ポート、LDAPSの場合は636番ポートが使用されます。
    6. [Enter Username(ユーザー名の入力)]:LDAPクエリを実行するのに必要な読み取り権限があるAD管理者アカウントのユーザー名を入力します。このユーザー名は、「user@domain」という形式である必要があります。
    7. [Enter Password(パスワードを入力)]:AD管理者のユーザーアカウントのパスワードを入力します。

3.接続に成功すると、コマンドプロンプトウィンドウに以下の例のような確認メッセージが表示されます。 
コマンドプロンプトに、「Configuration complete, press enter to exit.」と表示されます。

4.キーボードのEnterキーを押して、コマンドプロンプトウィンドウを終了します。

ドメインコントローラへの接続や認証に問題がある場合、コマンドプロンプトウィンドウにエラーメッセージが表示されます。その場合には、正しい設定データを使用して、このセクションの手順を繰り返す必要があります。エラーが繰り返し発生する場合は、KnowBe4のサポートチームにお問い合わせください。 

接続が成功したら、次のセクションを参照し、KMSATコンソールと同期するユーザーや情報を指定します。

トップに戻る

 

同期するOU、グループ、およびユーザーの定義

前の2つのセクションの手順を完了したら、<ユーザーのドメイン>.confファイルを編集して、KMSATアカウントと同期する情報を設定します。この設定は、ADとユーザーを同期するために必要です。

ヒント:<ユーザーのドメイン>.confファイルを設定するときには、[Active Directoryユーザーとコンピューター]ウィンドウを開いておくと、OUのパスやグループを参照できるため便利です。

以下のステップに従ってADIの設定を続けます。

1.ADISyncフォルダの編集権限があることを確認します。 

2.以下のように、インストールディレクトリにある<ユーザーのドメイン>.confファイルを探します。このファイルをメモ帳などのテキストエディタで開きます。 domain.confファイルをハイライトしたADI同期ツールのインストールディレクトリ

<ユーザーのドメイン>.confファイルを使用して、KMSATアカウントとAD間で同期するユーザー、ユーザー情報、グループを定義します。このファイルの例を見るには、このsample_domainファイルを開いてください。

注:ADISync.confファイルではなく<ユーザーのドメイン>.confファイルを編集していることを確認してください。

3.<ユーザーのドメイン>.confファイルを編集して、ユーザーとグループを同期する基準を指定します。<ユーザーのドメイン>.confファイルには、変更できる次の3つのセクションがあります。

注:OUやグループ名に標準的な英語のアルファベット以外の文字が含まれている場合は、<ユーザーのドメイン>.confファイル内の二重引用符(")を一重引用符(')に置換してください。また、カンマ、ハッシュタグ、プラス記号などの特殊文字をエスケープするには、ダブルバックスラッシュを使用する必要があります。詳細については、「Active Directory統合でのエスケープ文字の使用方法」の記事を参照してください。

4.完了したら、<ユーザーのドメイン>.confファイルで変更内容を保存します。

次のセクションを参照して、ADIの同期を開始します。

トップに戻る

 

ADI同期の開始

上記の手順をすべて完了すると、ADIサービスの設定が完了し、ADIの同期を開始できます。以下のステップに従って、操作を進めます。

重要:同期を開始する前に、KMSATの[アカウント設定]で必ず[テストモード]を有効にしてください。詳細情報については、上記の「開始する前に:

次の2つの方法で同期を開始できます。

  1. Windowsサービスコントロールマネージャーを使用します(ADIサービスの名前は「Active Directory統合同期サービス」)。
  2. 管理者モードでコマンドプロンプトを開いてから、次の2つのステップを実行します。
    1. 適切なディレクトリに移動します。64ビットプラットフォームのデフォルトのインストールディレクトリは、以下になります。C:\Program Files (x86)\KnowBe4\ADISync
    2. ADIsync.exe service startと入力し、キーボードのEnterキーを押します。

ADI同期サービスが直ちに実行されます。サービスが接続されている間は、ADとKMSATコンソール間の同期が6時間毎に実行されます。

[アカウント設定][テストモード]を有効にすると、ADとKnowBe4との同期のプレビューが表示されます。テストモードのプレビューを表示するには、KMSATコンソールで[ユーザー] > [プロビジョニング]に移動します。

自分の組織のニーズに合った方法でADIを設定したことを確認できるまで、[テストモード]を有効にしておいてください。適切にADIを設定できたら、KMSATの[アカウント設定]に移動し、テストモードを無効にします。ADIの同期が次に実行されるときに、ユーザーが自動的にプロビジョニングされます。

トップに戻る

この記事は役に立ちましたか?
50人中44人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

コメント

0件のコメント

記事コメントは受け付けていません。

関連記事