KnowBe4のActive Directory統合（ADI）機能を使用して、組織のActive Directory（AD）とKSATコンソールを統合できます。ADIを設定すると、ADから送信される情報を基準に、KSATコンソールでユーザーおよびグループが自動的に追加、変更、アーカイブされます。この同期は一方向のプロセスであり、KSATコンソールからADに情報が送信されることはないことに注意してください。 

ADIを組織で設定する利点については、KnowBe４の「Active Directory統合（ADI）を設定する利点」の記事を参照してください。ADIの設定方法は、KnowBe4のActive Directory統合（ADI）に関するビデオでも参照できます。また、SCIMを使用してユーザーを同期する場合は、「SCIM設定ガイド」を参照してください。

既存のユーザーがいるアカウントでのADIの運用方法

すでにKSATコンソールにユーザーを追加している場合は、ADIを設定する前に知っておくべきことがいくつかあります。詳細情報については、以下のリストを参照してください。

• ADIを設定すると、ADから同期されたデータは信頼されるものとみなされます。KSATコンソールとADを同期するときには、以下の処理が発生します。
  • ADで見つからなかったユーザーは、KSATコンソールでアーカイブされます。
  • KSATコンソールでユーザー情報を変更している場合、その変更はADのデータにより上書きされます。
• ADIで同期する前は、KSATコンソールのユーザーアカウントはコンソールで管理されているとみなされます。ユーザーがコンソールで管理されている場合、CSVファイルをコンソールにアップロードするか、コンソールで直接ユーザープロファイルを編集することで、ユーザー情報を編集できます。 
  • ADIを設定し、ADとの最初の同期が行われると、ユーザーはADで管理されているとみなされます。ユーザーがADで管理されている場合は、ADでユーザー情報を編集する必要があり、その変更は次回同期する時にKSATコンソールにプッシュされます。
• 初回のAD同期時には、KSATコンソールが管理するユーザーアカウントとADアカウントを自動的に照合します。この作業が実行されると、ユーザーアカウントはコンソールではなくADで管理されるように変更されます。このプロセスの概要は以下の通りです。
  1. お使いの環境でADI同期ツールをインストールして設定します。詳細については、この記事にある「インストールと設定」のセクションを参照してください。
  2. ADから同期する情報を設定します。 詳細については、この記事の次の「同期するOU、グループ、およびユーザーの定義」のセクションを参照してください。
  3. 次に、ADI同期サービスはADにユーザーやグループの情報を照会し、その結果をKnowBe4のサーバーに送信します。
  4. KnowBe4のサーバーは、ADから送信された情報を確認し、サーバーは次のロジックに従って、KSATコンソールのユーザーとグループを自動的に更新します。

     ADユーザーのメールアドレスが、既存のKSATコンソールのアカウントのメールアドレスと一致する場合、KSATコンソールのユーザーアカウントはADで管理されるアカウントになります。

     ADユーザーがKSATコンソールで見つからない場合、ADで管理されるユーザーアカウントが作成されます。

     すべてのADユーザーが処理されると、ADで管理されないコンソールアカウントはアーカイブされます。

ADIを設定すると、ユーザー情報は組織のADの最新情報で常に更新されます。

前提条件

ADIの設定を始める前に、お客様の環境が以下の表示されているKnowBe4の基本的な要件を満たしていることを確認してください。

1. 組織でMicrosoft Active DirectoryまたはMicrosoft Entra IDを使用している必要があります。詳細情報については、以下のリストを参照してください。
   1. 組織でMicrosoft Active Directoryを使用している場合、ドメインの機能レベルはWindows Server 2016以降である必要があります。
   2. Microsoft Entra IDを使用している場合には、Microsoft Entra Domain ServicesをKSATコンソールと同期できます。詳細については、「Microsoft Entra Domain ServicesでActive Directory統合（ADI）を使用する方法」の記事を参照してください。
2. ADIツールは、ユーザーのワークステーションではなく、アプリケーションサーバーにインストールすることをお勧めします。ADIをインストールするシステムが、以下の仕様を満たしていることを確認してください。
   1. システムが、Windows Desktop 10、11またはWindows Server 2016/2019/2022（64ビット）を使用している必要があります。
   2. アカウントのトレーニングインスタンスのサーバーにシステムがアクセスできることを確認してください。インスタンスのリストについては、「KnowBe4のトレーニングインスタンス」の記事を参照してください。トレーニングインスタンスは、KnowBe4のAD同期ツールがPOSTリクエストによってアクセスする必要があるサーバーのURLです。ポート443（SSL/HTTPS）でリモートサーバーへのアウトバウンド接続を許可する必要があります。
   3. コンピュータが2GB以上のRAMを搭載していること。
   4. コンピュータのシステムドライブに、1GB以上のハードディスクドライブ（HDD）の空き容量があること。
   5. コンピュータの[ユーザーアカウント制御]の設定で、ユーザーアカウント制御（UAC）が有効になっていること。

ADIを設定する準備を行うために必要な重要なステップについては、次のセクションを参照してください。

開始する前に：必要なステップ

ローカルシステムにKnowBe4のAD同期ツールをインストールして設定する前に、以下の手順に従ってください。

1. ADについて、以下の情報を収集します。
   重要：ユーザーが複数のドメインコントローラに配置されている場合各ドメインコントローラについて以下の情報を収集する必要があります。また、これらの各ドメインでADIを設定する必要があります。詳細については、「Active Directory Integration（ADI）の高度な設定ガイド」の「マルチソースドメインのサポート」のセクションを参照してください。
   • ADが設置されているドメインコントローラのIPアドレスまたはFQDN（完全修飾ドメイン名）を確認します。
   • ADドメインコントローラがLDAP要求に応答できることを確認します。デフォルトでは、すべてのドメインコントローラがLDAP要求に応答するように設定されています。
     ヒント：AD同期はLDAPを介して通信することができます。しかし、必要であれば、ADを同期する前に、ドメインコントローラでLDAPSを有効にできます。デフォルトでは、ほとんどのドメインコントローラでLDAPSは有効ではありません。詳細については、「ADIのFAQ」を参照してください。
   • ADドメイン名を見つけます。ADドメイン名は、ADドメインコントローラが管理するルートドメインです。ADドメイン名の例は次の画像を参照してください。
   • LDAPクエリを実行する権限を持つAD管理者アカウントのユーザー名とパスワードを確認します。デフォルトでは、[ドメインユーザー]グループのすべてのアカウントにこれらの権限が付与されています。しかし、セキュリティを強化するために、ADで「読み取り」権限しか設定されていないサービスアカウントを使用することをお勧めします。このサービスアカウントに必要な「読み取り」権限を確認するには、「Active Directory Integration（ADI）の高度な設定ガイド」を参照してください。
2. ADI同期トークンを取得し、KSATの[アカウント設定]からADI同期ツールをダウンロードします。以下のステップに従って操作します。
   1. KSATコンソールにログインしたら、ページの右上隅にあるメールアドレスをクリックします。次に、[アカウント設定]をクリックします。
   2. [ユーザープロビジョニング]セクションに移動します。次に、[ユーザープロビジョニング（ユーザー同期）を有効化]チェックボックスを選択します。
   3. [テストモード]設定が有効になっていることを確認します。テストモードは、ADIの設定が完了し、ADIが正しく動作していることを確認した後でオフにしてください。[テストモード]が有効な間は、ユーザーのプロビジョニングや同期は行われません。その代わりに、ユーザーのプロビジョニングが実施される場合の仮定の結果を示すレポートが生成されます。テストモードでは、コンソールに登録されている現在のユーザーに影響を与えることなく、潜在的な問題を解決できます。 
      ヒント：[グループドメインを表示]チェックボックスを選択すると、ユーザーが複数のドメインソースに分かれている場合に便利です。詳細については、「ADIのFAQ」を参照してください。
      
   4. ADI同期トークンをコピーして、ローカルに保存します。設定を完了するには、このトークンが必要です。ADI同期トークンは34桁の長さであり、以下のように表示されます。US9X140X4829E37XX545401X97912X604X。
   5. ADIツール（ADISyncSetup.exe）の横にあるダウンロードアイコンをクリックして、ADIツールのファイルをダウンロードします。 
   6. [アカウント設定]ページの下部にある[変更を保存]をクリックします。
   7. 同期するユーザーを決定し、そのユーザーオブジェクトがADのどこにあるかを把握します。 
3. このセクションのステップおよび以下の「インストールと構成」のステップを完了したら、ユーザーオブジェクトがADのどこに配置されているかを定義する必要があります。ユーザーオブジェクトは、組織単位（OU）、セキュリティグループ、配布グループの1つまたは複数のグループから同期できます。同期するユーザーの定義についての詳細については、この記事の「同期するOU、グループ、およびユーザーの定義」のセクションを参照してください。

   ユーザーオブジェクトがOU、セキュリティグループ、配布グループに配置されていない場合は、以下の情報を参照してください。

   • 同期するユーザーがOUではなくビルトインのユーザーコンテナにある場合、コンテナの同期はできません。この問題を回避するには、セキュリティグループを作成して、そのセキュリティグループにユーザーを追加し、コンテナではなくそのグループを同期します。 
   • お使いのADがKSATコンソールと同期するうえで理想的な方法で整理されていない場合や、以下の点が不明な場合、同期するすべてのユーザーオブジェクトとグループを追加するために、ADに1つまたは複数のグループを設定できます。その後で、これらのグループだけを同期するように指定します。
   • ルートドメインに子ADがある場合、各子ドメインに対してADIインストーラを実行することができます。各子ドメインは、ルートドメインと同じドメインコントローラを使用する必要があります。
4. ユーザーのメールアドレスを取得するADのフィールドを決定します。デフォルトでは、ADIサービスはユーザーのプロキシアドレスを取得して、KnowBe4アカウントのメールアドレスとして使用します。 
   • プロキシアドレス以外を使用する必要がある場合は、adisync.confファイルのemailAttribフィールドを編集する必要があります。例えば、メールサーバーとしてExchangeやMicrosoft 365を使用していない場合、ADのプロキシアドレスフィールドは通常は空欄になります。emailAttribフィールドの編集は、ADI同期サービスをインストールした後 で ADI同期サービスを開始する前に行います。操作手順については、「Active Directory Integration（ADI）の高度な設定ガイド」の「Active Directoryからメールアドレスを取得する場所の変更」のセクションを参照してください。
     注：useMailAttribフィールドは、emailAttributeフィールドに置換されています。
   • すべてのキャンペーンの設定が、ユーザーの急増に対応できるように適切に調整されていることを確認してください。ADIの同期によって新しいユーザーが表示されると影響を受ける場合がありますので、キャンペーンの[スマートグループ]の設定を再確認してください。

上記の情報を収集したら、次のセクションのステップに進みます。

インストールと設定

上記のセクションで説明した情報を収集したら、ADI同期ツールをインストールして設定する準備が整いました。以下のステップに従って、操作を進めます。

1. Active Directory同期ツールを実行します。これは、KSATの[アカウント管理]からダウンロードしたADISyncSetup.exeファイルです。この手順については、「開始する前に：必要なステップ」のセクションを参照してください。AD同期ツールは、ドメインコントローラにインストールする必要はありません。LDAP接続を受け入れるドメインコントローラと通信できるシステムであれば、お使いの環境のどこにでもインストールできます。
   ヒント：AD同期はLDAPを介して通信することができます。しかし、必要であれば、Active Directoryを同期する前に、ドメインコントローラでLDAPSを有効にできます。デフォルトでは、ほとんどのドメインコントローラでLDAPSは有効ではありません。詳細については、次の記事を参照してください: よくある質問:Active Directory 統合 (ADI)。

   コマンドプロンプトが自動的に開き、インストールディレクトリが表示されます。64ビットプラットフォームのデフォルトのインストールディレクトリは、以下になります。C:\Program Files\KnowBe4\ADI Sync

2. コマンドプロンプトウィンドウで、以下の情報を入力するように求められます。
   1. [Enter your 34 character ADI Sync Token（34文字のADI同期トークンの入力）]：このコマンドを初めて実行する場合は、Active Directory同期トークンの入力を求められます。このトークンは、KSATの[アカウント設定]でコピーした文字列です。詳細情報については、上記の「開始する前に：必要なステップ」のセクションを参照してください。
   2. [Enter Active Directory domain name（Active Directoryのドメイン名号の入力）]：このドメイン名には、ADのルートドメインを指定します。例については、上記の「開始する前に：必要なステップ」のセクションを参照してください。 
   3. [Enter Active Directory domain controller hostname or IP address（Active Directoryドメインコントローラのホスト名またはIPアドレスの入力）]：ADのホスト名またはIPアドレスには、ADが設置されているドメインコントローラのIPアドレスまたはFQDN（完全修飾ドメイン名）を指定します。
   4. [Enable SSL (true/false)（SSLの有効化（true/false））]:デフォルトでは、LDAPSはドメインコントローラで有効になっていませんので、「false」と入力するか、キーボードのEnterキーを押して自動的にfalseを選択します。また、この同期でLDAPSを有効にしている場合は、代わりに「true」を入力します。
   5. [Enable SecurityCoach Fields (true/false)（SecurityCoachフィールドの有効化（true/false））］：SecurityCoachを購入されている場合には、「true」と入力して、SecurityCoachフィールドを有効にします。これらのフィールドは、ユーザーマッピングの情報を同期させることができます。詳細については、「Active Directory統合（ADI）用のCONFファイルの編集方法」の記事の「SecurityCoachフィールド」のセクションを参照してください。デフォルトでは、これらのフィールドは無効になっています。これらのフィールドを無効のままにするには、キーボードのEnterキーを押します。
   6. [Enter Active Directory Port number [389]（Active Directoryのポート番号[389]の入力）]：適切なLDAPまたはLDAPSポートを入力します。デフォルトでは、LDAPの場合は389番ポート、LDAPSの場合は636番ポートが使用されます。
   7. [Enter Username (user@domain)（ユーザー名の入力（user@domain））]：LDAPクエリを実行するのに必要な読み取り権限があるAD管理者アカウントのユーザー名を入力します。このユーザー名は、「user@domain」という形式である必要があります。
   8. [Enter Password（パスワードを入力）]：LDAPクエリを実行するのに必要な読み取り権限があるAD管理者アカウントのパスワードを入力します。
3. 接続に成功すると、以下の例のようにドメインでADIが接続され設定されたことを確認するメッセージが表示されます。 
4. キーボードのEnterキーを押して、コマンドプロンプトウィンドウを終了します。

   ドメインコントローラへの接続や認証に問題がある場合、コマンドプロンプトウィンドウにエラーメッセージが表示されます。その場合には、正しい設定データを使用して、このセクションの手順を繰り返す必要があります。エラーが繰り返し発生する場合は、KnowBe4のサポートチームにお問い合わせください。 

   接続が成功したら、次のセクションを参照し、KSATコンソールと同期するユーザーや情報を指定します。

同期するOU、グループ、およびユーザーの定義

前の2つのセクションの手順を完了したら、<ユーザーのドメイン>.confファイルを編集して、KSATアカウントと同期する情報を設定します。この設定は、ADとユーザーを同期するために必要です。

以下のステップに従ってADIの設定を続けます。

1. C:\ProgramData\KnowBe4\ADI Sync\Configフォルダで編集権限があることを確認してください。 
2. 以下のように、インストールディレクトリにある<ユーザーのドメイン>.confファイルを探します。メモ帳などのテキストエディタでこのファイルを開きます。

   <ユーザーのドメイン>.confファイルを使用して、KSATアカウントとAD間で同期するユーザー、ユーザー情報、グループを定義します。このファイルの例を見るには、このsample_domainファイルを開いてください。

   注：adisync.confファイルではなく、<ユーザーのドメイン>.confファイルを編集していることを確認してください。
3. <ユーザーのドメイン>.confファイルを編集して、ユーザーとグループを同期する基準を指定します。<ユーザーのドメイン>.confファイルには、変更できる次の3つのセクションがあります。
   • [sync.fields]（オプション）：このセクションを編集して、ADと同期するユーザー情報フィールドを指定します。詳細については、KnowBe4の「Active Directoryから情報を同期する方法」の記事にある「KnowBe4とのその他のユーザー情報の同期」のセクションを参照してください。
   • [sync.users]（必須）：このセクションを編集して、ADと同期するユーザーを指定します。confファイルの[sync.users]セクションに、少なくとも1つのOU、グループ、またはユーザーが含まれていることを確認します。詳細については、KnowBe4の「KnowBe4とのその他のユーザー情報の同期」の記事にある「OU、グループ、または特定のユーザー（必須）を追加/除外してユーザーを同期する」セクションを参照してください。
   • [sync.groups]（オプション）：このセクションでは、ADと同期するグループを指定できます。これらのグループは、KnowBe4コンソールに自動的に作成され、対象のユーザーがグループに追加されます。詳細については、KnowBe4の「KnowBe4とのその他のユーザー情報の同期」の記事にある「OUまたはグループ（オプション）を追加/除外してユーザーを同期する」セクションを参照してください。
   注：OUやグループ名に標準的な英語のアルファベット以外の文字が含まれている場合は、<ユーザーのドメイン>.confファイル内の二重引用符（"）を一重引用符（'）に置換してください。また、カンマ、ハッシュタグ、プラス記号などの特殊文字をエスケープするには、ダブルバックスラッシュを使用する必要があります。詳細については、「Active Directory統合でのエスケープ文字の使用方法」の記事を参照してください。
4. 完了したら、<ユーザーのドメイン>.confファイルで変更内容を保存します。

次のセクションを参照して、ADIの同期を開始します。

ADI同期の開始

上記の手順をすべて完了すると、KnowBe4 ADI同期サービスの設定が完了し、ADIの同期を開始できます。以下のステップに従って、操作を進めます。

Windowsサービスコントロールマネージャーを使用してKnowBe4 ADI同期サービスを起動して、同期を開始できます。

KnowBe4 ADI同期サービスが直ちに実行されます。サービスが接続されている間は、ADとKSATコンソール間の同期が6時間毎に実行されます。

[アカウント設定]で[テストモード]を有効にすると、ADとKnowBe4との同期のプレビューが表示されます。テストモードのプレビューを表示するには、KSATコンソールで[ユーザー] > [プロビジョニング]に移動します。

自分の組織のニーズに合った方法でADIを設定したことを確認できるまで、[テストモード]を有効にしておいてください。適切にADIを設定できたら、KSATの[アカウント設定]に移動し、テストモードを無効にします。ADIの同期が次に実行されるときに、ユーザーが自動的にプロビジョニングされます。