Active Directory統合の設定

KnowBe4のActive Directory統合（ADI）機能を使用して、組織のActive DirectoryとKnowBe4コンソールを統合できます。ADIを設定すると、Active Directoryから送信される情報を基準に、KnowBe4コンソールでユーザーおよびグループが自動的に追加、変更、アーカイブされます。この同期は一方向のプロセスであり、KnowBe4コンソールからActive Directoryに情報が送信されることはないことに注意してください。

また、Active Directory統合の設定方法を紹介しているこちらのビデオもご覧いただけます。しかし、ADIの仕組みを詳しく理解するために、以下のセクションをすべて読むことをお勧めします。

リンク先：

ADIを設定する利点
既存のユーザーがいるアカウントでのADIの運用方法
前提条件
開始する前に：必要なステップ
インストールと設定
同期するOU、グループ、およびユーザーの定義
同期の開始
高度な設定オプション

• マルチソースドメインのサポート
• Active Directoryからメールアドレスを取得する場所を変更する方法
• カスタムフィールドの同期方法

最新バージョンのADIをインストールする方法

ADIを設定する利点

KnowBe4をActive Directory（AD）と統合することで、ADからユーザーやグループをコンソールに追加でき、ユーザーやグループを管理するプロセスが容易になります。

次のドロップダウンメニューをクリックして、ADとKnowBe4を統合する利点について確認してください。

トップに戻る

既存のユーザーがいるアカウントでのADIの運用方法

すでにKnowBe4アカウントにユーザーを追加している場合は、Active Directory統合（ADI）を設定する前に知っておくべきことがいくつかあります。以下の一覧を参照してください。

• ADIを設定すると、Active Directoryから同期されたデータは信頼されるものとみなされます。KnowBe4コンソールとADを同期するときには、以下の処理が発生します。
  • Active Directoryで見つからなかったユーザーは、KnowBe4コンソールでアーカイブされます。
  • KnowBe4コンソールでユーザー情報を変更している場合、その変更はActive Directoryのデータにより上書きされます。
• ADIで同期する前は、KnowBe4コンソールのユーザーアカウントはコンソールで管理されているとみなされます。ユーザーがコンソールで管理されている場合、CSVファイルをコンソールにアップロードするか、コンソールで直接ユーザープロファイルを編集することで、ユーザー情報を編集できます。 
  • ADIを設定し、ADとの最初の同期が行われると、ユーザーはADで管理されているとみなされます。ユーザーがADで管理されている場合は、Active Directoryでユーザー情報を編集する必要があり、その変更は次回同期する時にKnowBe4コンソールにプッシュされます。
• 初回のAD同期時には、コンソールが管理するユーザーアカウントとADアカウントを自動的に照合します。この作業が実行されると、ユーザーアカウントはコンソールではなくADで管理されるように変更されます。このプロセスの概要は以下の通りです。
  1. お使いの環境でADI同期ツールをインストールして設定します。
     • 詳細については、「インストールと設定」のセクションを参照してください。
  2. Active Directoryから同期する情報を設定します。 
     • 詳細については、次の「同期するOU、グループ、およびユーザーの定義」のセクションを参照してください。
  3. 次に、ADI同期サービスはActive Directoryにユーザーやグループの情報を照会し、その結果をKnowBe4のサーバーに送信します。
  4. KnowBe4サーバーは、ADから送信された情報を確認し、サーバーは次のロジックに従って、KnowBe4コンソールのユーザーとグループを自動的に更新します。
     
     • ADユーザーのメールアドレスが、既存のKnowBe4コンソールのアカウントのメールアドレスと一致する場合、KnowBe4コンソールのユーザーアカウントはADで管理されるアカウントになります。
     • ADユーザーがKnowBe4コンソールで見つからない場合、ADで管理されるユーザーアカウントが作成されます。
     • すべてのADユーザーが処理されると、ADで管理されないコンソールアカウントはアーカイブされます。

Active Directory統合（ADI）を設定すると、ユーザー情報は組織のActive Directoryの最新情報で常に更新されます。

トップに戻る

前提条件

ADIの設定を始める前に、お客様の環境がKnowBe4の基本的な要件を満たしていることを確認してください。要件の詳細は以下の通りです。 

1. お客様の組織には、以下のいずれかのActive Directoryサービスが設定されている必要があります。
   • Microsoft Active Directory：ドメインの機能レベルは、Windows Server 2003以降である必要があります。
   • Azure Active Directory：KnowBe4コンソールとAzure Active Directory Domain Servicesを同期できます。詳細については、「Azure Active Directory Domain ServicesでActive Directory統合を使用する方法」を確認してください。
2. ADIツールは、ユーザーのワークステーションではなく、アプリケーションサーバーにインストールすることをお勧めします。ADIをインストールするシステムが、以下の仕様を満たしていることを確認してください。
   • Windows Desktop 7/Vista/8/10またはWindows Server 2008/2012/2016/2019（64ビット）。
   • ユーザーのKnowBe4アカウントが配置されている場所に応じて、このシステムが、以下のいずれかのサーバーにアクセスできることを確認してください。
     • https://training.knowbe4.com
     • https://eu.knowbe4.com
     これは、KnowBe4のAD同期ツールがPOSTリクエストによってアクセスする必要があるサーバーのURLです。ポート443（SSL/HTTPS）でリモートサーバーへのアウトバウンド接続を許可する必要があります。

ADIを設定する準備を行う重要なステップについては、次のセクションを参照してください。

トップに戻る

開始する前に：必要なステップ

ローカルシステムにKnowBe4のAD同期ツールをインストールして構成する前に、以下の手順でこの設定の準備を行う必要があります。

1. ADIを設定するためには、Active Directory（AD）に関する以下の情報を収集する必要があります。以下のステップに従って操作します。 
   

   重要：

   ユーザーが複数のドメインコントローラに配置されている場合各ドメインコントローラについて以下の情報を収集する必要があります。また、これらの各ドメインでADIを設定する必要があります。詳細については、次の「マルチソースドメインのサポート」のセクションを参照してください。
   1. Active Directoryが設置されているドメインコントローラのIPアドレスまたはFQDN（完全修飾ドメイン名）を確認します。
   2. ADドメインコントローラがLDAP要求に応答できることを確認します。デフォルトでは、すべてのドメインコントローラがLDAP要求に応答するように設定されています。
      

      ヒント：

      AD同期はLDAPを介して通信することができます。しかし、必要であれば、Active Directoryを同期する前に、ドメインコントローラでLDAPSを有効にできます。デフォルトでは、ほとんどのドメインコントローラでLDAPSは有効ではありません。詳細については、FAQで「LDAPSの設定」のセクションを参照してください。
   3. ADドメイン名を見つけます。ADドメイン名は、ADドメインコントローラが管理するルートドメインです。ADドメイン名の例は次の画像を参照してください。
      
   4. LDAPクエリを実行する権限を持つAD管理者アカウントのユーザー名とパスワードを確認します。
      • デフォルトでは、[ドメインユーザー]グループのすべてのアカウントにこれらの権限が付与されています。しかし、セキュリティを強化するために、ADで「読み取り」権限しか設定されていないサービスアカウントを使用することをお勧めします。このサービスアカウントに必要な「読み取り」権限については、「Active DirectoryでADIサービスアカウントを作成する方法」を参照してください。
2. ADI同期トークンを取得し、KnowBe4の[アカウント設定]からADI同期ツールをダウンロードします。以下のステップに従って操作します。
   1. KnowBe4アカウントにログインしたら、右上にあるメールアドレスをクリックします。次に、[アカウント設定]をクリックします。
   2. [ユーザープロビジョニング]セクションに移動します。次に、以下に示すように、[ユーザープロビジョニング（ユーザー同期）を有効化]チェックボックスをクリックします。
      
   3. 以下のように[テストモード]設定が有効になっていることを確認します。テストモードは、ADIの設定が完了し、ADIが正しく動作していることを確認した後でオフにしてください。
      • テストモードが有効な間は、ユーザーのプロビジョニングや同期は行われません。その代わりに、ユーザーのプロビジョニングが実施される場合の仮定の結果を示すレポートが生成されます。テストモードでは、コンソールに登録されている現在のユーザーに影響を与えることなく、潜在的な問題を解決できます。 
      
      

      ヒント：

      [グループドメインを表示]チェックボックスを有効にすると、ユーザーが複数のドメインソースに分かれている場合に便利です。詳細については、[アカウント設定]で[グループドメインを表示]オプションを有効にするとどうなりますか？」を参照してください。
   4. ADI同期トークン：ADI同期トークンをコピーして、ローカルに保存します。設定を完了するには、このトークンが必要です。
      • ADI同期トークンは32桁の長さであり、以下のように表示されます。9X140X4829E37XX545401X97912X604X。
   5. ADIツールのダウンロード：ADIツール（KnowBe4_AD_Sync.msi）の横にあるダウンロードアイコンをクリックして、ファイルをダウンロードします。 
   6. [アカウント設定]ページの下部にある[変更を保存]をクリックします。
3. 同期するユーザーを決定し、そのユーザーオブジェクトがADのどこにあるかを把握します。 
   このセクションおよび以下の「インストールと構成」のステップを完了したら、ユーザーオブジェクトがADのどこに配置されているかを定義する必要があります。ユーザーオブジェクトは、組織単位（OU）、セキュリティグループ、配布グループの1つまたは複数のグループから同期できます。
   • 同期するユーザーの定義についての詳細については、「同期するOU、グループ、およびユーザーの定義」を参照してください。
   ユーザーオブジェクトがOU、セキュリティグループ、配布グループに配置されていない場合は、以下の情報を参照してください。
   
   • 同期するユーザーがOUではなくビルトインのユーザーコンテナにある場合：コンテナの同期はできません。この問題を回避するには、セキュリティグループを作成して、そのセキュリティグループにユーザーを追加し、コンテナではなくそのグループを同期します。 
   • お使いのADがKnowBe4コンソールと同期するうえで理想的な方法で整理されていない場合や、以下の点が不明な場合：同期するすべてのユーザーオブジェクトとグループを追加するために、Active Directoryに1つまたは複数のグループを設定できます。その後で、これらのグループだけを同期するように指定します。
4. ユーザーのメールアドレスを取得するADのフィールドを決定します。デフォルトでは、ADIサービスはユーザーのプロキシアドレスを取得して、KnowBe4アカウントのメールとして使用します。 
   • プロキシアドレス以外を使用する必要がある場合は、ADIsync.confファイルのemailAttribフィールドを編集する必要があります。例えば、メールサーバーとしてExchangeやMicrosoft 365を使用していない場合、ADのプロキシアドレスフィールドは通常は空欄になります。emailAttribフィールドの編集は、ADI同期サービスをインストールした後でADI同期サービスを開始する前に行います。操作手順については、「Active Directoryからメールアドレスを取得する場所を変更する方法」を参照してください。
     
5. すべてのキャンペーンの設定が、ユーザーの急増に対応できるように適切に調整されていることを確認してください。ADIの同期によって新しいユーザーが表示されると影響を受ける場合がありますので、キャンペーンの[スマートグループ]の設定を再確認してください。

上記の情報を収集したら、次のセクションのステップに進みます。

トップに戻る

インストールと設定

上記のセクションで説明した情報を収集したら、ADI同期ツールをインストールして設定する準備が整いました。以下のステップに従って、操作を進めます。

5. Active Directory同期ツールを実行します。これは、コンソールの[アカウント設定]からダウンロードしたKnowBe4_AD_Sync.msiファイルです（上記の「開始する前に」セクションのステップ2を参照）。
   • AD同期ツールは、ドメインコントローラにインストールする必要はありません。LDAP接続を受け入れるドメインコントローラと通信できるシステムであれば、お使いの環境のどこにでもインストールできます。
     

     ヒント：

     AD同期はLDAPを介して通信することができます。しかし、必要であれば、Active Directoryを同期する前に、ドメインコントローラでLDAPSを有効にできます。デフォルトでは、ほとんどのドメインコントローラでLDAPSは有効ではありません。詳細については、FAQで「LDAPSの設定」のセクションを参照してください。
6. コマンドプロンプトが自動的に開き、インストールディレクトリが表示されます。64ビットプラットフォームのデフォルトのインストールディレクトリは、以下になります。

• C:\Program Files (x86)\KnowBe4\ADISync

コマンドプロンプトウィンドウで、以下の情報を入力するように求められます。

1. このコマンドを初めて実行する場合は、Active Directory同期トークンの入力を求められます。このトークンは、KnowBe4の[アカウント設定]からコピーした文字列です（上記の「開始する前に」セクションのステップ2を参照）。
2. ドメイン名を入力します。このドメイン名には、ADのルートドメインを指定します。例として、上記の 「開始する前に」のこちらのステップを参照してください。 
3. Active Directoryのホスト名または IP アドレスを入力します。ADのホスト名またはIPアドレスには、Active Directoryが設置されているドメインコントローラのIPアドレスまたはFQDN（完全修飾ドメイン名）を指定します。
4. SSLを有効にします（true/false）。デフォルトでは、LDAPSはドメインコントローラで有効になっていませんので、falseと入力するか、キーボードのEnterキーを押して自動的にfalseを選択します。また、この同期でLDAPSを有効にしている場合は、代わりにtrueを入力します。
5. Active Directoryのポート番号を入力します。適切なLDAPまたはLDAPSポートを入力します。デフォルトでは、LDAPの場合は389番ポート、LDAPSの場合は636番ポートが使用されます。
6. ユーザー名を入力します。LDAPクエリを実行するのに必要な読み取り権限があるAD管理者アカウントのユーザー名を入力します。このユーザー名は、「user@domain」という形式である必要があります。
7. パスワードを入力します。AD管理者のユーザーアカウントのパスワードを入力します。

接続に成功すると、コマンドプロンプトウィンドウに以下の例のような確認メッセージが表示されます。 

ドメインコントローラへの接続や認証に問題がある場合、コマンドプロンプトウィンドウにエラーメッセージが表示されます。その場合には、正しい設定データを使用して、このセクションの手順を繰り返す必要があります。エラーが繰り返し発生する場合は、KnowBe4のサポートチームにお問い合わせください。 

接続が成功したら、次のセクションを参照し、KnowBe4アカウントと同期するユーザーや情報を指定します。

トップに戻る

同期するOU、グループ、およびユーザーの定義

前の2つのセクションの手順を完了したら、<ユーザーのドメイン>.confファイルを編集して、KnowBe4と同期する情報を設定します。この設定は、Active Directoryとユーザーを同期するために必要です。

以下のステップに従ってADIの設定を続けます。

11. ADISyncフォルダの編集権限があることを確認します。 
12. 以下のように、インストールディレクトリにある<ユーザーのドメイン>.confファイルを探します。このファイルをメモ帳などのテキストエディタで開きます。
    • <ユーザーのドメイン>.confファイルを使用して、KnowBe4とActive Directory間で同期するユーザー、ユーザー情報、グループを定義します。このファイルの例を見るには、このsample_domainファイルを開いてください。
      

      注：

      ADISync.confファイルではなく、 <ユーザーのドメイン>.confファイルを編集していることを確認してください。
13. <ユーザーのドメイン>.confファイルを編集して、ユーザーとグループを同期する基準を指定します。<ユーザーのドメイン>.confには、変更できる次の3つのセクションがあります。
    • [sync.fields]（オプション）：このセクションを編集して、ADと同期するユーザー情報フィールドを指定します。
      • 詳細については、「KnowBe4とのその他の情報の同期」を参照してください。
    • [sync.users]（必須）：このセクションを編集して、ADと同期するユーザーを指定します。confファイルの[sync.users]セクションに、少なくとも1つのOU、グループ、またはユーザーが含まれていることを確認します。
      • 詳細については、「OU、グループ、または特定のユーザー（必須）を追加/除外してユーザーを同期する 」を参照してください。
    • [sync.groups]（オプション）：このセクションでは、ADと同期するグループを指定できます。これらのグループは、KnowBe4コンソールに自動的に作成され、対象のユーザーがグループに追加されます。
      • 詳細については、「OUまたはグループ（オプション）を追加/除外してユーザーを同期する」を参照してください。

    注：

    OUやグループ名に標準的な英語のアルファベット以外の文字が含まれている場合は、<ユーザーのドメイン>.confファイル内の二重引用符（"）を一重引用符（'）に置換してください。また、カンマ、ハッシュタグ、プラス記号などの特殊文字をエスケープするには、ダブルバックスラッシュを使用する必要があります。詳細については、「Active Directory統合でのエスケープ文字の使用方法」を参照してください。
14. 完了したら、<ユーザーのドメイン>.confファイルで変更内容を保存します。

次のセクションを参照して、ADIの同期を開始します。

トップに戻る

同期の開始

上記の手順をすべて完了すると、ADIサービスの設定が完了し、ADIの同期を開始できます。以下のステップに従って、操作を進めます。

15. 次の2つの方法で同期を開始できます。
    1. Windowsサービスコントロールマネージャーを使用する（ADIサービスの名前は「Active Directory統合同期サービス」）
    2. 管理者モードでコマンドプロンプトを開き、次の2つのステップを実行します。
       1. 適切なディレクトリに移動します。64ビットプラットフォームのデフォルトのインストールディレクトリは、以下になります。C:\Program Files (x86)\KnowBe4\ADISync
       2. ADIsync.exe service startと入力し、キーボードのEnterキーを押します。

ADI同期サービスが直ちに実行されます。サービスが接続されている間は、ADとKnowBe4コンソール間の同期が6時間毎に実行されます。

[アカウント設定]でテストモードを有効にすると、ADとKnowBe4との同期のプレビューが表示されます。テストモードのプレビューを表示するには、KnowBe4コンソールで[ユーザー] > [Active Directory]をクリックします。

自分の組織のニーズに合った方法でADIを設定したことを確認できるまで、テストモードを有効にしておいてください。適切にADIを設定できたら、KnowBe4の[アカウント設定]に移動し、テストモードを無効にします。ADIの同期が次に実行されるときに、ユーザーが自動的にプロビジョニングされます。

トップに戻る

高度な設定オプション

お客様の環境によっては、追加の設定が必要な場合があります。以下のセクションを参照して、これらのオプションが自社の組織に適用されるどうかを確認してください。 

• マルチソースドメインのサポート
• Active Directoryからメールアドレスを取得する場所を変更する方法
• カスタムフィールドの同期方法

マルチソースドメインのサポート

ユーザーが複数のドメインソースに分かれて配置されている場合は、同期する必要のあるユーザーオブジェクトを含むドメインごとに設定を行う必要があります。追加のドメインごとに、ADI同期ツールのインストールディレクトリで ADIsync.exe configを再実行する必要があります。ADI同期設定を再実行すると、同期のフィルタ基準を指定するために編集する必要のある<ユーザーのドメイン>.confファイルが追加で作成されます。 

以下のステップに従って、ADI同期の設定を再度実行します。

1. 管理者モードでコマンドプロンプトを開きます。
2. \ADIsyncシステムディレクトリに移動します。
   • 64ビットプラットフォームのシステムディレクトリのデフォルトの場所はC:\Program Files (x86)\KnowBe4\ADISync
3. adisync.exe configと入力し、キーボードのEnterキーを押します。
4. 追加するドメインコントローラとドメインの詳細を入力します。
   • 詳細については、上記の「インストールと設定」セクションのステップ7を参照してください。  
5. 追加の<ユーザーのドメイン>.confファイルが作成されたら、そのファイルを編集し、同期する情報を指定します。
   • 詳細については、「同期するOU、グループ、およびユーザーの定義」を参照してください。
6. <ユーザーのドメイン>.confファイルを保存します。この処理をすべての追加ドメインで繰り返した後、同期を開始できます。 

トップに戻る

Active Directoryからメールアドレスを取得する場所を変更する方法

デフォルトでは、ADI同期ツールはユーザーのすべてのプロキシメールアドレスを同期します。ただし、Active Directoryのどこからメールアドレスを取得するかを変更できます。さらに、ユーザーのプライマリプロキシのメールアドレスのみを同期させることも可能です。

C:\Program Files\KnowBe4\ADISyncのADISync.conファイルを開きます。デフォルトでは、以下のフィールドが表示されます。

• emailAttribute = "proxyAddresses"
• primaryproxyonly = false

同期するユーザーのメールアドレスを変更する方法については、以下の詳細をご覧ください。これらのフィールドでは、大文字と小文字が区別されます。

• プライマリプロキシのみ：各ユーザーのプライマリプロキシアドレスのみを使用する場合は、primaryproxyonlyフィールドをfalseからtrueに変更します。次に、ADIsync.confファイルを保存し、ADIサービスを再起動します。これにより、エイリアスのメールアドレスが同期されなくなります。
• Mail属性：同期ツールでproxyAddressesではなくMailを使用する場合、フィールドemailAttributeを「proxyAddresses」ではなく「Mail」に変更し、フィールドuseMailAttrib を「false」ではなく「true」に変更します。 次に、ADIsync.confファイルを保存し、ADIサービスを再起動します。
  

  注：

  同期の基準にするフィールドにかかわらず、ユーザーのmail属性は空にできません。ADIを使用する目的においては、この値が有効なドメインである必要はありません。もし、ユーザーの組織がmail属性を使用しない場合は、サポートにお問い合わせください。

• ユーザープリンシパル名：同期ツールでproxyAddressesではなくuserPrincipalName（UPN）を使用する場合、emailAttributeフィールドを 「proxyAddresses」から「userPrincipalName」に変更してください。次に、ADIsync.confファイルを保存し、ADIサービスを再起動します。

トップに戻る

カスタムフィールドの同期方法

KnowBe4コンソールのユーザープロファイルには、カスタムフィールド（クリックして例を表示）が含まれています。これらのフィールドを使用してActive Directoryから追加情報を同期できます。同期する情報をカスタムフィールドに指定するには、<ユーザーのドメイン>.confファイルを編集してから サービスを再起動して、変更した内容を同期します。詳細については、「KnowBe4とのその他の情報の同期」を参照してください。

トップに戻る

最新バージョンのADIをインストールする方法

最新バージョンのADIは、旧バージョンをアンインストールせずに、インストールできます。以下のステップに従って操作します。

1. KnowBe4の[アカウント設定]から新規インストーラー（KnowBe4_AD_Sync.msiファイル）をダウンロードします。
2. インストールを実行します。
3. インストール終了時に表示されるDOSプロンプトを閉じます。
4. 同期サービスを開始します。

ユーザーが正しく同期されます。

トップに戻る