Active Directory統合

共有

この記事は役に立ちましたか?

最終更新:

Active Directory統合(ADI)用のCONFファイルの編集

Active Directory統合(ADI)を介してユーザーを管理する場合、KSATコンソールと同期するユーザーとグループを定義する必要があります。設定プロセスでダウンロードしたADI構成(CONF)ファイルを編集して、同期するユーザーとグループを定義できます。

この記事では、CONFファイルを編集して、特定のユーザー、グループ、ユーザー情報を同期する方法について説明します。ADIの一般情報については、「Active Directory統合(ADI)設定ガイド」を参照してください。SCIMを使用する場合は、「SCIM設定ガイド」を参照してください。学生向けエディションを購入されている場合、.confファイル内のuser-roleフィールドを使用して、KSATのユーザータイプを設定できます。

同期するユーザーの定義

このセクションでは、CONFファイルを編集して、ADとKSATコンソールで同期するユーザーを定義する方法について説明します。これらのADユーザーは、KSATコンソールのユーザーとして入力されます。グループを同期するには、最初に特定のユーザーを同期する必要があります。

CONFファイルを編集してAzureと同期するユーザーを定義するには、以下のステップに従って操作します。

  1. テキストエディタで<domain>.confファイルを開きます。CONFを見つける方法の詳細については、「Active Directory統合(ADI)設定ガイド」を参照してください。
  2. CONFファイルの[sync.users]セクションの以下のフィールドを編集します。これらのフィールドの詳細については、以下の表を参照してください。
注:これらのフィールドでは、大文字と小文字が区別されます。
重要:組織単位(OU)やグループ名に標準的な英語のアルファベット以外の文字が含まれている場合は、二重引用符(")を一重引用符(')に置換してください。カンマ(,)、数字記号(#)、プラス記号(+)などの特殊文字は、ダブルバックスラッシュ(\\)でエスケープしてください。詳細については、「Active Directory統合でのエスケープ文字の使用方法」の記事を参照してください。
フィールド名 フィールドの説明
includedOUs

このフィールドに、同期するユーザーを検索する必要があるOUのリストを入力します。

  • mail-enabledがオンになっている指定されたOUのユーザーが検索されます。

    重要:このフィールドには、指定されたOUに属するグループのユーザーは含まれません。これらのグループのユーザーを同期するには、以下のincludedGroupsの行の情報を参照してください。
  • 別のOUの下位にあるOUを指定する場合は、OUの場所の名前を逆順序の構文で記述し、ファイルパスをフォワードスラッシュで区切る必要があります。例えば、「全ユーザー」というOUの下にある「経理」というOUを指定する場合、「経理/全ユーザー」という構文を記述します。
  • 使用するOUリストに複数のOUを追加する場合、このテキストを特定のフォーマットで記述する必要があります。複数のOUを追加するには、OUを引用符で囲み、カンマで区切り、括弧で囲む必要があります。このフィールドの構文の例については、以下を参照してください。
    • includedOUs = ["Accounting/All Users","Development/All Users"]
excludedOUs

このフィールドには、除外するユーザーを検索するOUのリストを入力します。

  • 検索中に除外されるユーザーが見つかった場合、それらのユーザーは、同期対象となっているOUユーザーよりも優先され、除外されます。
  • このフィールドの構文の例については、以下を参照してください。
    • excludedOUs = ["請負業者/開発/全ユーザー"]
includedGroups

このフィールドには、ユーザーを同期する対象グループのリストを入力します。これらのグループは、ADセキュリティグループまたは配布グループのいずれかでなければなりません。

  • includedGroupsフィールドで見つかったユーザーは、excludedOUsフィールドで定義されている対象のユーザーよりも優先されます。
  • このフィールドに複数のグループを追加する場合は、構文が正しくフォーマットされていることを確認します。複数のグループを追加するには、グループを引用符で囲み、カンマで区切り、括弧で囲む必要があります。複数のグループを追加する構文の例については、以下を参照してください。
    • includedGroups = ["経理","人事"]
excludedGroups

このフィールドには、ユーザーを除外するグループのリストを入力します。除外の対象となるのは、指定されたADセキュリティグループまたは配布グループのメンバーです。

  • この検索で除外するユーザーが見つかった場合、includedOUsまたはincludedGroupsで見つかった対象のユーザーよりも優先され除外されます。
  • このフィールドの構文の例については、以下を参照してください。
    • excludedGroups = ["契約社員"]
includedUsers

このフィールドには、明示的に追加する必要があるユーザーのリストを入力します。

  • このフィールドで見つかったユーザーは、excludedGroupsフィールドまたはexcludedOUsフィールドと一致するユーザーよりも優先されます。
  • 各ユーザーのメールアドレスを入力して指定します。ユーザーは何人でも指定できます。
  • このフィールドの構文の例については、以下を参照してください。
    • includedUsers = ["user@example.com"]
excludedUsers

このフィールドには、明示的に除外する必要があるユーザーのリストを入力します。

  • このフィールドで指定されるユーザーは、他の全ての追加ルールの影響を受けずに、除外されます。
  • 各ユーザーのメールアドレスを入力して指定します。ユーザーは何人でも指定できます。このフィールドの構文の例については、以下を参照してください。
    • excludedUsers = ["user@example.com","user2@example.com"]

グループを同期する場合は、以下の「同期するグループの定義」のセクションを参照してください。

同期するグループの定義

特定のユーザーを同期する条件を定義したら、CONFファイルを編集して、同期するADグループの条件を定義することもできます。これらのADグループは、KSATコンソールのグループとして入力されます。

ユーザーがADグループのメンバーである場合、KSATコンソールにおいても、そのユーザーは対応するグループのメンバーになります。KnowBe4は、グループ内のグループ、つまり、ネストされているグループはサポートしていません。

最初にユーザーを同期しなければ、同期したグループにユーザーを追加できないことに注意してください。グループを同期しようとしても、グループに同期されたユーザーが含まれていない場合、そのグループは同期されません。

重要:KSATコンソールと同期するグループのタイプは、セキュリティグループと配布グループのみになります。同期対象のOU内のグループは、コンソールでグループとして追加または同期されます。しかし、OU自体はコンソールと同期されません。

CONFファイルを編集して同期するグループを定義するには、以下のステップに従って操作します。

  1. 特定のユーザーを同期していることを確認します。詳しくは、上記の「同期するユーザーの定義」のセクションを参照してください。
  2. CONFファイルの[sync.groups]セクションにある以下のフィールドを編集します。これらのフィールドの詳細については、以下の表を参照してください。
注:これらのフィールドでは、大文字と小文字が区別されます。
フィールド名 フィールドの説明
includedOUs

このフィールドには、セキュリティまたは配布グループを同期するために検索するOUのリストを入力します。

  • 指定したOUで見つかったグループのみが、KSATコンソールにグループとして追加されます。
  • 複数のOUを追加する場合は、正しいフォーマットで構文を記述する必要があります。複数のOUを追加するには、OUを引用符で囲み、カンマで区切り、括弧で囲む必要があります。複数のOUを追加する構文の例については、以下を参照してください。
    • includedOUs = ["Accounting/All Users","Development/All Users"]
excludedOUs

このフィールドには、同期の対象としないセキュリティまたは配布グループを検索するOUのリストを入力します。

  • このフィールドの構文の例については、以下を参照してください。
    • excludedOUs = ["請負業者/開発/全ユーザー"]
includedGroups

このフィールドには、同期する特定のADセキュリティグループまたは配布グループのリストを入力します。

  • これらのグループを同期すると、同期の対象として追加され同期されているユーザーのみが、対応するKSATグループに追加されます。このオプションは、[sync.groups]セクションのexcludedOUsフィールドで指定される除外グループよりも優先されます。
  • このフィールドの構文の例については、以下を参照してください。
    • includedGroups = ["営業","経理"]
excludedGroups

このフィールドに、同期の対象から除外する特定のグループのリストを入力します。

  • このオプションは、[sync.groups]セクションのincludedOUsフィールドまたはincludedGroupsフィールドの全グループよりも優先されます。
  • このフィールドの構文の例については、以下を参照してください。
    • excludedGroups = ["コンサルタント"]

自社のニーズに合わせてこれらのフィールドを編集したら、CONFファイルを保存します。ファイルを保存するには、書き込み権限が必要です。

その他の情報の同期

同期するユーザーとグループを選択したら、CONFファイルを編集して、ADアカウントとKSATアカウント間で同期するユーザー情報を定義できます。同期するユーザー情報を定義する場合、ファイルの[sync.fields]セクションを編集できます。デフォルトでは[sync.fields]セクションでフィールドを指定すると、KSATコンソールのそのユーザー情報フィールドに、ADで定義された情報が自動的に入力されます。

ユーザー情報があるADフィールドを追加するには、各フィールドの引用符内の値を編集します。フィールドが空白の場合、ADと一致するフィールドはありません。KSATと同期するADのフィールドは、各フィールドの引用符で囲まれている値を手動で追加して定義できます。

特定のフィールドを同期しない場合は、そのフィールドの引用符内の値を削除します。ただし、引用符や行全体を削除しないように注意してください。テキスト行全体を削除すると、ADは自動的にテキスト行をフィールドに復元して、値を同期します。

注:ユーザーのフィッシングおよびトレーニング言語は、デフォルトでADのpreferredLanguageフィールドから同期されます。以下の「同期のユースケース」のセクションに従って、ADフィールドを修正したり、同期対象からこれらのフィールドを削除したりできます。
ヒント:また、ADとKSATコンソールと同期するデータを制限することもできます。詳細については、KnowBe4の「Active Directory統合(ADI)のFAQ」の記事にある「情報の同期」のセクションを参照してください。

CONFファイルの[sync.fields]セクションで利用可能なデフォルトフィールドのリストについては、以下を参照してください。

注:これらのフィールドでは、大文字と小文字が区別されます。

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = "title"
user-role = ""
注:「manager」属性のマッピングは変更できません。

SecurityCoachフィールド

ADIを設定するときに、SecurityCoachフィールドを有効にしている場合、8つの追加のフィールドがCONFファイルの[sync.fields]セクションに表示されます。これらのフィールドは、KMSATユーザーをSecurityCoachイベントに自動的にマッピングするために使用できます。また、 SecurityCoachでユーザーをIDにマッピングするとき、これらのフィールドを使用できます。この情報を同期すると、[ユーザー情報]ページの[SecurityCoachフィールド]セクションに追加されます。

これらのSecurityCoachフィールドとそのデフォルトのマッピングのリストについては、以下を参照してください。

注:これらのフィールドでは、大文字と小文字が区別されます。
company-name = "company"
country = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

同期のユースケース

ADのどのフィールドをKSATコンソールと同期するかを制御するユースケースを以下に示します。

ユースケース1:ADとの同期の対象外とするフィールドを指定する

KSATコンソールで自社独自のフィールドを管理する場合は、それらのフィールドをADと同期するフィールドから除外できます。この例外は、カスタムフィールドのみに適用されます。カスタムフィールド以外のフィールドを空白のままにすると、KSATではそれらの値が消去されます。

ADと同期しないカスタムフィールドを指定するには、CONFファイルの[sync.fields]セクションに次の構文を記述します。以下の構文では、全てのカスタムフィールドが空白になっているか、引用符で囲まれている値が削除されています。

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

ユースケース2:ユーザーの部門や場所を除外する

ユーザーの部署は同期させ、部門や場所は同期しない場合は、CONFファイルの[sync.fields]セクションに次の構文を記述します。以下の構文では、[division]および[location]フィールドが空白になっているか、引用符で囲まれている値が削除されています。

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = ""
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

ユースケース2:ADと同期する対象に全てのフィールドを追加する

ADと同期する対象に全てのフィールドを追加するには、CONFファイルの[sync.fields]セクションに次の構文を記述します。以下の構文では、全てのフィールドの値が引用符で囲まれています。

[sync.fields]

comment = “This is a comment!“
custom-date-1 = “This is my custom-date-1 field.“
custom-date-2 = "This is my custom-date-2 field."
custom-field-1 = "This is my custom-field-1”
custom-field-2 = "This is my custom-field-2.”
custom-field-3 = "This is my custom-field-3”
custom-field-4 = "This is my custom-field-4”
department = "department"
division = “division”
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = “last-name”
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = “mobile“
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

この記事は有用でしたか?

13人中10人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ