Active Directory統合

共有

この記事は役に立ちましたか?

最終更新:

Active Directory統合(ADI)の高度な設定ガイド

Active Directory(AD)を最初に設定した後は、組織のニーズに合わせて追加のオプションを使用して同期をカスタマイズすることができます。詳細については、以下のセクションを参照してください。Active Directory統合(ADI)の基本的なインストールと設定プロセスについては、「Active Directory統合(ADI)設定ガイド」を参照してください。

Active DirectoryでのADIサービスアカウントの作成

ADIを設定するには、以下の許可が設定されているアカウントをADで使用または作成する必要があります。

  • すべてのユーザー情報の読み取り
  • すべての inetOrgPerson 情報を読み取る

必要な読み取り許可が設定されているADユーザーを作成するには、以下のステップに従って操作します。

  1. [Active Directory ユーザーとコンピューター]を開きます。

  2. ドメインを右クリックして、[制御を委任]を選択します。[制御を委任]を選択すると、[制御の委任ウィザード]が開きます。

  3. [制御の委任ウィザード]モーダルで、以前に作成したADIサービスアカウントを追加します。

  4. [すべてのユーザー情報の読み取り]タスクと[すべての inetOrgPerson 情報を読み取る]タスクを委任します。

  5. 最後に、ADIで新しいADサービスアカウントを使用するために、KnowBe4 ADI同期サービスを再設定する必要があります。

指定されたユーザーを変更するには、以下のステップに従って操作します。

  1. C:\ProgramData\KnowBe4\ADI Sync\Config\フォルダに移動して、<domain>.datファイルを削除します。
  2. 管理者としてコマンドプロンプトを開いて、C:\Program Files\KnowBe4\ADI Sync\フォルダに移動して、「adisync.exe config」と入力します。

Active Directoryからメールアドレスを取得する場所の変更

デフォルトでは、ADI同期ツールはユーザーのすべてのプロキシメールアドレスを同期します。ただし、Active Directoryのどこからメールアドレスを取得するかを変更できます。さらに、ユーザーのプライマリプロキシのメールアドレスのみを同期するように選択することも可能です。C:\ProgramData\KnowBe4\ADI Sync\Configフォルダのadisync.confファイルを開きます。デフォルトでは、以下のフィールドが表示されます。

  • emailAttribute = "proxyAddresses"
  • primaryProxyOnly = false
注:これらのフィールドが表示されていない場合、adisync.confファイルを編集しており、<domain>.confファイルではないことを確認してください。adisync.confファイルにemailAttributeフィールドがない場合、古いバージョンのADIを使用している可能性があります。emailAttributeフィールドを変更する必要がある場合は、ADIの最新バージョンにアップグレードしてください

ユーザーの同期するメールアドレスを変更する方法については、以下のリストを参照してください。

注:以下のフィールドでは、大文字と小文字が区別されます。
  • プライマリプロキシのみ:各ユーザーのプライマリプロキシアドレスのみを使用する場合は、primaryProxyOnlyフィールドを「false」から「true」に変更します。adisync.confファイルを保存してから、ADIサービスを再起動します。このプロセスにより、エイリアスのメールアドレスが同期されなくなります。

  • Mail属性:同期ツールでproxyAddressesではなくMailを使用する場合、emailAttributeを「proxyAddresses」ではなく「Mail」に変更します。次に、adisync.confファイルを保存し、KnowBe4 ADI同期サービスを再起動します。

    重要:同期の基準にするフィールドにかかわらず、ユーザーのmail属性は空にできません。ADIを使用する目的においては、この値が有効なドメインである必要はありません。詳細については、KnowBe4のサポートチームにお問い合わせください。
  • ユーザープリンシパル名:同期ツールでproxyAddressesではなくuserPrincipalName(UPN)を使用する場合、emailAttributeフィールドを 「proxyAddresses」から「userPrincipalName」に変更してください。次に、adisync.confファイルを保存し、KnowBe4 ADI同期サービスを再起動します。

Active DirectoryのMail属性とProxyAddresses属性の表示

Active Directoryでユーザーのメールとプロキシアドレスを表示するには、以下のステップに従って操作します。以下のステップに従って、ユーザーのPrincipalName属性を表示することもできます。

  1. [Active Directory ユーザーとコンピューター]ウィンドウのツールバーで[表示]をクリックします。

  2. [表示]ドロップダウンメニューから、[高度な機能]を選択します。

  3. ユーザーをダブルクリックして、[ユーザー プロパティ]ポップアップウィンドウを開きます。
  4. [ユーザー プロパティ]ポップアップウィンドウで、[属性エディター]タブを選択します。

  5. ユーザーのメールアドレスを表示するには、[属性]列で[mail]を探します。[mail]を選択して、[編集]ボタンをクリックします。

  6. [編集]をクリックすると、[文字列の属性エディター]ポップアップウィンドウが開きます。このポップアップウィンドウで、[mail]属性の[値]を調整できます。

  7. ユーザーのプロキシアドレスを表示するには、[属性]列で[proxyAddresses]を探します。[proxyAddresses]を選択してから、[編集]ボタンをクリックします。

  8. [編集]ボタンをクリックすると、[複数値の文字列エディター]ポップアップウィンドウが開きます。このウィンドウで、[proxyAddresses]属性で[値]を追加したり、削除したりできます。

複数のドメインソースのサポート

ユーザーが複数のドメインソースに分かれて配置されている場合は、同期する必要のあるユーザーオブジェクトがあるドメインごとに設定を行う必要があります。

追加のドメインごとに、ADI同期ツールのインストールディレクトリでadisync.exe configを実行する必要があります。ADI同期設定を実行すると、<domain>.confファイルが追加で作成されます。このファイルは、同期のフィルタ基準を指定するために編集する必要があります。

注:複数のドメインソースのサポートを有効にするには、ADI同期ツールをすでに一度インストールしていることを確認してください。2回目のインストールでユーザーをアーカイブできるため、ADI同期ツールを再インストールする必要はありません。

複数ソースのドメインをサポートするためにADI同期設定ツールを実行する場合、以下のステップに従って操作します。

  1. 管理者モードでコマンドプロンプトを開きます。
  2. ADI同期システムディレクトリに移動します。システムディレクトリのデフォルトの場所は、C:\Program Files\KnowBe4\ADI Syncです。

  3. 以下の行を入力してから、Enter キーを押します。

    adisync.exe config
  4. 追加するドメインコントローラとドメインの詳細を入力します。詳細については、KnowBe4の「Active Directory統合(ADI)設定ガイド」「インストールと設定」のセクションのステップ7を参照してください。
  5. 追加の<domain>.confファイルがC:\ProgramData\KnowBe4\ADI Sync\Configに作成されたら、そのファイルを編集し、同期する情報を指定します。詳細については、「Active Directory統合(ADI)設定ガイド」が表示されます。
  6. <domain>.confファイルを保存します。
  7. この処理をすべての追加のドメインで繰り返した後に、同期を開始できます。
注:ADI同期ツールをインストールするシステムは、各ドメインコントローラに接続できる必要があります。

最新バージョンのADIのインストール

以下のステップに従って、旧バージョンをアンインストールせずに、最新バージョンのADIをインストールします。

  1. KSATの[アカウント設定]から新しいインストーラをダウンロードします。
  2. インストールを実行します。

  3. 尋ねられた場合は、[はい]をクリックして旧バージョンのデータを使用します。

    インストールが完了したら、KnowBe4 ADI同期サービスが自動的に開始します。Windowsサービスメニューで、このサービスが正しく実行しているかどうかを確認できます。

ユーザーが正しく同期されます。

カスタムフィールドの同期

KnowBe4コンソールのユーザープロファイルには、カスタムフィールドが含まれています。これらのフィールドを使用してActive Directoryから追加情報を同期できます。同期する情報をカスタムフィールドに指定するには、<domain>.confファイルを編集してからサービスを再起動して、変更した内容を同期します。詳細については、「KnowBe4とのその他の情報の同期」を参照してください。

注:カスタム同期フィールドは、ADIバージョン1.0.16.5以降で利用可能です。<domain>.confファイルにカスタムフィールドが表示されていない場合は、ADIの最新バージョンをインストールする必要があります。既存の<domain>.confファイルが更新され、カスタム同期フィールドが追加されます。これらの新しいカスタムフィールドを使用する場合は、変更内容を同期するために再度KnowBe4 ADI同期サービスを実行する必要があります。

SecurityCoachフィールドの有効化

既にADIを設定しており、契約しているサブスクリプションにSecurityCoachが含まれている場合、ADIの最新バージョンをインストールして、SecurityCoachのフィールドを有効にできます。既に最新バージョンを使用しており、SecurityCoachフィールドを有効にしていない場合は、ADIを再設定してこれらのフィールドを有効にする必要があります。

注:ADIの最新バージョンをインストールしている場合、必ず[SecurityCoachフィールドの有効化]「true」に設定します。詳細については、KnowBe4の「Active Directory統合(ADI)設定ガイド」「インストールと設定」のセクションを参照してください。

ADIを再設定してSecurityCoachのフィールドを有効にするには、以下のステップに従って操作します。

  1. Windows サービスメニューでKnowBe4 ADI同期サービスを停止します。
  2. \ADIsyncシステムディレクトリに移動します。システムディレクトリのデフォルトの場所は、C:\ProgramData\KnowBe4\ADI Sync\Config\です。
  3. <domain>.confファイルの名前を「<domain>-OLD.conf」に変更します。
  4. <domain>-OLD.confファイルを別のディレクトリに移動します。
  5. インストールディレクトリC:\Program Files\KnowBe4\ADI Sync\に移動して、管理者権限でコマンドプロンプトを開きます。
  6. コマンドプロンプトで、adisync.exe configを実行します。
  7. 前に入力した同じ情報を入力し、[SecurityCoachフィールドの有効化]「true」に設定して、ADIを再設定します。ADIを再設定すると、<domain>.confファイルが\Configディレクトリに保存されます。
  8. <domain>-OLD.confファイルと新しい<domain>.confファイルを開きます。
  9. <domain>-OLD.confファイルの[sync.users]セクションのデータをコピーします。このデータを新しい<domain>.confファイルに貼り付けます。
  10. <domain>-OLD.confファイルの[sync.groups]セクションのデータをコピーします。このデータを新しい<domain>.confファイルに貼り付けます。
  11. (オプション)<domain>-OLD.confファイルの[sync.fields]セクションをカスタマイズしている場合、新しい<domain>.confファイルも同じようにカスタマイズすることができます。
  12. KnowBe4 ADI同期サービスを開始します。

この記事は有用でしたか?

9人中6人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ