Active Directory または LDAP からユーザー、グループ、およびデバイスを同期する

適用される製品：WatchGuard Cloud 本トピックは、WatchGuard Cloud の認証ドメインに適用されます。

Active Directory または Lightweight Directory Access Protocol (LDAP) データベースからユーザー、グループ、およびデバイスを WatchGuard Cloud 認証ドメインに同期するには、ディレクトリ同期を有効化して構成する必要があります。ディレクトリ同期を構成すると、WatchGuard Cloud から外部のユーザー データベースへの接続が行われ、すべてのユーザー、グループ、デバイスが一度に認証ドメインに追加されます。

WatchGuard Cloud で同期されたユーザーとグループを削除することはできません。WatchGuard Cloud の認証ドメインからユーザーまたはグループを削除するには、Active Directory または LDAP サーバーからユーザーまたはグループを削除する必要があります。

Active Directory または LDAP サーバーがある認証ドメインにのみ、ディレクトリ同期タブが表示されます。

要件

ディレクトリ同期機能を使用するには、インターネットにアクセスでき、かつ LDAP サーバーに接続できる企業ネットワークの場所に WatchGuard Endpoint Agent がインストールされている必要があります。エージェントにより、WatchGuard Cloud と Active Directory または LDAP データベース間の通信が可能になります。ディレクトリ同期を構成する際に、ユーザー、グループ、デバイスを認証ドメインから WatchGuard Cloud に同期する際に使用されるコンピュータを指定します。

WatchGuard Endpoint Agent のログ ファイルは、ディレクトリ：%ProgramData%\Panda Security\Panda Aether Agent\Logs に入っています。

続行する前に、以下の要件にご注意ください：

• AD 同期機能を使用するには、Active Directory または LDAP サーバーに v1.18.02 以降の WatchGuard Endpoint Agent をインストールする必要があります。
• 詳細フィルタ機能を使用するには、Active Directory または LDAP サーバーに v1.18.03 以降の WatchGuard Endpoint Agent をインストールする必要があります。

アカウントに WatchGuard Endpoint Security ライセンスが割り当てられている場合は、WatchGuard Endpoint Agent により endpoint が使用されます。

WatchGuard Endpoint Agent をダウンロードする際に、エージェントのバージョン番号を確認することが勧められます。AD 同期機能がサポートされているエージェントのバージョンでアカウントがプロビジョニングされない場合は、WatchGuard 技術サポートに問い合わせてください。

ディレクトリ同期を構成する

ユーザー、グループ、およびデバイスを Active Directory または LDAP データベースから認証ドメインに同期するには、WatchGuard Cloud で以下の手順を実行します。

1. Service Provider の場合は、管理対象 Subscriber アカウントの名前を選択します。
2. 構成 > 認証ドメイン の順に選択します。
   認証ドメイン ページが開きます。

3. 編集するには、ドメイン名をクリックします。
   認証ドメインの更新 ページが開きます。

4. ディレクトリ同期 を選択します。

5. ディレクトリ同期を構成する をクリックします。
   ディレクトリ同期ページが開きます。

6. WatchGuard Endpoint Agent をダウンロードしてインストールします。Active Directory または LDAP サーバーに接続できるコンピュータに WatchGuard Endpoint Agent がすでにインストールされている場合は、手順 9 に進みます。
   1. WatchGuard Endpoint Agent をダウンロードするには、WatchGuard Endpoint Agent をダウンロードする をクリックします。
      エージェント インストーラをダウンロードする ウィンドウが開きます。
   2. エージェントをインストールするコンピュータの種類を選択します。
   3. エージェントをダウンロードする をクリックします。
      エージェント インストーラがダウンロードされます。
   4. WatchGuard Endpoint Agent をダウンロードする際に、エージェントのバージョン番号を確認することが勧められます。AD 同期機能がサポートされているエージェントのバージョン でアカウントがプロビジョニングされない場合は、WatchGuard 技術サポートに問い合わせてください。
      1. ダウンロードした WatchGuard Endpoint Agent ファイルを右クリックして、プロパティ を選択します。
         WatchGuard Endpoint Agent のプロパティ ウィンドウが開きます。
      2. 詳細 タブを選択します。
         コメント プロパティに、エージェントのバージョンが表示されます。
   5. インストールを開始するには、ダウンロードしたインストーラ ファイルをダブルクリックします。インターネットにアクセスでき、かつ LDAP サーバーまたは Active Directory サーバーに接続できるコンピュータにエージェントをインストールする必要があります。
      WatchGuard Endpoint Agent の Installation Wizard が開きます。
   6. 次へ をクリックします。
   7. インストール をクリックします。
   8. 完了 をクリックします。
      エージェントがインストールされます。
7. ディレクトリ同期ページの ホスト ドロップダウン リストの横にある 更新 アイコン をクリックします。
8. ホスト ドロップダウン リストから、同期の実行に使用するコンピュータを選択します。リストには、WatchGuard Endpoint Agent がインストールされているすべてのコンピュータが含まれます。
9. サービス アカウント と サービス アカウント パスワード テキスト ボックスに、LDAP 検索とバインドを実行する権限が付与されている Active Directory ユーザーの認証情報を入力します。

10. 同期されたユーザー属性 セクションで、これが Active Directory サーバーか、他の種類の LDAP データベースかを選択します。他のデータベースでは、各属性値を指定する必要があります。Active Directory では属性値が既知であるため、これを行う必要はありません。
11. これが Active Directory サーバーではない場合は、各属性の値を入力します。
12. プライマリ サーバー ドロップダウン リストから、同期に使用するプライマリ サーバーを選択します。このドロップダウン リストには、WatchGuard Cloud 認証ドメインに追加されているサーバーが表示されます。
13. (任意) セカンダリ サーバー ドロップダウン リストから、同期に使用するバックアップ サーバーを選択します。

14. 同期間隔 ドロップダウン リストから、LDAP データベースからユーザーとグループを同期する頻度を指定します。
15. 次へ をクリックします。
    詳細フィルタ ページが開きます。

16. (任意) LDAP クエリを使用してフィルタを追加して、同期するグループまたはユーザーを指定するには、詳細フィルタを追加する をクリックします。フィルタを追加しないと、すべての LDAP ユーザーとグループが認証ドメインに同期されます。
    詳細フィルタ ウィンドウが開きます。

    詳細フィルタ機能を使用するには、v1.18.03 以降の WatchGuard Endpoint Agent をインストールする必要があります。

17. フィルタの種類 ドロップダウン リストから、クエリ別にフィルタリングする を選択します。
18. フィルタの 名前 を入力します。
19. クエリ テキスト ボックスに、LDAP クエリを入力します。たとえば、TestGroup グループのメンバーであるユーザーを同期する場合のクエリは、(&(objectClass=user)(memberOf=CN=TestGroup,CN=Users,DC=myorg,DC=local)) となります。
20. フィルタを追加する をクリックします。
21. 保存 をクリックします。
    認証ドメインを更新する ページが開き、そこにディレクトリ同期の詳細が表示されています。

ディレクトリ同期の設定を構成して保存したら、ディレクトリ同期に使用するために選択したコンピュータが WatchGuard Cloud で登録されます。このプロセスには最大 4 時間かかる場合があります。登録が完了すると、WatchGuard Cloud が Active Directory または LDAP データベースと同期し、以下が認証ドメインに追加されます。

• LDAP ユーザーとグループ
• この認証ドメインに追加した Active Directory ドメインのいずれかに属するデバイス

ディレクトリ同期を構成したら、ディレクトリ同期タブに以下の詳細が表示されます。

• ホスト名 — Active Directory または LDAP サーバーからユーザーとグループが WatchGuard Cloud に同期される際に使用されるコンピュータ名
• ステータス — WatchGuard Cloud から LDAP サーバーに接続できるか否かの状態
• 前回の同期 — LDAP サーバーからユーザーとグループが WatchGuard Cloud に同期された前回の日時

この情報を更新するには、更新アイコン をクリックします。

手動でユーザーとグループを同期する

ディレクトリ同期を構成すると、それぞれの同期間隔で WatchGuard Cloud が Active Directory または LDAP データベースと同期され、すべてのユーザー、グループ、およびデバイスが Active Directory または LDAP データベースから WatchGuard Cloud の認証ドメインに追加されます。

指定した同期スケジュール時期以外でユーザーを同期しなければならない場合は、いつでも手動でユーザーを同期することができます。

手動でユーザーを同期するには、以下の手順を実行します。

1. Service Provider の場合は、管理対象 Subscriber アカウントの名前を選択します。
2. 構成 > 認証ドメイン の順に選択します。
   認証ドメイン ページが開きます。

3. 編集するには、ドメイン名をクリックします。
   
   認証ドメインの更新 ページが開きます。

4. ディレクトリ同期 を選択します。
5. ディレクトリを同期する をクリックします。

ディレクトリ同期を無効化する

新しいユーザー、グループ、およびデバイスを認証ドメインに同期する必要がなくなったら、ディレクトリ同期を無効化することができます。

認証ドメインのディレクトリ同期を無効化すると、自動的に WatchGuard Cloud が Active Directory または LDAP データベースと同期されることがなくなります。認証ドメインですでに同期されているユーザー、グループ、およびデバイスは引き続き使用することができますが、WatchGuard Cloud で自動的に新しいユーザー、グループ、デバイスが同期されること、または既存のユーザー、グループ、デバイスが更新されることはありません。

ディレクトリ同期を無効化しても、手動でユーザー、グループ、およびデバイスを WatchGuard Cloud 認証ドメインに同期させることができます。

ディレクトリ同期を無効化するには、WatchGuard Cloud で以下の手順を実行します。

1. 構成 > 認証ドメイン の順に選択します。
   認証ドメイン ページが開きます。

2. 編集するには、ドメイン名をクリックします。
   認証ドメインの更新 ページが開きます。

3. ディレクトリ同期 を選択します。

4. ディレクトリ同期 トグルを無効化します。

関連トピック

WatchGuard Cloud の認証ドメイン