特定のユーザーの Google Workspace と Cloud Identity のパスワードを Google ドメインと同期しないようにすることができます。この記事では、Password Sync からユーザーを除外する方法について説明します。
Password Sync は、Google Workspace と Cloud Identity の管理者にご利用いただけます。重要
通常は、ユーザーを Password Sync から除外する必要はありません。対象を除外するには、Active Directory の権限設定についての深い知識が必要ですが、Google Cloud サポートでは、この設定についてサポートを提供できない場合があります。パスワードの同期に関する問題が発生した場合は、標準の設定に戻して、Active Directory の権限に関わる問題ではないことをご確認ください。
同期対象からユーザーを除外する
この方法は、パスワード同期がユーザーのメールアドレスを取得して Google ドメインを更新する方法に基づいています。パスワードの同期でメールアドレスを取得できない場合は、Google のパスワードを更新できません。ユーザーを同期対象から除外するには、除外するユーザーのメールアドレスへのアクセス権を持たない Password Sync のサービス ユーザーを作成します。
- [Active Directory ユーザーとコンピュータ](ADUC)を開きます。
- 管理ユーザー用に使用する組織部門に移動し、Password Sync で使用する Active Directory ユーザーを作成します。これをパスワード同期ユーザーと呼びます。
- [表示] メニューの [高度な機能] が有効になっていることを確認します。
- 除外するユーザーまたは組織部門を選択し、右クリックします。
- [プロパティ] をクリックします。
- [セキュリティ] タブをクリックします。
- [追加] ボタンをクリックします。
- 手順 2 で作成したパスワード同期ユーザーの名前を入力し、[OK] をクリックします。
- パスワード同期ユーザーの新しいエントリが追加されます。[読み取り] の [拒否] チェックボックスをオンにします。
- [OK] をクリックします。
- [スタート] メニューから Password Sync を実行します。
- Password Sync の設定の Active Directory の手順で、Password Sync ユーザーのユーザー名とパスワードを入力します。
- 通常どおりに設定を完了します。
この設定でパスワード同期を実行すると、アクセスが拒否されたユーザーのパスワードは同期できません。Password Sync サービスのログを見ると、これらのユーザーのメールアドレスを探そうとしてエラーが発生したことがわかります。これは、意図したとおりに除外されていることを示します。
除外を取り消す
除外を取り消すには、Password Sync ユーザーに作成した [拒否] エントリを削除します。すべてのエントリが削除されたことを確認するには、Active Directory に別の Password Sync ユーザーを作成し、そのユーザーが使用されるように Password Sync 設定の Active Directory の手順で Password Sync を設定します。
関連トピック
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。