除外ルールとクエリを使ってデータを除外する

除外ルールやクエリを使用することで、Google Cloud Directory Sync(GCDS)で確認、更新する対象を管理できます。

除外ルールとクエリの違い

  • 除外ルールを使用すると、LDAP ディレクトリ データ、Google アカウントのデータ、またはその両方を同期対象から除外できます。たとえば、除外ルールを使用してユーザー、プロファイル、グループを除外した場合、GCDS は同期中にそれらが存在しないかのように動作します。
  • GCDS でユーザーの削除や停止が行われないようにするには、Google アカウントのデータがあるクエリを使用して、Google ユーザーを同期から除外します。多数のユーザーが存在する場合は、GCDS ですべてのユーザーを読み込み、除外ルールを使用して同期しないユーザーをフィルタするよりも、クエリを使用した方が効率がよくなります。

ルールとクエリを使用する場合

データの種類 使用を検討 できない場合に使用
Google アカウントに必要ない LDAP ディレクトリ サーバー内のエンティティ LDAP 検索ルール LDAP 除外ルール
停止または削除したくない Google アカウントのユーザー ユーザーの検索キーワード クエリ構文で必要なフィルタの種類がサポートされていない場合は、Google 除外ルールを使用します。
Google アカウントには残す必要があるが LDAP ディレクトリ サーバーには存在しない、ユーザー以外のエンティティ(グループ、組織部門、カレンダー リソースなど) Google 除外ルール  

Google ユーザーの検索クエリを追加する

  1. [Configuration Manager] で、[Google Domain Configuration] 次に [Exclusion Rules] をクリックします。
  2. [Users Search Query] で、ユーザーを検索するの検索ガイドラインを使用してルールを追加します。

除外ルールの使用

ルールの優先順位を追加、削除、変更する

ルールを追加するには:

  1. [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
  2. 次のオプションを設定します。
    • タイプ - 除外するデータの種類をメニューで指定します。
    • マッチタイプ - フィルタに使用するルールの種類を指定します。メニューから次のいずれかを選択します。
      • Exact match (完全一致) - データがルールと完全に一致する必要があります。
      • Substring match(部分文字列一致) - ルールのテキストがデータの部分文字列として含まれている必要があります。
      • Regular expression(正規表現) - 指定した正規表現とデータが一致する必要があります。
    • Exclusion Rule - ルールの一致文字列または正規表現を入力します。
  3. [OK] をクリックします。

ルールは、表の順番で適用されます。順序を変更する方法は次のとおりです。

  1. [Exclusion Rules] タブで、目的のルールをクリックします。
  2. 上矢印または下矢印をクリックして優先値を調整します。

ルールを削除するには:

  1. [Exclusion Rules] タブで、目的のルールをクリックします。
  2. [X] をクリックします。

LDAP データ用の除外ルールを使用する

LDAP ディレクトリ サーバー上のデータのうち、検索ルールに一致しても Google ドメインに追加すべきではないものがある場合、LDAP の除外ルールを適用することで、そのデータを同期対象から除外できます。

組織部門

除外ルールの目的 検索ルールに一致する組織部門が LDAP サーバー上に存在するが、それらを Google ドメインに追加したくない。
Exclusion type Org Unit DN

同期対象から除外する組織部門の識別名(Distinguished Name; DN)に基づいて除外ルールを設定します。
2 つの事業所の統合により使用しなくなった組織部門が複数あり、それらの組織部門の識別名には必ず「fuji」が含まれています。
  • マッチタイプ - Substring Match
  • Rule - fuji

ユーザー

除外ルールの目的 検索ルールに一致するユーザーが LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。
Exclusion type 除外する LDAP データを指定します。
  • Primary Address - このルールに一致するメインのアドレスを除外します。
  • エイリアス アドレス - このルールに一致するエイリアス アドレスを除外します。
メインのアドレスとエイリアス アドレスの両方を除外したい場合は、除外ルールを 2 つ作成してください。
Google ドメインのメンバーではなくなったため同期対象にすべきではないユーザーに対し、個別のルールを追加します。1 つ目のルール:
  • Exclusion type - Primary Address
  • Match type - Substring Match または Exact Match
  • Rule - nakata

2 つ目のルール:

  • Exclusion Type - Primary Address
  • Match type - Substring Match または Exact Match
  • Rule - yanagihara

グループ

除外ルールの目的 メーリング リストのルールに一致するエントリが LDAP サーバー上に存在するが、Google ドメインではそれらをメーリング リストとして使用したくない。
Exclusion type 除外する LDAP データを指定します。
  • グループ名 - ルールに一致する名前を持つグループを除外します。
  • Group Address - ルールに一致するメールアドレスを持つグループを除外します。
  • Member Address - ルールに一致するメインのメールアドレスを持つユーザーをグループから除外します。
近接する 2 つの事業所の統合により使用しなくなったメーリング リストが複数あり、それらのアドレスには必ず「fuji」が含まれています。
  • マッチタイプ - Substring Match
  • Rule - fuji

ユーザー プロフィール

除外ルールの目的 LDAP サーバー上に、Google ドメインと同期したくないユーザー プロファイル情報がある。
LDAP ユーザーとして登録されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。
  • マッチタイプ - Substring Match
  • Rule - printer

共有の連絡先

除外ルールの目的 検索ルールに一致する連絡先が LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。
約 500 人のテストユーザーが LDAP サーバーに登録されていますが、それらのユーザーは内部テストでのみ使用されます。テストユーザーの名前はすべて「internal-textX」(X は数値)という形式で、全員同じドメインに属しています。
  • マッチタイプ - 正規表現
  • Rule - internal-test[0-9]*@<ドメイン名>.com

カレンダー リソース

除外ルールの目的 カレンダー リソースの検索ルールに一致するアイテムが LDAP サーバー上にあるが、Google ドメインにはそれらをカレンダー リソースとして追加したくない。
Exclusion type 除外する LDAP データを指定します。
  • Calendar Resource Id - GCDS は、LDAP のカレンダー リソース属性に指定されたカレンダー リソース ID 属性がこのパターンに一致する場合に、カレンダー リソースを同期対象から除外します。
  • Calendar Resource Display Name - LDAP のカレンダー リソース属性に指定されたカレンダー リソース表示名属性がこのパターンに一致する場合に、カレンダー リソースが同期対象から除外されます。

リソース ID とリソース表示名の両方を除外するには、除外ルールを 2 つ作成してください。
LDAP リソースとして登録されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれています。
  • Exclusion type - Calendar Resource ID
  • Match type - Substring Match
  • Rule - printer

Google データ用の除外ルールを使用する

LDAP ドメインに存在しないエンティティ(ユーザーやグループなど)を Google アカウントに保持する必要がある場合があります。Google ドメインの除外ルールを使用して、同期時に Google エンティティを残すことができます。

  1. [Google Domain Configuration] タブをクリックします。
  2. [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
    3. [Type] から次のいずれかを選択します。
    • Organization Complete Path : 組織とそのユーザーを除外する
    • User Email Address: ユーザーを除外する
    • Alias Email Address: ユーザーのエイリアスを除外する
    • Group Email Address: グループを除外する
    • Group Member Email Address: グループ メンバーを除外する
    • User Profile Primary Sync Key: 同期キーによりユーザー プロファイルを除外する
    • Shared Contact Primary Sync Key: 同期キーにより共有の連絡先を除外する
    • Calendar Resource ID: ID によりリソースを除外する
    • Calendar Resource Display Name: 名前により除外する
    • Calendar Resource Type : カテゴリにより除外する
  4. [Match Type] で次のいずれかを選択します。
    • Exact Match : 完全に一致するキーワードを検索する
    • Substring Match : 部分的に一致するキーワードを検索する
    • Regular Expression : 正規表現を使用してキーワードを検索する
  5. [OK] をクリックします。

Google データのさまざまな属性を維持する

Google アカウントで更新したくないエンティティが Google ドメインや LDAP ドメインにある場合は、次の 2 つの除外ルールを使用します。

  • 該当のエンティティを Google アカウントから除外する Google ドメイン除外ルール。
  • 該当のエンティティを LDAP ドメインから除外する LDAP ドメイン除外ルール。

該当のエンティティは同期の対象外となり、Google アカウントにそのまま残ります。Google アカウントでは変更されません。

たとえば、LDAP ドメインのユーザー属性とは異なるユーザー属性(組織部門など)を Google アカウントに保持する必要がある場合は、2 つの除外ルールを設定することで、同期中に属性が変更されないようにできます。詳しくは、同期中のさまざまなユーザー属性の維持をご覧ください。

除外ルールの例

LDAP ユーザーの除外ルール

この例では、プリンタが LDAP ユーザーとして登録され、LDAP クエリに一致しています。ただし、プリンタが Google ユーザーとみなされないようにする必要があります。すべてのプリンタの LDAP ディレクトリ名に「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。

  • Type - Primary Address
  • Match Type - Substring Match
  • Exclusion Rule: printer

LDAP カレンダー リソースの除外ルール

会議室のなかにはオフィスに変換されるものがあるため、それらがカレンダー リソースとしてインポートされないようにする必要があります。このため、会議室ごとに個別のルールを設定します。

1 つ目のルール:

  • Type - Calendar Resource Display Name
  • Match Type - Substring Match または Exact Match
  • Exclusion Rule: ConferenceRoom-BlueSkyMontana

2 つ目のルール:

  • Type - Calendar Resource Display Name
  • Match Type - Substring Match または Exact Match
  • Exclusion Rule: ConferenceRoom-BigPlains

LDAP グループ除外ルール

約 500 件のテスト用メーリング リストが LDAP サーバーに登録されていますが、これらが使用されるのは内部の負荷テストでのみです。テストユーザーは全員同じドメインに属し、同じパターン(internal-testX、X の部分は数値)で命名されています。

  • Type - Group Address
  • Match Type - Regular Expression
  • Exclusion Rule - internal-test[0-9]*@example.com

Google ユーザーの除外ルール

LDAP ディレクトリ サーバーに登録されていないユーザーは、GCDS によって Google ユーザーのリストと Google グループから削除されます。LDAP ディレクトリに存在しないユーザー アカウントとグループについては、Google Workspace または Cloud Identity アカウントにユーザーとグループが残るように除外ルールを使用します。Google 管理者アカウントはデフォルトで除外されているため、これらのアカウントの除外ルールを作成する必要はありません。

方法 1: 組織部門を使用してユーザーを保持する

ユーザー アカウントを専用の組織部門に移動し、設定マネージャーの [Google Domain Configuration] 設定で除外ルールを作成します。

  • Type - Organization Complete Path
  • Match Type - Exact Match
  • Exclusion Rule - /OUPath/MyExcludedOU

方法 2: メールアドレスを使用する

設定マネージャーの [Google Domain Configuration] 設定で、メールアドレスの一致除外ルールを作成します。

  • Type - User Email Address または Group Address
  • Match Type - Exact Match
  • Exclusion Rule - user@example.com

方法 3: 他のすべての組織を除外する

1 つの最上位の組織部門とその下位の組織部門に LDAP ユーザーを同期する場合は、それ以外の最上位の組織部門をすべて除外する必要があります。次の正規表現を使用すると、MyIncludedOU で始まる組織部門以外の最上位の組織部門がすべて除外されます。正規表現を使用する場合は、先頭にスラッシュを付けないでください。

  • Type - Organization Complete Path
  • Match Type - Regular Expression
  • Exclusion Rule - ^((?!MyIncludedOU).)*$

方法 4: User Profile Primary Sync Key

これを使用すると、ユーザー アドレス、グループのメールアドレス、メンバー アドレスを指定して同期から除外できます。除外されたメンバーのアドレスは、Google ドメイン内のグループからは削除されません。

  • Type - User Profile Primary Sync Key
  • Match Type - Exact Match
  • Exclusion Rule - luka@solarmora.com

ユーザー プロファイルの除外ルール

この例では、同期から除外するユーザー プロファイルを指定できます。

  • Type - Sync Key
  • マッチタイプ - 完全一致
  • Exclusion Rule - luka@solarmora.com

    このドメイン名で(ユーザーおよびグループの)LDAP メールアドレスのドメイン名を置き換える場合は、除外ルールに @solarmora.com を含めないでください。luka を使用し、luka@solarmora.com は使用しないでください。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。