ここでは、ディレクトリ同期の設定と実行に関するよくある質問をご紹介します。
全般 | ユーザーとグループの同期 | Active Directory | Azure Active Directory
セットアップ
Google Cloud Directory Sync から Directory Sync に移行すべきですか?
ユーザーまたはグループのみを同期する場合は、Directory Sync が要件を満たすことがあります。
ユーザーおよびグループに加えてオブジェクト(Google Workspace ライセンスや共有連絡先など)を同期する場合は、ユーザーおよびグループの同期には Directory Sync を使用し、その他のオブジェクトには GCDS を使用することをご検討ください。ただし、ユーザーとグループの両方を同期する場合は、両方に同じ同期ツールを使用する必要があります。
詳しくは、Directory Sync と GCDS の比較をご覧ください。
ユーザーまたはグループの同期に Directory Sync を使用し、共有の連絡先の同期に GCDS を使用することはできますか?
はい。ユーザーとグループの同期にはディレクトリ同期を使用し、その他のオブジェクト(共有の連絡先など)の同期には GCDS を使用します。ユーザーとグループの同期には、同じツールを使用することをおすすめします。
パスワードを同期するように Directory Sync を設定できますか?
いいえ。Directory Sync では外部ディレクトリからユーザー パスワードを同期できません。
サービス アカウントを使用する理由
Google 管理コンソールの [ディレクトリ同期] ページに初めてアクセスすると、ディレクトリ管理ロールを持つサービス アカウントが内部の Google Cloud プロジェクトに自動的に作成されます。
Directory Sync は、このアカウントを使用して Google Cloud ディレクトリ データにアクセスします。アカウントを表示または管理することはできません。[Directory Sync] ページに再度アクセスしても、追加アカウントは作成されません。
アカウントにアクセスされた日時を確認するには、セキュリティ調査ツールを使用します。詳しくは、管理ログイベントをご覧ください。
ユーザーとグループの同期
同期が自動的に実行されなかった場合、どうなるのでしょうか?
何もする必要はありません。
ディレクトリ同期は、前回の同期が成功してから 7 日間以上、このプロセスを再試行します。プロセスをキャンセルする前に、少なくとも 9 回同期を再開しようとします。
外部ディレクトリ グループの名前を変更できますか?
はい、外部ディレクトリ グループの名前を変更できます。Directory Sync の [ユーザー スコープ] セクションで [Google Directory でユーザーを停止する] チェックボックスをオンにしてグループを追加した後に同期を実行した場合は、追加の手順が必要になります。この場合、以下の手順に沿ってグループ名を変更します。
注: 上記のシナリオがセットアップに該当しない場合は、以下の手順を行わずに外部ディレクトリ グループの名前を変更できます。
- 同期を無効にします。
詳しくは、同期を有効または無効にするをご覧ください。
- [ディレクトリの詳細] ページで、[ユーザーの同期] の横にある編集アイコン
をクリックします。 - 新しいグループ名を入力して、同期設定を保存します。
- 外部ディレクトリでグループの名前を変更します。
- Directory Sync の [ユーザー スコープ] で、古いグループ名を削除して同期設定を保存します。
外部ディレクトリでグループを削除すると、ユーザーはどうなりますか?
ユーザー スコープで定義されたグループが外部ディレクトリで削除された場合、Google Cloud ディレクトリのユーザーは、[デプロビジョニング] の設定に応じて、同期後に有効または停止したままになります。同期スコープからグループを削除するまで、この処理が継続されます。
外部ディレクトリでグループを削除し、同じ名前で再度追加すると、ディレクトリ同期はそのグループを新しいグループとして同期します(新しいグループ ID が割り当てられるため)。
詳しくは、外部ディレクトリで見つからないユーザーを停止するをご覧ください。
ユーザーをセカンダリ ドメインに同期できますか?
はい。Directory Sync を使用して、ユーザーをセカンダリ ドメインに同期できます。
外部ディレクトリ内のユーザーのメールアドレスがセカンダリ ドメイン名と一致していることを確認します。既存のメール属性を変更しない場合は、ユーザー同期を設定するときに別の属性を使用して属性を割り当てます。同期中に、Directory Sync は、セカンダリ ドメインをメインのメールアドレスとして使用して、Google Cloud ディレクトリにユーザーを作成します。
詳しくは、同期されたユーザーのドメイン名を置き換えるをご覧ください。
管理者権限を持つ Google ユーザーを同期できますか?
いいえ。ディレクトリ同期は、Google Workspace の管理者ユーザーのデータは同期しません。
管理者ユーザーを同期する必要がある場合は、Google Cloud Directory Sync の使用を検討してください。詳しくは、Google Cloud Directory Sync についてをご覧ください。
ネストされたグループを同期できますか?
はい。Directory Sync を使用すると、ネストされたグループを同期できます。手順については、グループ同期を設定するをご覧ください。
Active Directory
VPC アクセス コネクタを別のプロジェクトに作成できますか?
ネットワーク構成を簡素化するために、Cloud VPN または Cloud Interconnect と同じプロジェクトに Virtual Private Cloud(VPC)アクセス コネクタを作成することをおすすめします。別のプロジェクトで VPC アクセス コネクタを作成する場合は、共有 VPC を使用します。詳細については、共有 VPC の概要をご覧ください。
同期の設定時にベース DN の書式を設定するにはどうすればよいですか?
LDAP サーバーは、ユーザーやグループなどのディレクトリ オブジェクトを検索する際の開始ポイントとしてベース DN を使用します。ベース DN のスコープが狭いほど、検索時のパフォーマンスは向上します。
例
| ベース DN 検索のタイプ | 例 | メモ |
|---|---|---|
| 最上位のベース DN を指定する | dc=example, dc=com | ディレクトリ内のすべてのオブジェクトを検索します。検索パフォーマンスが低下する可能性があります。 |
| 組織部門を指定する | ou=sales, dc=example, dc=com |
組織部門内のすべてのオブジェクトを検索します。 |
|
ユーザーの検索を指定する |
cn=Users, dc=example, dc=com |
ディレクトリ内のすべてのユーザーを検索します。 |
クエリをさらに絞り込むには、objectClass 属性と objectQuery 属性を使用することをおすすめします。詳しくは、objectCategory と objectClass でフィルタするをご覧ください。
関連トピック
複数の AD 接続から同期できますか?
はい。最大 50 個の AD 接続を作成できます。AD ドメインは接続ごとに一意である必要があります。
LDAP クエリで検索のパフォーマンスを向上させるにはどうすればよいですか?
検索のパフォーマンスを改善するには:
- ベース DN - ベース DN を調整して、できるだけ具体的にします。たとえば、ユーザーまたはグループが組織部門階層内にある場合は、検索クエリを使用して、ルート組織部門ではなく階層の親を指定します。これにより、LDAP 検索はディレクトリ全体ではなく、特定の組織部門階層で実行されます。
- スコープ - LDAP クエリに含まれている階層レベルを考慮します。
この例では、組織部門の階層が地域(第 1 レベル)と国(第 2 レベル)に分かれています。ユーザーとグループが APAC の組織部門に属する場合は、クエリが APAC ユニットのみを検索し、その第 2 レベルのユニットは検索しないようにするため、LDAP クエリのスコープを [1 レベル] に設定します。検索に第 2 レベルの組織部門を含める場合は、範囲を [サブツリー] に設定します。
関連トピック
Azure Active Directory
同期できる Azure Active Directory 接続の数に制限はありますか?
はい。Microsoft Azure Active Directory の接続は 1 つだけ追加できます。
ユーザーとグループのスコープでは、いくつのグループを追加できますか?
- ユーザー スコープ - 2,000 グループ(すべてのグループで合計 100,000 文字まで)
- グループ スコープ - 400 グループ(すべてのグループで合計 17,000 文字まで)
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。