ユーザー同期を設定する

これで、同期するユーザーを設定できるようになりました。Directory Sync で、同期するユーザーが含まれている外部ディレクトリのグループ名を入力します。グループ自体ではなく、このグループ内の個々のユーザーが Google Cloud ディレクトリと同期されます。

始める前に

外部ディレクトリの接続が Google Cloud Directory に追加され、テストされていることを確認します。詳しくは、外部ディレクトリを追加、編集、削除するをご覧ください。

同期するユーザーを設定する

ステップ 1: ユーザーを選択する

  1. Google 管理コンソールで、メニュー アイコン [ディレクトリ] [Directory Sync] に移動します。

    アクセスするには Directory Sync の設定管理権限が必要です。

  2. 外部ディレクトリの名前をクリックします。
  3. [ユーザー同期を設定] をクリックします。

  4. 外部ディレクトリ グループの名前を入力し、Enter キーを押します。Directory Sync では、グループ メンバーが Google Cloud ディレクトリと同期されます。

    注: グループには、外部ディレクトリに関連付けられた独自のメールアドレスが必要です。

  5. その他のグループがあれば、そのグループ名を入力します。

  6. (Active Directory のみ)[Base DN] に、ベース識別名(DN)を入力します。手順 4 と 5 で指定したグループは、ベース DN の直下になります。

    例: ou=Sales, dc=example, dc=com。この例では、ディレクトリ同期で営業組織部門の下位にあるグループが検索されます。

  7. [Verify] をクリックして、外部ディレクトリにグループが存在することを確認します。
  8. [続行] をクリックします。
  9. ユーザーを 1 つの組織部門にマッピングする場合は、目的の組織部門 [完了] を選択します。
  10. (省略可)ユーザーが外部ディレクトリに移動されても Google Cloud ディレクトリ内の組織部門にユーザーが確実に残るように、[組織部門のマッピングを適用する] チェックボックスをオフにします。
  11. [続行] をクリックします。

ステップ 2: ユーザーを組織部門に配置する

  1. 次のいずれかを選択します。
    • 1 つの組織部門にユーザーを配置する場合は、[組織部門の選択] をクリックし、組織部門を選択 [完了] をクリックします。

    • 外部ディレクトリ内の属性に定義されている組織部門にユーザーを配置する場合は、[属性として保存した組織部門にユーザーを配置する] で、組織部門のフルパスを含む外部ディレクトリのユーザー属性を入力します。

      パスを作成する手順については、後述の組織部門を属性として外部ディレクトリに追加するをご覧ください。

  2. (省略可)ユーザーが外部ディレクトリに移動されても Google Cloud ディレクトリ内の組織部門にユーザーが確実に残るように、[組織部門のマッピングを適用する] チェックボックスをオフにします。
  3. [続行] をクリックします。

外部ディレクトリで組織部門を属性として追加する

  1. Google 管理コンソールで組織部門の構造を設定します。詳しくは、組織部門を追加するをご覧ください。
  2. 外部ディレクトリで、標準属性またはカスタム属性を使用して、各ユーザーの目的の組織部門パスを定義します。形式は次のようにします。
    • 最上位の組織部門は含めないでください。
    • 親組織部門と子組織部門はスラッシュ(/)で区切ります。

: ユーザー yuri@example.com を、[財務] の下にある [営業] 組織部門に追加する場合、以下の手順を行います。

  1. 外部ディレクトリで、yuri@example.com の [部門] 属性を [財務/営業] に設定します。
  2. Directory Sync を設定する際に、[属性として保存した組織部門にユーザーを配置する] をクリックして [部門] 属性を追加します。

ステップ 3: ユーザー属性をマッピングする

必須属性を設定する

Google Cloud ディレクトリの次のユーザー属性にマッピングする外部ディレクトリ属性を確認または入力します。

  • メインのメールアドレス

属性を変更した場合は、[デフォルトを設定続行] をクリックして、デフォルトに戻すことができます。

オプションの属性をマッピングする

外部ディレクトリの標準ユーザー属性とカスタム ユーザー属性を Google Cloud ディレクトリにマッピングできます。よく使用されるマッピングについては、一般的なユーザー属性のマッピング(このページの下記)をご覧ください。

  1. [属性を入力] で、外部ディレクトリのユーザー属性を入力します。

    外部ディレクトリのユーザー属性がネストされている場合は、属性とサブ属性をピリオドで区切ります(例: employeeOrgData.division)。

  2. リストから、Google Cloud ディレクトリのユーザー属性を選択します。

    1 つの外部ディレクトリ属性を複数の Google Cloud ディレクトリのユーザー属性にマッピングできます。ただし、1 つの Google Cloud ディレクトリ属性を複数の外部ディレクトリ属性にマッピングすることはできません。

  3. (省略可)追加のユーザー属性をマッピングするには、上記の手順を繰り返します。

一般的なユーザー属性のマッピング

一般的な属性マッピングを次に示します。これらのマッピングに従う必要はありません。外部ディレクトリ内の属性を変更して、Google Cloud ディレクトリの別の属性にマッピングすることができます。

Active Directory(AD)または Azure AD の外部ディレクトリ属性 通常マッピングされる Google ユーザー属性
givenName(AD と Azure AD)
sn(AD)
surname(Azure AD)
mail(AD)
userPrincipalName(Azure AD)		 メインのメールアドレス
company(AD)
companyName(Azure AD)		 会社名
assistant(AD) アシスタントのメールアドレス
department(AD と Azure AD) 部門
physicalDeliveryOfficeName(AD)
officeLocation(Azure AD)		 オフィスの所在地
title(AD)
jobTitle(Azure AD)		 役職
employeeID(AD)
employeeId(Azure AD)		 従業員 ID
telephoneNumber(AD) 仕事用の電話番号
homePhone(AD) 自宅の電話番号
facsimileTelephoneNumber(AD)
faxNumber(Azure AD)		 FAX 番号
mobile(AD)
mobilePhone(Azure AD)		 携帯電話番号
pager(AD) 仕事用の携帯電話番号
telephoneAssistant(AD) アシスタントの電話番号
streetAddress(AD と Azure AD) 番地
postOfficeBox(AD) 私書箱
l(AD の小文字の L)
city(Azure AD)		 市区町村
st(AD)
state(Azure AD)		 都道府県
postalCode(AD と Azure AD) 郵便番号
co(AD)
country(Azure AD)
preferredLanguage(Azure AD) 言語
aboutMe(Azure AD) 概要
employeeOrgData.costCenter(Azure AD) コストセンター
uidNumber(AD) POSIX UID
primaryGroupID(AD) POSIX GID
sAMAccountName(AD) POSIX ユーザー名
unixHomeDirectory(AD) POSIX ホーム ディレクトリ

ステップ 4: ユーザーがアカウントを有効にする方法を選択する

  1. 次のいずれかを選択します。

    • 有効化メールを送信する - ユーザーは新しいアカウントの有効化とパスワードの設定に関するメールを受け取ります。

      このオプションを選択した場合は、ユーザーのメインのメールアドレスと再設定用のメールアドレスのどちらにメールを送るかを選択します。再設定用のメールアドレスを選択した場合は、手順 3: ユーザー属性をマッピングする(このページの上のほう)で、そのアドレスのマッピングを追加したことを確認してください。

      ユーザーが行う必要がある操作について詳しくは、有効化に関するメールがユーザーに届くとどうなりますか?をご覧ください。(後述)。

    • 有効化の案内メールを送信しない - ユーザーにメールが送信されません。

      新しいアカウントについてユーザーに直接連絡する場合や、認証にサードパーティの ID プロバイダ(IdP)を使用する場合は、このオプションを使用します。(IdP を使用している場合、ユーザーが Google パスワードを設定する必要はありません)。

  2. [続行] をクリックします。

有効化に関するメールがユーザーに届くとどうなりますか?

同期が完了すると、新しい管理対象 Google アカウントの有効化に関する詳細を記載したメールがユーザーに届きます。新しいアカウントに初めてログインする準備ができたら、次の手順を行います。

  1. 元のメール アカウントでメールを開き、[ログイン] [次へ] をクリックします。
  2. [送信] をクリックして確認コードを取得します。
  3. 元のアカウントで確認コードが記載されたメッセージを開き、コードをコピーします。
  4. 新しい Google アカウントで確認コードを入力し、[次へ] をクリックします。
  5. 利用規約に同意します。
  6. 安全なパスワードを作成して、[パスワードを変更] をクリックします。

ステップ 5: 外部ディレクトリで見つからないユーザーを停止する(省略可)

外部ディレクトリでユーザーが停止されている場合や見つからない場合(外部ディレクトリでユーザーのグループが削除された場合など)は、Google Cloud Directory でそのユーザーを停止できます。

外部ディレクトリで見つからないユーザーを停止するには:

  1. [Google でユーザーを停止] チェックボックスをオンにします。

    ユーザーを停止しない場合は、チェックボックスをオフにします。

  2. [続行] をクリックします。

重要: Directory Sync ではユーザーのステータスが同期されます。ユーザーのアカウントが停止しているにもかかわらず、外部ディレクトリのアカウントが有効な場合、同期後にアカウントが有効になっています。

ステップ 6: 安全保護対策を設定する

同期が自動的にキャンセルされる条件を設定します。同期が安全保護対策の制限を超えると、同期は自動的にキャンセルされ、ユーザーは停止されません。手動で同期を有効にするまで、同期は実行されません。安全保護対策について詳しくは、このページの次のセクションの安全保護対策の決定方法をご覧ください。

安全保護対策を設定するには:

  1. [安全保護対策] で [ユーザーの割合を設定する] または [ユーザーの合計数を設定する] を選択し、割合または数値を入力します。
  2. [同期をシミュレーション] をクリックします。

  3. 安全保護対策がトリガーされると、失敗した同期に関する詳細が記載された通知が届きます。監査ログでより詳しい情報を確認することもできます。

    詳しくは、アラート センターを使用するDirectory Sync のログイベントを確認するをご覧ください。

安全保護対策の判定方法

ディレクトリ同期は、外部ディレクトリに存在するユーザー アカウント数を計算し、同期後に停止される可能性があるアカウント数と比較します。その数が指定した割合または数値より大きい場合、同期は自動的にキャンセルされ、停止処理は行われません。

100 人の外部ディレクトリ ユーザーがいます。同期中に Directory Sync によって 12 個のユーザー アカウントの停止と 3 個の新しいアカウントの追加が提案されたとします。

例 1: 安全保護対策として、上限を 14 に設定する場合。停止が提案されたアカウントの数(12)が安全保護対策の数(14)より少ないため、ディレクトリ同期で提案された変更が適用されます。

例 2: 安全保護対策として、上限を 10% に設定する場合。ディレクトリ同期は、停止候補となった 12 個の候補と、上限の割合を比較します。停止候補の割合(12%)が 上限の 10% を超えているため、ディレクトリ同期では変更を適用せずに同期が停止します。

その後はどうなりますか?

Directory Sync は同期をシミュレートします。データのサイズによっては、この処理が完了するまでに 1 時間ほどかかることがあります。

シミュレーションのステータスを表示する

ディレクトリの詳細ページに戻ると、シミュレーションのステータスを確認できます。Directory Sync のログイベントでシミュレーションが完了したかどうかを確認することもできます。

  1. Directory Sync のログイベントを開きます。

    詳しくは、Directory Sync のログイベントデータにアクセスするをご覧ください。

  2. [フィルタを追加] [イベント] をクリックします。
  3. [同期完了] を選択し、[適用] をクリックします。

    [Simulation] 列に [Yes] と表示されている場合は、シミュレーションが完了しています。結果を表示するには、[シミュレーション] 列を追加する必要があります。

シミュレートされた同期の結果を確認する

シミュレーションが完了したら、ディレクトリの詳細ページで [シミュレーション ログを表示] をクリックします。

同期されたユーザーのドメイン名を置き換える

次のステップ

グループ同期を設定する


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。