除外ルールとクエリを使ってデータを除外する

除外ルールやクエリを使用することで、Google Cloud Directory Sync(GCDS)で確認、更新する対象を制御できます。

除外ルールとクエリの違い

  • 除外ルールを使用すると、LDAP ディレクトリ データ、Google アカウント データ、またはその両方を同期対象から除外できます。たとえば、除外ルールを使用してユーザー、プロファイル、グループを除外した場合、GCDS は同期中にそれらが存在しないかのように動作します。
  • GCDS でユーザーの削除や停止が行われないようにするには、Google アカウントのデータがあるクエリを使用して、Google ユーザーを同期から除外します。多数のユーザーが存在する場合は、GCDS ですべてのユーザーを読み込み、除外ルールを使用して同期しないユーザーをフィルタするよりも、クエリを使用した方が効率がよくなります。

ルールとクエリを使用する場合

データの種類 使用を検討 できない場合に使用
Google アカウントに必要ない LDAP ディレクトリ サーバー内のエンティティ LDAP 検索ルール LDAP 除外ルール
停止または削除したくない Google アカウントのユーザー ユーザーの検索キーワード クエリ構文が必要なタイプのフィルタをサポートしていない場合は、Google 除外ルールを使用します。
Google アカウントには残す必要があるが LDAP ディレクトリ サーバーには存在しない、ユーザー以外のエンティティ(グループ、組織部門、カレンダー リソースなど) Google の除外ルール

Google ユーザーの検索クエリを追加する

  1. 設定マネージャーで、[Google Domain Configuration] [Exclusion Rules] をクリックします。
  2. [Users Search Query] で、ユーザーを検索の検索ガイドラインを使用してルールを追加します。

除外ルールの使用

ルールの優先順位を追加、削除、変更する

ルールを追加するには:

  1. [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
  2. 次のオプションを入力します。
    • Type - 除外するデータの種類をメニューで指定します。
    • 一致タイプ - フィルタに使用するルールの種類を指定します。メニューから次のいずれかを選択します。
      • Exact match(完全一致) - データがルールと完全に一致する必要があります。
      • Substring match(部分文字列一致) - ルールのテキストがデータの部分文字列として含まれている必要があります。
      • Regular expression(正規表現) - 指定した正規表現とデータが一致する必要があります。
    • Exclusion Rule - ルールの一致文字列または正規表現を入力します。
  3. [OK] をクリックします。

ルールは、表の順番で適用されます。順序を変更するには:

  1. [Exclusion Rules] タブで、目的のルールをクリックします。
  2. 上矢印または下矢印をクリックして優先値を調整します。

ルールを削除するには:

  1. [Exclusion Rules] タブで、目的のルールをクリックします。
  2. [X] をクリックします。

LDAP データ用の除外ルールを使用する

LDAP ディレクトリ サーバー上のデータのうち、検索ルールに一致しても Google ドメインに追加すべきではないものがある場合、LDAP の除外ルールを適用することで、そのデータを同期対象から除外できます。

組織部門

除外ルールの目的 検索ルールに一致する組織部門が LDAP サーバー上に存在するが、それらを Google ドメインに追加したくない。
除外タイプ 組織部門の DN

同期対象から除外する組織部門の識別名(Distinguished Name; DN)に基づいて除外ルールを設定します。
2 つの事業所の統合により使用しなくなった組織部門が複数あり、それらの組織部門の識別名には必ず「fuji」が含まれています。
  • Match type - Substring Match
  • Rule - fuji

ユーザー

除外ルールの目的 検索ルールに一致するユーザーが LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。
除外タイプ 除外する LDAP データを指定します。
  • Primary Address - このルールに一致するメインのアドレスを除外します。
  • Alias Address - このルールに一致するエイリアス アドレスを除外します。

メインのアドレスとエイリアス アドレスの両方を除外する場合は、除外ルールを 2 つ作成します。
Google ドメインのメンバーではなくなったため同期対象にすべきではないユーザーに対し、個別のルールを追加します。1 つ目のルール:
  • Exclusion type - Primary Address
  • Match Type - Substring Match または Exact Match
  • Rule - nakata

2 つ目のルール:

  • Exclusion Type - Primary Address
  • Match Type - Substring Match または Exact Match
  • Rule - svetlana

グループ

除外ルールの目的 メーリング リストのルールに一致するエントリが LDAP サーバー上に存在するが、Google ドメインではそれらをメーリング リストとして使用したくない。
除外タイプ 除外する LDAP データを指定します。
  • Group Name - ルールに一致する名前を持つグループを除外します。
  • Group Address - ルールに一致するメールアドレスを持つグループを除外します。
  • Member Address - ルールに一致するメインのメールアドレスを持つユーザーをグループから除外します。
近接する 2 つの事業所の統合により使用しなくなったメーリング リストが複数あり、それらのアドレスには必ず「fuji」が含まれています。
  • Match type - Substring Match
  • Rule - fuji

ユーザー プロフィール

除外ルールの目的 LDAP サーバー上に、Google ドメインと同期したくないユーザー プロファイル情報がある。
LDAP ユーザーとして表示されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。
  • Match type - Substring Match
  • Rule - printer

共有の連絡先

除外ルールの目的 検索ルールに一致する連絡先が LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。
約 500 人のテストユーザーが LDAP サーバーに登録されていますが、それらのユーザーは内部テストでのみ使用されます。テストユーザーの名前はすべて「internal-textX」(X は数値)という形式で、全員同じドメインに属しています。
  • Match type - Regular Expression
  • Rule - internal-test[0-9]*@example.com

カレンダー リソース

除外ルールの目的 カレンダー リソースの検索ルールに一致するアイテムが LDAP サーバー上にあるが、Google ドメインにはそれらをカレンダー リソースとして追加したくない。
除外タイプ 除外する LDAP データを指定します。
  • Calendar Resource Id - LDAP のカレンダー リソース属性に指定されたカレンダー リソース ID 属性がこのパターンに一致する場合に、カレンダー リソースが同期対象から除外されます。
  • Calendar Resource Display Name - LDAP のカレンダー リソース属性に指定されたカレンダー リソース表示名属性がこのパターンに一致する場合に、カレンダー リソースが同期対象から除外されます。

リソース ID とリソース表示名の両方を除外するには、除外ルールを 2 つ作成してください。
LDAP リソースとして表示されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれています。
  • Exclusion type - Calendar Resource ID
  • Match type - Substring Match
  • Rule - printer

Google データ用の除外ルールを使用する

LDAP ドメインに存在しないエンティティ(ユーザーやグループなど)を Google アカウントに保持する必要がある場合があります。Google ドメインの除外ルールを使用して、同期時に Google エンティティを残すことができます。

  1. [Google Domain Configuration] タブをクリックします。
  2. [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
  3. [Type] から次のいずれかを選択します。
    • Organization Complete Path: 組織とそのユーザーを除外する
    • User Email Address: ユーザーを除外する
    • Alias Email Address: ユーザーのエイリアスを除外する
    • Group Email Address: グループを除外する
    • Group Member Email Address: グループ メンバーを除外する
    • User Profile Primary Sync Key: 同期キーによりユーザー プロファイルを除外する
    • Shared Contact Primary Sync Key: 同期キーにより共有の連絡先を除外する
    • Calendar Resource ID: ID によりリソースを除外する
    • Calendar Resource Display Name: 名前により除外する
    • Calendar Resource Type: カテゴリにより除外する
  4. [Match Type] で次のいずれかを選択します。
    • Exact Match: 完全に一致するキーワードを検索する
    • Substring Match: 部分的に一致するキーワードを検索する
    • Regular Expression : 正規表現を使用してキーワードを検索する
  5. [OK] をクリックします。

Google データのさまざまな属性を維持する

Google アカウントで更新したくないエンティティが Google ドメインや LDAP ドメインにある場合は、次の 2 つの除外ルールを使用します。

  • 該当のエンティティを Google アカウントから除外する Google ドメイン除外ルール。
  • 該当のエンティティを LDAP ドメインから除外する LDAP ドメイン除外ルール。

同期を実行しても、該当する項目は同期されません。該当のエンティティは同期の対象外となり、Google アカウントにそのまま残ります。

たとえば、LDAP ドメインのユーザー属性とは異なるユーザー属性(組織部門など)を Google アカウントに保持する必要がある場合は、2 つの除外ルールを設定することで、同期中に属性が変更されないようにできます。詳しくは、同期中のさまざまなユーザー属性の維持をご覧ください。

除外ルールの例

LDAP ユーザーの除外ルール

この例では、プリンタが LDAP ユーザーとして登録され、LDAP クエリに一致しています。ただし、プリンタが Google ユーザーとみなされないようにする必要があります。すべてのプリンタの LDAP ディレクトリ名に「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。

  • Type - Primary Address
  • Match type - Substring Match
  • Exclusion Rule - printer

LDAP カレンダー リソースの除外ルール

会議室のなかにはオフィスに変換されるものがあるため、それらがカレンダー リソースとしてインポートされないようにする必要があります。このため、会議室ごとに個別のルールを設定します。

1 つ目のルール:

  • Type - Calendar Resource Display Name
  • Match Type - Substring Match または Exact Match
  • Exclusion Rule: ConferenceRoom-BlueSkyMontana

2 つ目のルール:

  • Type - Calendar Resource Display Name
  • Match Type - Substring Match または Exact Match
  • Exclusion Rule: ConferenceRoom-BigPlains

LDAP グループの除外ルール

約 500 件のテスト用メーリング リストが LDAP サーバーに登録されていますが、これらが使用されるのは内部の負荷テストでのみです。テストユーザーは全員同じドメインに属し、internal-testX(X は数値)という同じパターンで命名されています。

  • Type - Group Address
  • Match type - Regular Expression
  • Exclusion Rule - internal-test[0-9]*@example.com

Google ユーザーの除外ルール

LDAP ディレクトリ サーバーに登録されていないユーザーは、GCDS によって Google ユーザーのリストと Google グループから削除されます。LDAP ディレクトリに存在しないユーザー アカウントとグループについては、Google Workspace アカウントまたは Cloud Identity アカウントにユーザーとグループが残るように除外ルールを使用します。Google 管理者アカウントはデフォルトで除外されているため、これらのアカウントの除外ルールを作成する必要はありません。

方法 1: 組織部門を使用してユーザーを保持する

ユーザー アカウントを専用の組織部門に移動し、設定マネージャーの [Google Domain Configuration] 設定で除外ルールを作成します。

  • Type - Organization Complete Path
  • Match Type - Exact Match
  • Exclusion Rule - /OUPath/MyExcludedOU

オプション 2: メールアドレスを使用する

設定マネージャーの [Google Domain Configuration] 設定で、メールアドレスの一致除外ルールを作成します。

  • Type - User Email Address または Group Address
  • Match Type - Exact Match
  • Exclusion Rule - user@example.com

方法 3: 他のすべての組織を除外する

1 つの最上位の組織部門とその下位の組織部門に LDAP ユーザーを同期する場合は、それ以外の最上位の組織部門をすべて除外する必要があります。次の正規表現を使用すると、MyIncludedOU で始まる組織部門以外の最上位の組織部門がすべて除外されます。正規表現を使用する場合は、先頭にスラッシュを付けないでください。

  • Type - Organization Complete Path
  • Match type - Regular Expression
  • Exclusion Rule - ^((?!MyIncludedOU).)*$

方法 4: User Profile Primary Sync Key

これを使用すると、ユーザー アドレス、グループのメールアドレス、メンバー アドレスを指定して同期から除外できます。除外されたメンバーのアドレスは、Google ドメイン内のグループからは削除されません。

  • Type - User Profile Primary Sync Key
  • Match Type - Exact Match
  • Exclusion Rule - luka@solarmora.com

ユーザー プロファイルの除外ルール

この例では、同期から除外するユーザー プロファイルを指定できます。

  • Type - Sync Key
  • Match Type - Exact Match
  • Exclusion Rule - luka@solarmora.com

    このドメイン名で(ユーザーおよびグループの)LDAP メールアドレスのドメイン名を置き換える場合は、除外ルールに @solarmora.com を含めないでください。luka を使用し、luka@solarmora.com は使用しないでください。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。