ユーザーの同期を設定する

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. メニュー アイコン   [ディレクトリ] > [Directory Sync] にアクセスします。

   アクセスするには Directory Sync の設定管理権限が必要です。

3. 外部ディレクトリの名前をクリックします。
4. [ユーザー同期を設定] をクリックします。
5. 外部ディレクトリ グループの名前を入力し、Enter キーを押します。

   Directory Sync では、グループ メンバーが Google Cloud ディレクトリと同期されます。

6. その他のグループがあれば、そのグループ名を入力します。
7. （Active Directory のみ）[Base DN] に、ベース識別名（DN）を入力します。

   手順 4 と 5 で指定したグループは、ベース DN の直下になります。

   例: ou=Sales, dc=example, dc=com。この例では、Directory Sync で営業組織部門の下位にあるグループが検索されます。

8. [Verify] をクリックして、外部ディレクトリにグループが存在することを確認します。
9. [続行] をクリックします。
10. ユーザーを 1 つの組織部門にマッピングする場合は、目的の組織部門 [完了] を選択します。
11. （省略可）ユーザーが外部ディレクトリに移動されても Google Cloud ディレクトリ内の組織部門にユーザーが確実に残るように、[組織部門のマッピングを適用する] チェックボックスをオフにします。
12. [続行] をクリックします。

1. 次のどちらかの操作を行います。
   • 1 つの組織部門にユーザーを配置する場合は、[組織部門の選択] をクリックし、組織部門を選択 [完了] をクリックします。
   • 外部ディレクトリ内の属性に定義されている組織部門にユーザーを配置する場合は、[属性として保存した組織部門にユーザーを配置する] で、組織部門のフルパスを含む外部ディレクトリのユーザー属性を入力します。

     パスを作成する手順については、後述の組織部門を属性として外部ディレクトリに追加するをご覧ください。

2. （省略可）ユーザーが外部ディレクトリに移動されても Google Cloud ディレクトリ内の組織部門にユーザーが確実に残るように、[組織部門のマッピングを適用する] チェックボックスをオフにします。
3. [続行] をクリックします。

組織部門を外部ディレクトリに属性として追加します

1. Google 管理コンソールで組織部門の構造を設定します。詳しくは、組織部門を追加するをご覧ください。
2. 外部ディレクトリで、標準属性またはカスタム属性を使用して、各ユーザーの目的の組織部門パスを定義します。形式は次のようにします。
   • 最上位の組織部門は含めないでください。
   • 親組織部門と子組織部門はスラッシュ（/）で区切ります。

例: ユーザー yuri@example.com を、[財務] の下にある [営業] 組織部門に追加する場合、以下の手順を行います。

1. 外部ディレクトリで、yuri@example.com の [部門] 属性を [財務 / 営業] に設定します。
2. Directory Sync を設定する際に、[属性として保存した組織部門にユーザーを配置する] をクリックして [部門] 属性を追加します。

必須属性を設定する

Google Cloud ディレクトリの次のユーザー属性にマッピングする外部ディレクトリ属性を確認または入力します。

• 名
• 姓
• メインのメールアドレス

属性を変更した場合は、[デフォルトに設定] [続行] をクリックしてデフォルトに戻すことができます。

オプション属性をマッピングする

標準およびカスタムのユーザー属性を外部ディレクトリから Google Cloud ディレクトリにマッピングできます。よく使用されるマッピングについては、後述の一般的なユーザー属性のマッピングをご覧ください。

1. [属性を入力] で、外部ディレクトリのユーザー属性を入力します。

   外部ディレクトリのユーザー属性がネストされている場合は、属性とサブ属性をピリオドで区切ります（例: employeeOrgData.division）。

2. リストから、Google Cloud ディレクトリのユーザー属性を選択します。

   1 つの外部ディレクトリ属性を複数の Google Cloud ディレクトリのユーザー属性にマッピングできます。ただし、1 つの Google Cloud ディレクトリ属性を複数の外部ディレクトリ属性にマッピングすることはできません。

3. （省略可）追加のユーザー属性をマッピングするには、上記の手順を繰り返します。

一般的なユーザー属性マッピング

一般的な属性マッピングは次のとおりです。これらのマッピングに従う必要はありません。外部ディレクトリ内の属性を変更して、Google Cloud ディレクトリの別の属性にマッピングすることができます。

Active Directory（AD）または Azure AD の外部ディレクトリ属性	通常マッピングされる Google ユーザー属性
GiveName（AD と Azure AD）	名
sn（AD） surname（Azure AD）	姓
mail（AD） userPrincipalName（Azure AD）	Primary email
company（AD） companyName（Azure AD）	会社名
assistant（AD）	アシスタントのメールアドレス
department（AD と Azure AD）	Department
physicalDeliveryOfficeName（AD） officeLocation（Azure AD）	Office location
title（AD） jobTitle（Azure AD）	役職
employeeID（AD） employeeId（Azure AD）	従業員 ID
telephoneNumber（AD）	仕事用の電話番号
homePhone（AD）	自宅の電話番号
facsimileTelephoneNumber（AD） faxNumber（Azure AD）	FAX 番号
mobile（AD） mobilePhone（Azure AD）	携帯電話番号
pager（AD）	仕事用の携帯電話番号
telephoneAssistant（AD）	Assistant’s number
streetAddress（AD および Azure AD）	番地
postOfficeBox（AD）	P.O. box
l（AD では小文字の L） city（Azure AD）	街
st（AD） state（Azure AD）	State/Province
postalCode（AD と Azure AD）	郵便番号
co（AD） country（Azure AD）	国
preferredLanguage（Azure AD）	言語
aboutMe（Azure AD）	基本情報
employeeOrgData.costCenter（Azure AD）	Cost center
uidNumber（AD）	POSIX UID
primaryGroupID（AD）	POSIX GID
sAMAccountName（AD）	POSIX Username
unixHomeDirectory（AD）	POSIX home directory

関連トピック

• AD の属性
• Azure AD の属性

1. 次のどちらかの操作を行います。
   • 有効化メールを送信する - ユーザーは新しいアカウントの有効化とパスワードの設定に関するメールを受け取ります。

     このオプションを選択した場合は、メールの送信先をユーザーのメイン アドレスと再設定用のメールアドレスのどちらにするかを選択します。再設定用のメールアドレスを選択する場合は、上記のステップ 3: ユーザー属性をマッピングするでアドレスのマッピングを必ず追加してください。

     ユーザーが行う必要がある操作について詳しくは、有効化に関するメールがユーザーに届くとどうなりますか？をご覧ください（後述）。

   • 有効化メールを送信しない - ユーザーにメールは届きません。

     新しいアカウントについてユーザーに直接連絡する場合や、認証にサードパーティの ID プロバイダ（IdP）を使用する場合は、このオプションを使用します（IdP を使用する場合は、ユーザーが Google パスワードを設定する必要はありません）。

2. [続行] をクリックします。

有効化に関するメールがユーザーに届くとどうなりますか？

同期が完了すると、新しい管理対象の Google アカウントの有効化に関する詳細が記載されたメールがユーザーに送信されます。新しいアカウントに初めてログインする準備ができたら、ユーザーは次の手順を行う必要があります。

1. 元のメール アカウントでメールを開き、[ログイン] [次へ] をクリックします。
2. [送信] をクリックして確認コードを取得します。
3. 移行元のアカウントで確認コードのメッセージを開き、コードをコピーします。
4. 新しい Google アカウントで確認コードを入力し、[次へ] をクリックします。
5. 利用規約に同意します。
6. 安全なパスワードを作成して、[パスワードを変更] をクリックします。

外部ディレクトリでユーザーが停止されている場合や見つからない場合（外部ディレクトリでユーザーのグループが削除された場合など）は、Google Cloud Directory でそのユーザーを停止できます。

外部ディレクトリで見つからないユーザーを停止するには:

1. [Google でユーザーを停止] チェックボックスをオンにします。

   ユーザーを停止しない場合は、チェックボックスをオフにします。

2. [続行] をクリックします。

注: Directory Sync ではユーザーのステータスが同期されます。ユーザーのアカウントが停止しているにもかかわらず、外部ディレクトリのアカウントが有効な場合、同期後にアカウントが有効になっています。

同期が自動的にキャンセルされる条件を設定します。同期が安全保護対策の制限を超えると、同期は自動的にキャンセルされ、ユーザーは停止されません。手動で同期を有効にするまで、同期は実行されません。安全保護対策について詳しくは、このページの次のセクションの安全保護対策の決定方法をご覧ください。

安全保護対策を設定するには:

1. [安全保護対策] で [ユーザーの割合を設定する] または [ユーザーの合計数を設定する] を選択し、割合または数値を入力します。
2. [同期をシミュレーション] をクリックします。
3. 安全保護対策がトリガーされると、失敗した同期に関する詳細が記載された通知が届きます。監査ログでより詳しい情報を確認することもできます。

   詳しくは、アラート センターを使用すると Directory Sync のログイベントを確認するをご確認ください。

安全保護対策の判定方法

Directory Sync は、外部ディレクトリに存在するユーザー アカウント数を計算し、同期後に停止される可能性があるアカウント数と比較します。その数が指定した割合または数値より大きい場合、同期は自動的にキャンセルされ、停止処理は行われません。

例

100 人の外部ディレクトリ ユーザーがいます。同期中に Directory Sync によって 12 個のユーザー アカウントの停止と 3 個の新しいアカウントの追加が提案されたとします。

例 1: 安全保護対策として、上限を 14 に設定する場合。停止が提案されたアカウントの数（12）が安全保護対策の数（14）より少ないため、Directory Sync で提案された変更が適用されます。

例 2: 安全保護対策として、上限を 10% に設定する場合。Directory Sync は停止候補となった 12 個の候補と、上限の割合を比較します。停止候補の割合（12%）が 上限の 10% を超えているため、Directory Sync では変更を適用せずに同期が停止します。