ユーザーの同期を設定する

このページは Directory Sync を対象としています。Google Cloud Directory Sync (GCDS)を使用している場合は、GCDS をご覧ください。現時点で Directory Sync は公開ベータ版です。

これで、同期するユーザーを設定できるようになりました。Directory Sync で、同期するユーザーが含まれている外部ディレクトリのグループ名を入力します。グループ自体ではなく、このグループ内の個々のユーザーが Google Cloud ディレクトリと同期されます。

始める前に

外部ディレクトリの接続が Google Cloud Directory に追加され、テストされていることを確認します。詳しくは、外部ディレクトリの追加、編集、削除をご覧ください。

同期するユーザーを設定する

すべて開く | すべて閉じる

手順 1: ユーザーを選択する

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [ディレクトリ] [Directory Sync] をタップします。
外部ディレクトリの名前をクリックします。
[ユーザー同期を設定] をクリックします。
外部ディレクトリグループの名前を入力し、Enter キーを押します。
Directory Sync では、グループメンバーが Google Cloud ディレクトリと同期されます。
その他のグループがあれば、そのグループ名を入力します。
（Active Directory のみ）[Base DN] に、ベース識別名（DN）を入力します。
手順 4 と 5 で指定したグループは、ベース DN の直下になります。

例: ou=Sales, dc=example, dc=com。この例では、Directory Sync で営業組織部門の下位にあるグループが検索されます。
[Verify] をクリックして、外部ディレクトリにグループが存在することを確認します。
[続行] をクリックします。
ユーザーを 1 つの組織部門にマッピングする場合は、目的の組織部門 [完了] を選択します。
（省略可）ユーザーが外部ディレクトリに移動されても Google Cloud ディレクトリ内の組織部門にユーザーが確実に残るように、[組織部門のマッピングを適用する] チェックボックスをオフにします。
[続行] をクリックします。

手順 2: ユーザーを組織部門に配置する

次のどちらかの操作を行います。
- 1 つの組織部門にユーザーを配置する場合は、[組織部門の選択] をクリックし、組織部門を選択 [完了] をクリックします。
- 外部ディレクトリ内の属性に定義されている組織部門にユーザーを配置する場合は、[属性として保存した組織部門にユーザーを配置する] で、組織部門のフルパスを含む外部ディレクトリのユーザー属性を入力します。
  パスを作成する手順については、後述の組織部門を属性として外部ディレクトリに追加するをご覧ください。
（省略可）ユーザーが外部ディレクトリに移動されても Google Cloud ディレクトリ内の組織部門にユーザーが確実に残るように、[組織部門のマッピングを適用する] チェックボックスをオフにします。
[続行] をクリックします。

組織部門を外部ディレクトリに属性として追加します

Google 管理コンソールで組織部門の構造を設定します。詳しくは、組織部門を追加するをご覧ください。
外部ディレクトリで、標準属性またはカスタム属性を使用して、各ユーザーの目的の組織部門パスを定義します。形式は次のようにします。
- 最上位の組織部門は含めないでください。
- 親組織部門と子組織部門はスラッシュ（/）で区切ります。

例: ユーザー yuri@example.com を、[財務] の下にある [営業] 組織部門に追加する場合、以下の手順を行います。

外部ディレクトリで、yuri@example.com の [部門] 属性を [財務 / 営業] に設定します。
Directory Sync を設定する際に、[属性として保存した組織部門にユーザーを配置する] をクリックして [部門] 属性を追加します。

手順 3: ユーザー属性をマッピングする

必須属性を設定する

Google Cloud ディレクトリの次のユーザー属性にマッピングする外部ディレクトリ属性を確認または入力します。

名
姓
メインのメールアドレス

属性を変更した場合は、[デフォルトに設定] [続行] をクリックしてデフォルトに戻すことができます。

オプション属性をマッピングする

標準およびカスタムのユーザー属性を外部ディレクトリから Google Cloud ディレクトリにマッピングできます。よく使用されるマッピングについては、後述の一般的なユーザー属性のマッピングをご覧ください。

[属性を入力] で、外部ディレクトリのユーザー属性を入力します。
外部ディレクトリのユーザー属性がネストされている場合は、属性とサブ属性をピリオドで区切ります（例: employeeOrgData.division）。
リストから、Google Cloud ディレクトリのユーザー属性を選択します。
1 つの外部ディレクトリ属性を複数の Google Cloud ディレクトリのユーザー属性にマッピングできます。ただし、1 つの Google Cloud ディレクトリ属性を複数の外部ディレクトリ属性にマッピングすることはできません。
（省略可）追加のユーザー属性をマッピングするには、上記の手順を繰り返します。

一般的なユーザー属性マッピング

一般的な属性マッピングは次のとおりです。これらのマッピングに従う必要はありません。外部ディレクトリ内の属性を変更して、Google Cloud ディレクトリの別の属性にマッピングすることができます。

Active Directory（AD）または Azure AD の外部ディレクトリ属性	通常マッピングされる Google ユーザー属性
GiveName（AD と Azure AD）	名
sn（AD） surname（Azure AD）	姓
mail（AD） userPrincipalName（Azure AD）	Primary email
company（AD） companyName（Azure AD）	会社名
assistant（AD）	アシスタントのメールアドレス
department（AD と Azure AD）	Department
physicalDeliveryOfficeName（AD） officeLocation（Azure AD）	Office location
title（AD） jobTitle（Azure AD）	役職
employeeID（AD） employeeId（Azure AD）	従業員 ID
telephoneNumber（AD）	仕事用の電話番号
homePhone（AD）	自宅の電話番号
facsimileTelephoneNumber（AD） faxNumber（Azure AD）	FAX 番号
mobile（AD） mobilePhone（Azure AD）	携帯電話番号
pager（AD）	仕事用の携帯電話番号
telephoneAssistant（AD）	Assistant’s number
streetAddress（AD および Azure AD）	番地
postOfficeBox（AD）	P.O. box
l（AD では小文字の L） city（Azure AD）	街
st（AD） state（Azure AD）	State/Province
postalCode（AD と Azure AD）	郵便番号
co（AD） country（Azure AD）	国
preferredLanguage（Azure AD）	言語
aboutMe（Azure AD）	基本情報
employeeOrgData.costCenter（Azure AD）	Cost center
uidNumber（AD）	POSIX UID
primaryGroupID（AD）	POSIX GID
sAMAccountName（AD）	POSIX Username
unixHomeDirectory（AD）	POSIX home directory

有効化に関するメールがユーザーに届くとどうなりますか？

同期が完了すると、新しい管理対象の Google アカウントの有効化に関する詳細が記載されたメールがユーザーに送信されます。新しいアカウントに初めてログインする準備ができたら、ユーザーは次の手順を行う必要があります。

元のメールアカウントでメールを開き、[ログイン] [次へ] をクリックします。
[送信] をクリックして確認コードを取得します。
移行元のアカウントで確認コードのメッセージを開き、コードをコピーします。
新しい Google アカウントで確認コードを入力し、[次へ] をクリックします。
利用規約に同意します。
安全なパスワードを作成して、[パスワードを変更] をクリックします。

ステップ 5: 外部ディレクトリで見つからないユーザーを停止する（省略可）

外部ディレクトリでユーザーが停止されている場合や見つからない場合（外部ディレクトリでユーザーのグループが削除された場合など）は、Google Cloud Directory でそのユーザーを停止できます。

外部ディレクトリで見つからないユーザーを停止するには:

[Google でユーザーを停止] チェックボックスをオンにします。
ユーザーを停止しない場合は、チェックボックスをオフにします。
[続行] をクリックします。

注: Directory Sync ではユーザーのステータスが同期されます。ユーザーのアカウントが停止しているにもかかわらず、外部ディレクトリのアカウントが有効な場合、同期後にアカウントが有効になっています。

ステップ 6: 安全保護対策を設定する

同期が自動的にキャンセルされる条件を設定します。同期が安全保護対策の制限を超えると、同期は自動的にキャンセルされ、ユーザーは停止されません。手動で同期を有効にするまで、同期は実行されません。安全保護対策について詳しくは、このページの次のセクションの安全保護対策の決定方法をご覧ください。

安全保護対策を設定するには:

[安全保護対策] で [ユーザーの割合を設定する] または [ユーザーの合計数を設定する] を選択し、割合または数値を入力します。
[同期をシミュレーション] をクリックします。
安全保護対策がトリガーされると、失敗した同期に関する詳細が記載された通知が届きます。監査ログでより詳しい情報を確認することもできます。
詳しくは、アラートセンターを使用すると Directory Sync のログイベントを確認するをご確認ください。

安全保護対策の判定方法

Directory Sync は、外部ディレクトリに存在するユーザーアカウント数を計算し、同期後に停止される可能性があるアカウント数と比較します。その数が指定した割合または数値より大きい場合、同期は自動的にキャンセルされ、停止処理は行われません。

例

100 人の外部ディレクトリユーザーがいます。同期中に Directory Sync によって 12 個のユーザーアカウントの停止と 3 個の新しいアカウントの追加が提案されたとします。

例 1: 安全保護対策として、上限を 14 に設定する場合。停止が提案されたアカウントの数（12）が安全保護対策の数（14）より少ないため、Directory Sync で提案された変更が適用されます。

例 2: 安全保護対策として、上限を 10% に設定する場合。Directory Sync は停止候補となった 12 個の候補と、上限の割合を比較します。停止候補の割合（12%）が上限の 10% を超えているため、Directory Sync では変更を適用せずに同期が停止します。

必要なご対応

Directory Sync で同期をシミュレートします。データのサイズにもよりますが、この処理には最大で 1 時間かかる場合があります。

シミュレーションのステータスを表示する

ディレクトリの詳細ページに戻ってシミュレーションのステータスを確認できます。シミュレーションが完了したかどうかは、Directory Syncのログイベントでもご確認いただけます。

Directory Syncのログイベントを開きます。
詳しくは、Directory Sync のログイベントデータにアクセスするをご覧ください。
[フィルタを追加] [イベント] をクリックします。
[同期完了] を選択し、[適用] をクリックします。
[Simulation] 列の [Yes] は、シミュレーションが完了したことを示します。結果を確認するには、[シミュレーション] 列の追加が必要になる場合があります。

同期のシミュレーションの結果を確認する

シミュレーションが完了したら、ディレクトリの詳細ページで [シミュレーションログを表示] をクリックします。

次のステップ

グループ同期を設定

_{Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。}

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。