G Suite Password Sync を設定する

G Suite Password Sync(GSPS)を使用すると、ユーザーの Google パスワードを Microsoft®Active Directory® から直接更新できます。詳しくは、GSPS についてのページをご覧ください。

G Suite と Cloud Identity の管理者は GSPS を利用できます

ご利用の前に

次のことを確認してください。

  • 組織の管理者である。GSPS の設定手順を完了できるのは管理者のみです。
  • Active Directory ドメインのドメイン管理者である。
  • システム要件を満たしている。

GSPS インストールの準備

手順 1: Google の認証方法を選択する

GSPS では次の認証方法のうち 1 つが使用されています。

  • サービス アカウント
  • 3-Legged OAuth

GSPS の認証には、サービス アカウントの使用をおすすめします。サービス アカウントを使用するには、GSPS 1.6 以降のインストールを計画する必要があります。GSPS の認証方法の詳細については、Google の認証方法を選択するをご覧ください。

手順 2: GSPS サービス アカウントを作成する
Google ドメインの認証にサービス アカウントを使用する場合は、Google Developers Console で GSPS サービス アカウントを作成する必要があります。詳細については、ドメイン向けに GSPS を承認するをご覧ください。
手順 3: Google ドメインにユーザーを追加する

すべてのユーザーの Google アカウントをまだ作成していない場合は、アカウントを作成する必要があります。その後、次の方法でユーザーを追加できます。

  • GCDS を使用する - Active Directory 環境でユーザーを Google アカウントに追加するには、Google Cloud Directory Sync(GCDS)の使用をおすすめします。GCDS では、Google ドメインのユーザー アカウントが Active Directory システム内のユーザー アカウントに自動的に同期されます。

    これには、GCDS の [Additional User Attributes] > [Synchronize Passwords] を [Only for new users] に設定する必要があります。この設定をしないと、GCDS を実行してもパスワードが同期されない場合があります。詳しくは、その他のユーザー属性をご覧ください。

  • 別の方法を使用する - GCDS を使用しない場合は、ユーザーの追加方法をご覧ください。
手順 4: Directory API を有効にする

GSPS を使用するには、Google 管理コンソールで Directory API(バージョン 1)を有効にする必要があります。GCDS をすでに使用している場合、この API は有効になっています。

Directory API を有効にする方法の詳細については、管理コンソールで API アクセスを有効にするをご覧ください。

設定ウィザードを使用した GSPS のインストールと設定

ここでは、設定ウィザードを使用して GSPS をインストールする方法について説明します。コマンドラインから GSPS をインストールする手順については、コマンドラインからの GSPS のインストールと設定をご覧ください。

手順 5: GSPS をダウンロードし、サービス アカウントの JSON ファイルをドメイン コントローラにコピーする

各 Active Directory サーバー(ドメイン コントローラ)で以下の手順に沿って操作します。

  1. ドメイン管理者としてドメイン コントローラにログインします。ドメイン コントローラが所属するドメインのアカウントを使用する必要があります。
  2. GSPS をダウンロードします。ご使用のオペレーティング システムに合った版(32 ビットまたは 64 ビット)をダウンロードしてください。
  3. (省略可)サービス アカウントを使用する場合は、サービス アカウントの JSON ファイルをドメイン コントローラにコピーします。サービス アカウントをまだ作成していない場合は、ドメイン向けに GSPS を承認するをご覧ください。
手順 6: GSPS をインストールする

実行するインストーラは、ご使用のホスト アーキテクチャ(32 ビットまたは 64 ビット)によって異なります。

  1. 下記のいずれかのインストーラを実行します。
    • GoogleAppsPasswordSync32.msi
    • GoogleAppsPasswordSync64.msi
  2. インストーラの手順を完了します。
  3. サーバーを再起動します。
手順 7: GSPS を設定する
  1. [スタート] メニューから G Suite Password Sync を起動します。
  2. [Next] をクリックします。
  3. メインの Google ドメインと [Admin Email Address] を指定します。これは、GSPS でパスワードを更新する際に使用される管理者のメールアドレスです。管理者のアドレスは、管理コンソールの監査ログにも表示されます。

    重要: 続行する前に、管理者が Google 管理コンソールにログインして利用規約に同意していることをご確認ください。

  4. 認証方法(サービス アカウントまたは 3-Legged OAuth)を設定します。

    サービス アカウントを使用する場合:

    1. [Service account] を選択します。
    2. [Load Credentials] をクリックし、サービス アカウントの JSON ファイルを選択します。

      [Status] の値が [Authorized] に変わります。

      : JSON ファイルは設定手順を完了した後、システムから削除できます。JSON ファイルには、Google ドメインへのアクセスを許可する鍵が含まれていることに注意してください。

    3-Legged OAuth を使用する場合:

    1. [3-Legged OAuth] を選択します。
    2. [Authorize Now] をクリックします。
    3. メッセージが表示されたら、前に入力したメールアドレスで Google アカウントにログインします。[Continue] をクリックします。
    4. メッセージが表示されたら、管理者のユーザー名とパスワードを入力して [Sign in] をクリックします。
    5. [Allow] をクリックします。

      「Authorization has been granted successfully. Please switch to your application」というメッセージが表示されます。

    6. ブラウザを閉じて GSPS に戻ります。[Status] の値が [Authorized] に変わります。

    : GSPS の画面に [Authorized] が表示されない場合、承認に失敗しています。GSPS 設定画面の下部にあるエラー メッセージを確認してください。承認に失敗する理由はさまざまですが、通常は次の理由が考えられます。

    • ユーザーが Google ドメインの特権管理者ではない。
    • サーバーの時刻とタイムゾーンが正しく設定されていない。
  5. [Next] をクリックします。
  6. Active Directory のクエリに使用する GSPS の承認アクセス方法を選択します。使用できる設定は、下記のものです。
    承認アクセス方法 説明
    Application's Security Context

    デフォルトの推奨設定です。GSPS サービスは、ユーザー アカウントではなく NetworkService アカウントのセキュリティ コンテキストで実行されます。

    これは、Server Core ドメイン コントローラでサポートされている、またはコマンドラインから GSPS を設定する場合に使用できる唯一のオプションです。

    User Credentials

    GSPS がその代理として動作する、承認済みのユーザーです。このユーザーはドメイン管理者である必要はなく「This object and all child objects」に対して「List Contents」、「Read All Properties」、「Read Permissions」の役割を持つアカウントを指定できます。

    このユーザーは Active Directory からユーザーのメールアドレスを取得するためにのみ使用されるため、パスワードを同期させたいすべてのユーザーのメール属性の読み取りアクセス権を持っている必要があります。

    Anonymous

    GSPS は認証に Active Directory Services Interfaces(ADSI)を使用します。匿名アクセスはほとんどの Active Directory 設定でサポートされていないため、おすすめしません。

  7. 承認アクセス方法に [User Credentials] を選択した場合は、[Authorized User] と [Password fields] に入力します。
  8. [Base distinguished name(DN)] を入力します。初めて GSPS を設定する場合、Active Directory ドメインのデフォルトのベース DN が検出されて、ここに追加されます。必要に応じて、編集することも可能です。

    GCDS を使用する場合、この設定は通常、GCDS のベース DN の設定と同じになります。

  9. [Mail Attribute] を入力します。これは、各ユーザーの Google メールアドレスを含む Active Directory ドメインのメール属性です。ほとんどの場合、この属性は「mail」となります。ここに保存される値は、アドレスのドメイン部分も含めてユーザーの Google のメールアドレスと完全に一致する必要があります。

    GCDS で [Replace domain names in LDAP email addresses] 設定を使用している場合、属性が「mail」以外の可能性があります。したがって、Google のメールアドレスと一致する属性が使用されていることをご確認ください。

  10. [Next] をクリックします。指定した接続設定のテストが行われ、エラーがある場合は画面に表示されます。表示された場合は、エラー メッセージを確認します。[Summary] 画面に設定が保存されたこと、サービスが稼働中であることが表示されます。
  11. [Finish] をクリックします。
  12. ドメイン内のドメイン コントローラごとに、上記の手順を繰り返します。

これで、GSPS がインストールされて、実行されました。Active Directory でユーザーのパスワードを変更すると、Google のユーザーのパスワードも自動的に更新されます。ただし、GSPS はパスワードの変更のみ同期するツールであり、現在使っている Active Directory パスワードを Google と同期する機能はありません。

Google アカウントにパスワードを同期するために Active Directory のパスワードを変更するよう(手順 8 で説明)、ユーザーに依頼してください。

完了とメンテナンス

手順 8: Active Directory パスワードを変更するようユーザーに依頼する

GSPS によって Active Directory パスワードが Google アカウントと同期されるのは、パスワードが変更されたときに限られます。そのため、同期プロセスを完了するには、ユーザーが各自の Active Directory パスワードを変更する必要があります。Active Directory ユーザーが次回ログインするときに、パスワードを変更するよう求めることをおすすめします。

新しいユーザーを追加するときは、次のワークフローに沿って操作することをおすすめします。

  1. Active Directory でユーザーを新規作成してそのユーザーに初期の汎用パスワードを設定し、[ユーザーは次回ログオン時にパスワードの変更が必要] チェックボックスをオンにします。
  2. GCDS を実行し、Google ドメインでユーザーをプロビジョニングします。
  3. ユーザーに、ログインして初期パスワードを変更するよう依頼します。GSPS により、数分以内に Google アカウントのパスワードが新しいものに更新されます。

    : Google のパスワードは、名前とパスワードのガイドラインに準拠している必要があります。

  4. ユーザーに新しいパスワードで Google アカウントにログインしてもらいます。これ以降の Active Directory のパスワード変更は、GSPS により自動的に Google に同期されます。
ユーザーによる Google パスワードの変更を防ぐ

確実に Active Directory でパスワードを変更してもらうには:

手順 1: 管理者以外によるパスワードの再設定を有効にしない

管理者以外によるパスワードの再設定が有効になっていないことを確認します。ユーザーのパスワードの再設定方法を設定するをご覧ください。

手順 2: Windows パスワードを変更するようユーザーに依頼する

  1. パスワードを変更する際は、Google パスワードではなく Microsoft Windows パスワードを変更するよう案内するための内部向けウェブページを、Google サイトで作成します。
  2. ページの URL をコピーします。
  3. Google 管理コンソールにログインします。
  4. [セキュリティ] をクリックします。
  5. [シングル サインオン (SSO) の設定] をクリックします。
  6. [パスワード変更 URL] 欄に、手順 1 で作成したページの URL を入力します。

    : [サードパーティの ID プロバイダで SSO を設定する] チェックボックスをオンにする必要はありません。

  7. [保存] をクリックします。

ユーザーが Google パスワードを変更しようとすると、上記の案内が記載されたページが表示されます。上記の手順について詳しくは、管理対象 Google アカウントへのシングル サインオンの設定についての記事をご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。