設定マネージャーを使用した同期の設定

設定マネージャーを使用すると、Google Cloud Directory Sync(GCDS)用の設定ファイルの作成とテストを順を追って行うことができます。設定マネージャーは [スタート] メニューから開きます。

すべて開く   |   すべて閉じる

ステップ 1: サーバーの準備

全般設定を指定する

[General Settings] ページで、LDAP サーバーから同期する項目を指定します。次のうち 1 つ以上を選択します。

  • 組織部門
  • ユーザー アカウント
  • グループ
  • ユーザー プロフィール
  • カスタム スキーマ
  • 共有の連絡先
  • カレンダー リソース
  • ライセンス
Google ドメインの設定を定義する

設定マネージャーの [Google Domain Configuration] ページで、Google ドメインの接続情報を定義します。

[Connection Settings] タブ

  • Primary Domain Name - Google アカウントのプライマリ ドメイン名を入力します。プライマリ ドメインの所有権の証明が完了していることをご確認ください。詳しくは、G Suite のドメイン所有権の確認をご覧ください。
  • Replace domain names in LDAP email addresses - このチェックボックスをオンにすると、LDAP のメールアドレスが [Alternate email domain] 欄に表示されているドメインに一致するように変更されます。
  • Alternate email domain - ユーザーを別のドメイン(テスト用ドメインなど)に読み込むには、別のドメインを指定します。それ以外の場合は、空欄のままにしてください。
  • Authorize access using OAuth - GCDS を承認するには、次の操作を行います。
    1. [Authorize Now] 次に [Sign In] をクリックします。
    2. 特権管理者のユーザー名とパスワードで Google アカウントにログインします。

      認証が成功すると、確認コードが届いたことを確認するメッセージが表示されます。これで GCDS の承認は完了です。

[Proxy Settings] タブ

ネットワーク プロキシ設定をここで入力します。サーバーからインターネットへの接続にプロキシを必要としない場合、このタブは省略できます。

[Exclusion Rules] タブ

LDAP システムにない Google ドメインの情報(Google アカウントにのみ存在するユーザーなど)を維持するには、除外ルールを使用します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

LDAP の設定を定義する

設定マネージャーの [LDAP Configuration] ページで、LDAP サーバー情報を入力します。

LDAP サーバーに OpenLDAP または Active Directory を選択した場合は、デフォルトのパラメータを使って同期のセットアップ時間を短縮できるように、各設定ページの下部にある [Use defaults] をクリックします。その後で必要に応じて設定をカスタマイズできます。

LDAP 認証の設定が終わったら、[Test Connection] をクリックします。入力した設定を確認するため、設定マネージャーから LDAP サーバーへの接続が行われ、ログインが試行されます。

関連トピック

ステップ 2: 同期対象の決定

同期するカテゴリを決定する

[General Settings] ページで、同期したいオブジェクトのタイプの横にあるチェックボックスをオンにします。

組織部門の同期ルールを設定する

設定マネージャーの [Org Units] ページで、LDAP の組織部門と Google アカウントの組織部門との関連付けを行います。

各タブをクリックして次の情報を入力します。

  • LDAP Org Unit Mappings - LDAP サーバーの最上位の組織部門のマッピングを追加します。LDAP ディレクトリ サーバー上の下位組織が Google の組織部門に同じ名前でマッピングされます。

    : 組織部門の名前に「/(バックスラッシュ)」は使用できません。管理コンソールにエラー メッセージが表示されます。GCDS、G Suite Admin SDK または School Directory Sync を使用して組織部門を作成または名前を変更した場合、「/(バックスラッシュ)」は「_(アンダースコア)」に置き換えられます。

    [Do not create or delete Google Organizations] チェックボックスをオンにすると、LDAP サーバーからの組織部門の同期は行われません。ただし、どのユーザーがどの組織部門に所属するかはユーザー アカウント ルールで指定できます。

    組織部門のマッピング ルールの追加方法について詳しくは、組織部門のマッピングをご覧ください。

  • Search Rules - LDAP クエリ表記法を使用して、読み込み、同期する組織単位を指定します。
    検索ルールは除外ルールを使って変更できます。詳しくは、組織部門の検索ルールをご覧ください。
  • Exclusion Rules - LDAP ディレクトリ サーバー上の組織部門のうち、検索ルールに一致しても Google アカウントに追加したくない組織部門がある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

: LDAP ディレクトリ サーバーで組織階層が 2 か所(メルボルンとデトロイト)の会社所在地に分かれているとします。Google の組織部門の階層もこれと同じ階層になります。

1 つ目のルール:

  • (LDAP)DN: ou=melbourne,dc=ad,dc=example,dc=com
  • (Google ドメイン)Name: Melbourne

2 つ目のルール:

  • (LDAP)DN: ou=detroit,dc=ad,dc=example,dc=com
  • (Google ドメイン)Name: Detroit
ユーザーリストを定義する

設定マネージャーの [User Accounts] ページで、LDAP ユーザーリストの生成方法を指定します。各タブをクリックして次の情報を入力します。

  • User Attributes - LDAP ユーザーリストの生成時に使用する属性を指定します。
  • Additional Users Attributes - Google ドメイン ユーザーに関する追加情報を読み込むためのオプションの LDAP 属性(パスワードなど)を入力します。
  • Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するユーザーを指定します。検索ルールは除外ルールを使って変更できます。詳しくは、LDAP 検索ルールを使用したデータの同期をご覧ください。
  • User exclusion rules - LDAP ディレクトリ サーバー上のユーザーのうち、検索ルールに一致しても Google アカウントに追加したくないユーザーがいる場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

メーリング リストを Google グループに同期する

設定マネージャーの [Groups] ページで、LDAP サーバー上のメーリング リストを Google グループに同期します。

各タブをクリックして次の情報を入力します。

  • Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するグループを指定します。
    検索ルールは除外ルールを使って変更できます。詳しくは、グループ検索ルールをご覧ください。
  • Exclusion Rules - LDAP サーバー上のエントリのうち、メーリング リスト ルールに一致してもメーリング リストとして扱ってはならないエントリ(外部メールアドレスを持たない内部メーリング リストなど)がある場合は、こちらにリストします。詳しくは、GCDS で除外ルールを使用するをご覧ください。

作成したグループには、デフォルトで次の権限が設定されます。

  • 表示できるユーザー: グループのすべてのメンバー。
  • リストへの掲載: このグループをリストに含めない。
  • メンバーリストを閲覧できるユーザー: マネージャーとオーナーのみがグループのメンバーリストを表示できる。
  • 参加できるユーザー: 組織内のすべてのユーザーが参加をリクエストできる。
  • 外部メンバーを許可する: 許可しない。
  • メッセージを投稿できるユーザー: ドメインのすべてのユーザーが投稿できる。
  • ウェブからの投稿を許可する: 許可する。
  • 新しいメンバーを招待できるユーザー: マネージャーとオーナーのみ。
  • メッセージの管理: 管理しない。
  • メッセージのアーカイブ: アーカイブは無効。
  • 外部メールを許可: 許可しない。

[Groups] のデフォルト設定は変更できませんが、グループの作成後に設定を変更することは可能です。

ビジネス向け Google グループをご使用の場合

ドメインでビジネス向け Google グループ サービスをご使用の場合、ユーザーはドメイン内に独自のグループを作成できます。こうしたグループは、管理者ではなくユーザーが管理します。グループの作成方法をご覧ください。

GCDS ではこうしたグループが自動的に検出されるため、削除されたり、上書きされたりすることはありません。同じメールアドレスを持つグループが LDAP ディレクトリに存在する場合は、GCDS により破損につながらない変更(名前や説明の変更、新しいメンバーの追加など)が適用されますが、LDAP ディレクトリから削除したメンバーが削除されることはありません。ユーザーが作成したグループを管理コンソールのグループに変更するには、いったん削除してから管理コンソールで再度作成するのが唯一の方法です。

関連トピック

同期するユーザー プロフィール情報を決定する

設定マネージャーの [User Profiles] ページで、ユーザーのプロフィール情報を指定します。ユーザー プロフィールには、電話番号や役職といったユーザーに関する追加情報が含まれます。

各タブをクリックして次の情報を入力します。

  • User Profile Attributes - LDAP ユーザー プロフィールの生成時に使用する属性を指定します。
  • Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するユーザー プロフィール情報を指定します。
    検索ルールは除外ルールを使って変更できます。
  • Exclusion rules - LDAP ディレクトリ サーバー上のユーザー プロフィールのうち、検索ルールに一致しても Google アカウントに追加してはいけないユーザー プロフィールがある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

カスタム スキーマを使用してカスタム ユーザー フィールドを同期する

カスタム スキーマを使用すると、LDAP ディレクトリから Google アカウントに追加のユーザー情報を同期できます。たとえば特定の組織部門(例: 財務)で複数のスキーマを使用して、さまざまな種類のユーザーデータを同期できます。設定マネージャーの [Custom Schemas] ページでは、カスタム スキーマを設定し、どのユーザーに適用するかを指定できます。

カスタム スキーマに適用される制限については、JSON リクエストに関するページ(英語)をご覧ください。

ステップ 1: カスタム スキーマを適用するユーザーを指定する

カスタム スキーマは、次のユーザーに適用できます。

  • LDAP 検索ルールと [User Accounts configuration] の設定で定義されたすべてのユーザー。
  • カスタム LDAP 検索と除外ルールで定義された個別のユーザーセット。

すべてのユーザー アカウントに新しいカスタム スキーマを適用するには:

  1. [Add Schema] をクリックします。
  2. [Apply to all user accounts] を選択します。

特定のユーザーセットに新しいカスタム スキーマを適用するには:

  1. [Add Schema] をクリックします。
  2. [Define custom search rules] を選択します。
  3. [Search Rules] タブで [Add search rule] をクリックし、次の情報を入力します。
    • スコープ
    • ルール
    • ベース識別名(DN)

    詳しくは、GCDS での LDAP クエリの使用に関するページをご覧ください。

  4. [OK] をクリックします。
  5. [Exclusion Rules] タブで [Add Exclusion rule] をクリックし、次の情報を入力します。 
    • Exclude Type
    • Match Type
    • Exclusion Rule

    詳しくは、GCDS での除外ルールの使用に関するページをご覧ください。

  6. [OK] をクリックします。

ステップ 2: カスタム スキーマをユーザー グループに追加する

定義済みのスキーマ フィールドを使用するか、独自のスキーマ フィールドを作成することができます。

定義済みのスキーマ フィールドを使用するには:

  1. [Schema Name] 欄にスキーマの名前を入力し、[Add Field] をクリックします。
  2. [Schema Field] プルダウン リストから定義済みのスキーマ フィールドを選択します。
  3. [Google Field Name] 欄で入力済みの名前が正しいことを確認します。
  4. [Indexed] と [Read Access Type] 設定が正しいことを確認します。
  5. [OK] をクリックします。
  6. (省略可)別の定義済みのフィールドをスキーマに含めるには、上の手順を繰り返します。
  7. (省略可)カスタム スキーマ フィールドを追加します(以下の手順を参照)。
  8. [OK] をクリックし、カスタム スキーマを設定に追加します。

独自のスキーマ フィールドを作成するには:

  1. [Schema Name] 欄にスキーマの名前を入力し、[Add Field] をクリックします。
  2. [Schema Field] プルダウン リストから [Custom] を選択します。
  3. [LDAP Field Name] 欄に、Google アカウントに同期する LDAP フィールドの名前を入力します。
  4. [LDAP Field Type] プルダウン リストからフィールドのタイプを選択します。
  5. [Google Field Name] 欄に LDAP データをマッピングする Google フィールドの名前を入力します。
  6. [Google Field Type] プルダウン リストからフィールドのタイプを選択します。
  7. (省略可)データをインデックスに登録するには、[Indexed] チェックボックスをオンにします。
  8. [Read Access Type] リストから、スキーマ フィールドで定義されたフィールド データの読み取りアクセス権をコントロールする方法を選択します。
  9. [OK] をクリックします。
  10. (省略可)別のスキーマ フィールドを追加するには、上記の手順を繰り返します。
  11. [OK] をクリックし、カスタム スキーマを設定に追加します。
共有の連絡先を同期する

設定マネージャーの [Shared Contacts] ページで、共有の連絡先の同期を設定します。共有の連絡先は、Microsoft Active Directory などのディレクトリ サーバーのグローバル アドレス一覧(GAL)に相当します。共有の連絡先には、名前、メールアドレス、電話番号、役職などの情報が含まれます。

重要:

  • ドメイン外の共有の連絡先のみを同期してください。ドメイン内の連絡先を同期すると、GAL でエントリが重複する可能性があります。
  • 共有の連絡先が同期されて表示されるまでに、最長で 24 時間ほどかかることがあります。

各タブをクリックして次の情報を入力します。

  • Shared contact attributes - LDAP の共有の連絡先の生成時に使用する属性を指定します。
  • Search Rules - LDAP クエリ表記法を使用して読み込み、同期する連絡先を指定します。
    検索ルールは除外ルールを使って変更できます。
  • Exclusion rules - LDAP ディレクトリ サーバー上の連絡先のうち、検索ルールに一致しても Google アカウントに追加してはいけない連絡先がある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

カレンダー設定を定義する

設定マネージャーの [Calendar Resources] ページで、LDAP カレンダー リソースの生成方法を指定します。

各タブをクリックして次の情報を入力します。

  • Calendar resource attribute - LDAP カレンダー リソースの生成時に使用する属性を指定します。

    重要: GCDS では、スペースと特殊文字(アットマーク(@)、コロン(:)など)を含むカレンダー リソース属性は同期されません。カレンダー リソースの命名方法について詳しくは、リソースの命名規則をご覧ください。

  • Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するカレンダー リソースを指定します。
    検索ルールは除外ルールを使って変更できます。
  • Exclusion rules - LDAP ディレクトリ サーバー上のカレンダー リソースのうち、検索ルールに一致しても Google アカウントに追加してはいけないリソースがある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

ライセンスを同期する

設定マネージャーの [Licenses] ページで、Google アカウントのユーザーに対する GCDS のライセンスの同期を設定します。

アカウント向けに別のサービス SKU を購入した場合は、ライセンスの自動割り当てを無効にし、GCDS のライセンス同期機能を使用することで、Google ユーザー アカウントのライセンスを管理できます。詳しくは、ライセンスの割り当て、削除、再割り当てをご覧ください。

ユーザー ライセンスの割り当ては 1 種類の方法で管理する必要があるため、管理コンソールでサービス ライセンスの割り当てと管理を行うか、ここで説明する GCDS のライセンス同期機能を使用するかのいずれかの方法をとるようにしてください。

各タブをクリックして次の情報を入力します。

Email address attribute - LDAP ユーザー アカウントと Google アカウント ユーザーの間でメールアドレスをマッピングする際に使用する属性を指定します。

LDAP ライセンス ルールを追加するには: 

  1. [Add Rule] をクリックします。
  2. [License] プルダウン メニューから、ライセンス ルールで指定されたユーザーに適用するライセンス SKU を選択します。後述のサポートされるサービス ID と SKUをご覧ください。
  3. [LDAP query] 欄で、LDAP クエリの表記法を使用してライセンスを割り当てる LDAP ディレクトリのユーザーを指定します。
    重要: 設定できるライセンスの数は、ライセンス SKU ごとに 1 つです。

    例: (&(objectclass=user)(objectcategory=person)(memberof=CN=Group_1,CN=Users,DC=Domain,DC=com))

  4. (省略可)[Remove this license from Google domain users that don’t match this rule] チェックボックスをオンにして、このライセンス ルールに一致しない Google ドメインの全ユーザーのライセンスを削除します。

    : このチェックボックスをオンにすると、ルールに一致しない Google アカウントの全ユーザーのライセンスが削除されます。LDAP 設定が適切に定義されていない場合は、ドメイン内の多数のユーザーのライセンスが削除される可能性があります。この機能を使用する前に、設定が適切に定義されていることをご確認ください。

  5. 次のいずれかのオプションを選択します。
    • ルールを追加して、LDAP ライセンス ルールの画面に戻るには、[OK] をクリックします。
    • ルールを追加して、別の LDAP ライセンス ルールを開始するには、[Apply] をクリックします。
    • ルールをキャンセルするには、[Cancel] をクリックします。
    • LDAP ライセンス クエリが有効かどうかテストするには、[Test LDAP query] をクリックします。

サポートされるサービス ID と SKU

サービス ID SKU
G Suite G Suite Enterprise
G Suite Business
G Suite Basic
G Suite Essentials
G Suite Enterprise Essentials
G Suite Lite
Google Apps Message Security
G Suite Enterprise for Education G Suite Enterprise for Education
G Suite Enterprise for Education(学生用)
Google ドライブ ストレージ Google ドライブ ストレージ 20 GB
Google ドライブ ストレージ 50 GB
Google ドライブ ストレージ 200 GB
Google ドライブ ストレージ 400 GB
Google ドライブ ストレージ 1 TB
Google ドライブ ストレージ 2 TB
Google ドライブ ストレージ 4 TB
Google ドライブ ストレージ 8 TB
Google ドライブ ストレージ 16 TB
Google Vault Google Vault
Google Vault - 元従業員
Cloud Identity Cloud Identity
Cloud Identity Premium Cloud Identity Premium
Google Voice Google Voice Starter
Google Voice Standard
Google Voice Premier

 

重要:

Cloud Identity ライセンスを割り当てる場合は、次の点にご注意ください。

ステップ 3: 同期の確認

通知を設定する

設定マネージャーの [Notifications] ページで、メールサーバーに関する詳細と、同期後にメールで通知する必要のあるユーザーを指定します。

同期が行われるたびに、[To addresses] 欄で指定したメールアドレスに通知が送信されます。アドレスを入力するごとに、[Add] をクリックしてください。

リストしたアドレスにテスト メッセージを送信するには、[Test Notification] をクリックします。

関連トピック

ロギングのパラメータを設定する

設定マネージャーの [Logging] ページで、ログのファイル名と必要な詳細レベルを指定します。

関連トピック

同期設定を確認する

設定マネージャーの [Sync] ページで、[Simulate sync] をクリックして設定をテストします。

同期のシミュレーションを実行しても、LDAP サーバーのデータまたは Google アカウントのユーザー アカウントが更新または変更されることはありません。シミュレーションはあくまでも確認とテストの目的で行います。シミュレーション中、設定マネージャーによって次の処理が行われます。

  • Google アカウントに接続し、ユーザー、グループ、共有の連絡先のリストを生成する。
  • LDAP ディレクトリ サーバーに接続し、ユーザー、グループ、共有の連絡先のリストを生成する。
  • 差分のリストを生成する。
  • すべてのイベントをログに記録する。

シミュレーションに成功すると、Google ユーザーリストに対してどのような変更が行われるかを示す変更案レポートが生成されます。

設定が正しいことを確認できたら、[Sync & apply changes] をクリックして同期を開始します。

Google、G Suite、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。