設定マネージャを使用した同期の設定

設定マネージャを使用すると、Google Cloud Directory Sync(GCDS)用の設定ファイルの作成とテストを順を追って行うことができます。設定マネージャは [スタート] メニューから開きます。

GCDS は以前は Google Apps Directory Sync(GADS)という名称でした。

すべて開く   |   すべて閉じる

ステップ 1: サーバーの準備

全般設定を指定する

[General Settings] ページで、LDAP サーバーから同期する項目を指定します。次のうち 1 つ以上を選択します。

  • 組織部門
  • ユーザー アカウント
  • グループ
  • ユーザー プロフィール
  • カスタム スキーマ
  • 共有の連絡先
  • カレンダー リソース
  • ライセンス
Google ドメインの設定を定義する

設定マネージャの [Google Domain Configuration] ページで、Google ドメインの接続情報を定義します。

必要なネットワーク プロキシ設定をここで入力します。サーバーからインターネットへの接続にプロキシを必要としない場合、このタブは省略できます。

LDAP システムにない Google ドメインの情報(Google ドメインにのみ存在するユーザーなど)を維持するには、除外ルールを使用します。詳しくは、除外ルールの使用についてのページをご覧ください。

  1. [Connection settings] タブ:
    • Primary Domain Name: G Suite アカウントのプライマリ ドメイン名を入力します。
    • Replace domain names in LDAP email addresses: このチェックボックスをオフのままにすると、LDAP ユーザー名のドメインは変更されません。このチェックボックスをオンにすると、すべての LDAP メールアドレスが [Primary Domain Name] 欄に表示されているドメインに一致するように変更されます。たとえば、元の LDAP ユーザー名が you@your-company.com で、G Suite ドメインが company.com の場合、このチェックボックスをオンにすると、you@company.com というユーザーが作成されます。
    • Alternate email domain: 試験用ドメインをご使用の場合や、全ユーザーの一覧を別のドメインに読み込む必要がある場合は、別のドメインを指定します。それ以外の場合は、空欄のままにしてください。
    • OAuth を使用してアクセス権を認証する:
      1. [Authorize Now] をクリックし、承認設定を行って確認コードを作成します。
      2. [Sign In] をクリックしてブラウザのウィンドウを開き、特権管理者のユーザー名とパスワードで Google ドメインにログインします。
      3. 認証が成功すると、確認コードが届いたことを確認するメッセージが表示されます。これで GCDS の承認は完了です。
  2. [Proxy settings] タブ: 
    必要なネットワーク プロキシ設定をここで入力します。サーバーからインターネットへの接続にプロキシを必要としない場合、このタブは省略できます。
  3. [Exclusion rules] タブ: 
    LDAP システムにない Google ドメインの情報(Google ドメインにのみ存在するユーザーなど)を維持するには、除外ルールを使用します。詳しくは、除外ルールの使用についてのページをご覧ください。
LDAP 設定を定義する

設定マネージャの [LDAP Configuration] ページで、LDAP サーバー情報を入力します。

設定マネージャの [LDAP Configuration] 欄について詳しくは、LDAP 接続の設定をご覧ください。

LDAP サーバーに OpenLDAP または Active Directory® を選択した場合は、デフォルトのパラメータを使って同期のセットアップ時間を短縮できるように、各設定ページの下部にある [Use defaults] をクリックします。その後で必要に応じて設定をカスタマイズできます。

LDAP 認証の設定が終わったら、[Test Connection] をクリックします。入力した設定を確認するため、設定マネージャから LDAP サーバーへの接続が行われ、ログインが試行されます。

ステップ 2: 同期対象の決定

同期するカテゴリを決定する

[General Settings] ページで、同期したいオブジェクトのタイプの横にあるチェックボックスをオンにします。

組織部門の同期ルールを設定する

設定マネージャの [Org Units] ページで、LDAP の組織部門と Google ドメインの組織部門との対応付けを指定します。

各タブをクリックして次の情報を入力します。

  • LDAP Org Unit Mappings: LDAP サーバーの最上位の組織部門のマッピングを追加します。LDAP ディレクトリ サーバー上の下位組織が Google ドメインの組織部門に同じ名前でマッピングされます。

    [Do not create or delete Google Organizations] チェックボックスをオンにすると、LDAP サーバーからの組織部門の同期は行われません。ただし、どのユーザーがどの組織部門に所属するかはユーザー アカウント ルールで指定できます。

    組織部門のマッピング ルールの追加方法について詳しくは、組織部門のマッピングをご覧ください。

  • Search Rules: LDAP クエリ表記法を使用して、読み込み、同期する組織単位を指定します。検索ルールは除外ルールを使って変更できます。詳しくは、組織部門の検索ルールをご覧ください。
  • Exclusion Rules: LDAP ディレクトリ サーバー上の組織部門のうち、検索ルールに一致しても Google ドメインに追加したくない組織部門がある場合は、除外ルールを追加します。詳しくは、除外ルールの使用についてのページをご覧ください。

: LDAP ディレクトリ サーバーで組織階層が 2 か所(メルボルンとデトロイト)の会社所在地に分かれているとします。Google ドメイン組織部門の階層は、この同じ階層に一致します。

  • 第 1 ルール:
    • (LDAP)DN: ou=melbourne,dc=ad,dc=example,dc=com
    • (Google ドメイン)Name: Melbourne
  • 第 2 ルール:
    • (LDAP)DN: ou=detroit,dc=ad,dc=example,dc=com
    • (Google ドメイン)Name: Detroit
ユーザーリストを定義する

設定マネージャの [User Accounts] ページで、LDAP ユーザーリストの生成方法を指定します。

重要: 同期を実行する前に、1 つ以上のユーザールールを追加する必要があります。GCDS でグループを同期するだけであっても、ユーザールールは指定する必要があります。指定しない場合、同期は失敗します。

各タブをクリックして次の情報を入力します。

  • User Attributes: LDAP ユーザーリストの生成時に使用する属性を指定します。
  • Additional Users Attributes: Google ドメイン ユーザーに関する追加情報を読み込むためのオプションの LDAP 属性(パスワードなど)を入力します。
  • Search Rules: LDAP クエリ表記法を使用して、読み込み、同期するユーザーを指定します。検索ルールは除外ルールを使って変更できます。
  • User Exclusion Rules: LDAP ディレクトリ サーバー上のユーザーのうち、検索ルールに一致しても Google ドメインに追加したくないユーザーがいる場合は、除外ルールを追加します。詳しくは、除外ルールの使用についてのページをご覧ください。

セカンダリ ドメインにユーザーを同期する

セカンダリ ドメインを追加した場合は、そのドメイン内のユーザーを GCDS で同期できます。セカンダリ ドメインにユーザーを同期するためには、LDAP サーバーのユーザーのメールアドレスがセカンダリ ドメイン名に一致していることを確認します。セカンダリ ドメインをメインのメールアドレスとして使用して、Google ドメインにユーザーが作成されます。

既存の LDAP メール属性に変更を加えたくない場合、セカンダリ ドメイン ユーザーのメールアドレスを同期するには別の属性を割り当てる必要があります。
詳細情報

設定マネージャの [User Accounts] 欄について詳しくは、ユーザー属性の設定をご覧ください。その他のユーザー属性ユーザー検索ルールにも詳細情報が記載されています。

メーリング リストを Google グループに同期する

設定マネージャの [Groups] ページで、LDAP サーバー上のメーリング リストを Google グループに同期します。

各タブをクリックして次の情報を入力します。

  • Search Rules: LDAP クエリ表記法を使用して、読み込み、同期するグループを指定します。検索ルールは除外ルールを使って変更できます。詳しくは、グループ検索ルールをご覧ください。
  • Exclusion Rules: LDAP サーバー上のエントリのうち、メーリング リスト ルールに一致してもメーリング リストとして扱ってはならないエントリ(外部メールアドレスを持たない内部メーリング リストなど)がある場合は、ここにリストします。詳しくは、除外ルールの使用についてのページをご覧ください。

作成したグループには、デフォルトで次の権限が設定されています。

  • 表示できるユーザー: グループのすべてのメンバー。
  • リストへの掲載: このグループをリストに含めない。
  • メンバーリストを閲覧できるユーザー: マネージャーとオーナーのみがグループのメンバーリストを表示できる。
  • 参加できるユーザー: 組織内のすべてのユーザーが参加をリクエストできる。
  • 外部メンバーを許可する: 許可しない。
  • メッセージを投稿できるユーザー: ドメインのすべてのユーザーが投稿できる。
  • ウェブからの投稿を許可する: 許可する。
  • 新しいメンバーを招待できるユーザー: マネージャーとオーナーのみ。
  • メッセージの管理: 管理しない。
  • メッセージのアーカイブ: アーカイブは無効。
  • 外部メールを許可: 許可しない。
[Groups] の既定設定は変更できませんが、グループの作成後に設定を変更することができます。

設定マネージャの [Group Search Rules] 欄について詳しくは、グループ検索ルールグループ検索ルール(Prefix-Suffix)をご覧ください。

Groups for Business をご使用の場合

ドメインで Groups for Business サービスをご使用の場合、ユーザーはドメイン内に独自のグループを作成できます。こうしたグループは、管理者ではなくユーザーが管理します。

GCDS ではこうしたグループが自動的に検出されるので、削除されたり、上書きされたりすることはありません。同じメールアドレスを持つグループが LDAP ディレクトリに存在する場合は、GCDS により破損につながらない変更(名前や説明の変更、新しいメンバーの追加など)が適用されますが、LDAP ディレクトリから削除したメンバーが削除されることはありません。ユーザーが作成したグループを管理コンソールのグループに変更するには、いったん削除してから管理コンソールで再度作成するのが唯一の方法です。

同期するユーザー プロフィール情報を決定する

設定マネージャの [User Profiles] ページで、ユーザーのプロフィール情報を指定します。ユーザー プロフィールには、電話番号や役職など、ユーザーに関する追加情報が含まれます。

各タブをクリックして次の情報を入力します。

  • User Profile Attributes: LDAP ユーザー プロフィールの生成時に使用する属性を指定します。
  • Search Rules: LDAP クエリ表記法を使用して、読み込み、同期するユーザー プロフィール情報を指定します。検索ルールは除外ルールを使って変更できます。
  • Exclusion Rules: LDAP ディレクトリ サーバー上のユーザー プロフィールのうち、検索ルールに一致しても Google ドメインに追加してはいけないユーザー プロフィールがある場合は、除外ルールを追加します。詳しくは、除外ルールの使用についてのページをご覧ください。

設定マネージャの [User Accounts] 欄について詳しくは、ユーザー プロフィール属性をご覧ください。

カスタム スキーマを使用してカスタム ユーザー フィールドを同期する

カスタム スキーマを使用すると、LDAP ディレクトリから Google ドメインに追加のユーザー情報を同期させることができます。たとえば、財務部門などの特定の組織部門で、さまざまなタイプのユーザーデータを同期する複数のスキーマを使用できます。設定マネージャの [Custom Schemas] ページでは、カスタム スキーマを設定し、どのユーザーに適用するかを指定できます。

カスタム スキーマに適用される制限については、JSON リクエストに関するページ(英語)をご覧ください。

ステップ 1: カスタム スキーマを適用するユーザーを指定する

カスタム スキーマは、次のユーザーに適用できます。

  • LDAP 検索ルールと [User Accounts configuration] の設定で定義されたすべてのユーザー。
  • カスタム LDAP 検索と除外ルールで定義された個別のユーザーセット。

すべてのユーザー アカウントに新しいカスタム スキーマを適用するには:

  1. [Add Schema] をクリックします。
  2. [Apply to all user accounts] を選択します。

特定のユーザーセットに新しいカスタム スキーマを適用するには:

  1. [Add Schema] をクリックします。
  2. [Define custom search rules] を選択します。
  3. [Search Rules] タブで [Add search rule] をクリックし、次の情報を入力します。
    • Scope
    • Rule
    • Base distinguished name(DN)

    詳しくは、GCDS での LDAP クエリの使用についてのページをご覧ください。

  4. [OK] をクリックします。
  5. [Exclusion Rules] タブで [Add Exclusion rule] をクリックし、次の情報を入力します。
    • Exclude Type
    • Match Type
    • Exclusion Rule

    詳しくは、GCDS での除外ルールの使用に関するページをご覧ください。

  6. [OK] をクリックします。

ステップ 2: カスタム スキーマをユーザー グループに追加する

定義済みのスキーマ フィールドを使用するか、独自のスキーマ フィールドを作成できます。

定義済みのスキーマ フィールドを使用するには:

  1. [Schema Name] 欄にスキーマの名前を入力し、[Add Field] をクリックします。
  2. [Schema Field] プルダウン リストから定義済みのスキーマ フィールドを選択します。
  3. [Google Field Name] 欄で入力済みの名前が正しいことを確認します。
  4. [Indexed] と [Read Access Type] 設定が正しいことを確認します。
  5. [OK] をクリックします。
  6. (省略可)別の定義済みのフィールドをスキーマに含めるには、上記の手順を繰り返します。
  7. (省略可)カスタム スキーマ フィールドを追加します(下記の手順を参照)。
  8. [OK] をクリックし、カスタム スキーマを設定に追加します。

独自のスキーマ フィールドを作成するには:

  1. [Schema Name] 欄にスキーマの名前を入力し、[Add Field] をクリックします。
  2. [Schema Field] プルダウン リストから [Custom] を選択します。
  3. [LDAP Field Name] 欄に Google ドメインと同期させる LDAP フィールドの名前を入力します。
  4. [LDAP Field Type] プルダウン リストからフィールドのタイプを選択します。
  5. [Google Field Name] 欄に LDAP データをマッピングする Google フィールドの名前を入力します。
  6. [Google Field Type] プルダウン リストからフィールドのタイプを選択します。
  7. (省略可)データをインデックスに登録するには、[Indexed] チェックボックスをオンにします。
  8. [Read Access Type] リストからスキーマ フィールドで定義されたフィールド データの読み取りアクセス権を制御する方法を選択します。
  9. [OK] をクリックします。
  10. (省略可)別のスキーマ フィールドを追加するには、上記の手順を繰り返します。
  11. [OK] をクリックし、カスタム スキーマを設定に追加します。
共有の連絡先を同期する

設定マネージャの [Shared Contacts] ページで、共有の連絡先の同期を設定します。

共有の連絡先には、名前、メールアドレス、電話番号、役職など、連絡先に関する情報が含まれます。共有の連絡先は、Microsoft Active Directory などのディレクトリ サーバーのグローバル アドレス一覧(GAL)に相当します。

重要: 共有の連絡先が同期されて表示されるまでに 24 時間程度かかることがあります。

各タブをクリックして次の情報を入力します。

  • Shared Contact Attributes: LDAP の共有の連絡先の生成時に使用する属性を指定します。
  • Search Rules: LDAP クエリ表記法を使用して読み込み、同期する連絡先を指定します。検索ルールは除外ルールを使って変更できます。
  • Exclusion Rules: LDAP ディレクトリ サーバー上の連絡先のうち、検索ルールに一致しても Google ドメインに追加してはいけない連絡先がある場合は、除外ルールを追加します。詳しくは、除外ルールの使用についてのページをご覧ください。

共有の連絡先の同期に関する問題のトラブルシューティングについてのページに関連情報があります。

設定マネージャの [Shared Contacts] 欄について詳しくは、共有の連絡先の属性をご覧ください。
カレンダー設定を定義する

設定マネージャの [Calendar Resources] ページで、LDAP カレンダー リソースの生成方法を指定します。

各タブをクリックして次の情報を入力します。

  • Calendar Resource Attributes: LDAP カレンダー リソースの生成時に使用する属性を指定します。

    重要: スペースまたは特殊文字(アットマーク(@)やコロン(:)など)を含むカレンダー リソース属性は同期されません。カレンダー リソースの命名方法について詳しくは、カレンダー リソースの命名方法の決定についてのページをご覧ください。

  • Search Rules: LDAP クエリ表記法を使用して、読み込み、同期するカレンダー リソースを指定します。検索ルールは除外ルールを使って変更できます。
  • Exclusion Rules: LDAP ディレクトリ サーバー上のカレンダー リソースのうち、検索ルールに一致しても Google ドメインに追加してはいけないリソースがある場合は、除外ルールを追加します。詳しくは、除外ルールの使用についてのページをご覧ください。

設定マネージャの [Calendar Resources] 欄について詳しくは、カレンダー リソースの属性をご覧ください。

ライセンスを同期する

設定マネージャの [Licenses] ページで、Google ドメインのユーザーに対する GCDS のライセンスの同期を設定します。

ドメイン向けに別のサービス SKU を購入した場合は、ライセンスの自動割り当てを無効にし、GCDS のライセンス同期機能を使用することで、Google ユーザー アカウントのライセンスを管理できます。ユーザー ライセンスの割り当ては 1 種類の方法で管理する必要があるため、管理コンソールでサービス ライセンスの割り当てと管理を行うか、ここで説明する GCDS のライセンス同期機能を使用するかのいずれかの方法をとるようにしてください。

各タブをクリックして次の情報を入力します。

  • Email Address Attribute: LDAP ユーザー アカウントと Google ドメイン ユーザーの間でメールアドレスをマッピングする際に GCDS で使用する属性を指定します。
  • LDAP ライセンス ルールを追加するには:
    • [Add Rule] をクリックします。
    • [License] プルダウン メニューから、ライセンス ルールで指定されたユーザーに適用するライセンス SKU を選択します。
    • [LDAP query] で、LDAP クエリの表記法を使用してライセンスを割り当てる LDAP ディレクトリのユーザーを指定します。重要: 設定できるライセンスの数は、ライセンス SKU ごとに 1 つです。

      例: (&(objectclass=user)(objectcategory=person)(memberof=CN=Group_1,CN=Users,DC=Domain,DC=com)) 

    • (省略可)[Remove this license from Google domain users that don’t match this rule] チェックボックスをオンにして、このライセンス ルールに一致しない Google ドメインのすべてのユーザーのライセンスを削除します。

      : このチェックボックスをオンにすると、ルールに一致しない Google ドメインのすべてのユーザーのライセンスが削除されます。LDAP 設定が適切に定義されていない場合は、ドメイン内の多数のユーザーのライセンスが削除されることがあります。この機能を使用する前に、設定が適切に定義されていることをご確認ください。

    • 次のオプションのいずれかを選択します。
      • ルールを追加して、LDAP ライセンス ルールの画面に戻るには、[OK] をクリックします。
      • ルールを追加して、別の LDAP ライセンス ルールを開始するには、[Apply] をクリックします。
      • ルールをキャンセルするには、[Cancel] をクリックします。
      • LDAP ライセンス クエリが有効かどうかテストするには、[Test LDAP query] をクリックします。

サポートされるサービス ID と SKU

サービス ID SKU
Google-Apps

Google-Apps-For-Business
Google-Apps-For-Postini
Google-Apps-Lite
Google-Apps-Unlimited

Google-Drive-storage Google-Drive-storage-20GB
Google-Drive-storage-50GB
Google-Drive-storage-200B
Google-Drive-storage-40GB
Google-Drive-storage-1TB
Google-Drive-storage-2TB
Google-Drive-storage-4TB
Google-Drive-storage-8TB
Google-Drive-storage-16TB
Google-Vault Google-Vault
Google-Vault-Former-Employee

 

重要

Cloud Identity ライセンスを割り当てる場合は、次の点にご注意ください。

ステップ 3: 同期の確認

通知を設定する

設定マネージャの [Notifications] ページで、メールサーバーに関する詳細と、同期後にメールで通知する必要のあるユーザーを指定します。

同期が行われるたびに、[To addresses] 欄で指定したメールアドレスに通知が送信されます。アドレスを入力するごとに、[Add] をクリックします。

リストしたアドレスにテスト メッセージを送信するには、[Test Notification] をクリックします。

設定マネージャの [Notifications] 欄について詳しくは、通知属性をご覧ください。

ログのパラメータを設定する

設定マネージャの [Logging] ページで、ログのファイル名と必要な詳細レベルを指定します。

設定マネージャの [Logging] 欄について詳しくは、ロギングの設定をご覧ください。

同期設定を確認する

設定マネージャの [Sync] ページで、[Simulate sync] をクリックして設定をテストします。

シミュレーション中、設定マネージャによって次の処理が行われます。

  • Google ドメインに接続し、ユーザー、グループ、共有の連絡先のリストを生成する。
  • LDAP ディレクトリ サーバーに接続し、ユーザー、グループ、共有の連絡先のリストを生成する。
  • 差分のリストを生成する。
  • すべてのイベントをログに記録する。

シミュレーションに成功すると、Google ユーザーリストに対してどのような変更が行われるかを示す変更案レポートが生成されます。

: 同期のシミュレーションを実行しても、LDAP サーバーのデータや Google ドメインのユーザー アカウントが更新または変更されることはありません。シミュレーションはあくまでも確認とテストの目的で行います。

設定が正しいことを確認できたら、[Sync & apply changes] をクリックして同期を開始します。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。