Google Cloud Directory Sync (GCDS)による同期をスムーズに行えるように、次のような対応をおすすめします。
GCDS の環境を整える
-
システム要件(特に RAM の空き容量)を確保する - LDAP ディレクトリから多数のエンティティを同期する場合は、GCDS サーバーに十分な RAM 容量があることを確認します。また、実行する GCDS のバージョンが最新であることを確認します。
-
設定が安全であることを確認する - GCDS がインストールされているパソコンがセキュリティで保護されていることを確認します。XML 構成ファイルに保存されている認証情報は暗号化されますが、攻撃者がパソコン自体にアクセスできた場合、XML ファイルと暗号鍵が両方とも取得されるおそれがあります。
-
LDAP データを更新して同期のシミュレーションを行う - LDAP データの準備ができたら、同期のシミュレーションを行って設定を検証します。その後、完全な同期を実行して更新内容を Google アカウントに転送します。GCDS が最適に動作するのは、Google データが同期プロセスによって更新される場合です。
-
管理対象外のユーザーの有無を確認し、いれば招待する - 既存のユーザーに、管理対象外のユーザーがいるかどうかを確認します。管理対象外のユーザーがいる場合は、アカウントを組織の管理対象の Google アカウントに移行できるよう、最初の同期を行う前に招待してください。こうすることで、同期によって競合するアカウントが作成されるのを防ぐことができます。
関連トピック
ユーザー アカウントと管理者アカウントを管理する
-
ユーザー アカウント: 削除ではなく停止する - ユーザー アカウントが LDAP ディレクトリにない場合は、そのアカウントを削除するのではなく停止するように GCDS を設定します。削除したアカウントは 20 日後に取得できなくなりますが、アカウントを停止した場合、データは保持されます。停止中のアカウントのメールや Google ドライブのコンテンツを、別のアカウントに移行することもできます。
-
ユーザー アカウントの同期スケジュールを使い分ける - LDAP ディレクトリで変更されたユーザー アカウントについては、より短い間隔で別途同期することで、該当するユーザー アカウントを迅速に作成、停止できます。急を要しない変更(共有の連絡先の更新やグループ メンバーの変更など)を、頻繁に同期する必要はありません。ユーザー アカウントのみを同期するには、コマンドラインを使用してください。
-
管理者アカウント: 停止も削除もしない - デフォルトでは、LDAP ディレクトリにない Google 管理者アカウントが GCDS によって停止または削除されることはありません。この設定を維持し、Google 管理者アカウントが失われないようにしてください。
関連トピック
ルールと制限を使用してデータを同期する
-
削除制限を確認する - 同期する各アイテムの GCDS 削除制限を調べて、制限がアカウントの規模に見合ったものであること、合理的な割合またはアイテム数に基づいていることを確認します。
-
除外ルールを使用して Google アカウントのユーザーまたはグループを保持する - LDAP ディレクトリに存在しないユーザー アカウントまたはグループが Google にある場合、そのユーザーやグループを Google アカウントに残すには、除外ルールを使用します。除外ルールを使用する前に、その使い方について十分に理解してください。
-
詳細な検索ルールを使用して LDAP データを除外する - LDAP ディレクトリ内のエンティティが Google アカウントに同期されないようにする場合は、詳細な検索ルールを使用することをおすすめします。検索ルールは LDAP 除外ルールよりも管理が簡単で、同期のパフォーマンスを向上させることができます。検索ルールを使用する前に、その使い方をよく理解してください。
関連トピック
次のステップ
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
