除外ルールとクエリを使ってデータを除外する

除外ルールやクエリを使用することで、Google Cloud Directory Sync (GCDS) では、どのデータを確認、更新の対象にするかを制御することができます。

除外ルールとクエリの違い

  • 除外ルールを設定すると、LDAP ディレクトリ データ、Google アカウント データ、またはその両方を同期から除外できます。たとえば、除外ルールを使用してユーザー、プロファイル、グループを除外した場合、GCDS は同期中にそれらが存在しないかのように動作します。
  • GCDS でユーザーの削除や停止が行われないようにするには、Google アカウントのデータがあるクエリを使用して、Google ユーザーを同期から除外します。多数のユーザーが存在する場合は、GCDS ですべてのユーザーを読み込み、除外ルールを使用して同期しないユーザーをフィルタするよりも、クエリを使用した方が効率がよくなります。

ルールとクエリを使用するタイミング

データの種類 使用を検討 できない場合に使用
Google アカウントに必要ない LDAP ディレクトリ サーバー内のエンティティ LDAP 検索ルール LDAP の除外ルール
停止中や削除の対象とならない Google アカウント内のユーザー ユーザーの検索キーワード 必要な種類のフィルタがクエリ構文でサポートされていない場合は、Google の除外ルールを使用してください。
Google アカウントには残す必要があるが LDAP ディレクトリ サーバーには存在しない、ユーザー以外のエンティティ(グループ、組織部門、カレンダー リソースなど) Google の除外ルール  

Google ユーザーの検索クエリを追加する

  1. 設定マネージャーで、[Google Domain Configuration] 次に [Exclusion rules] をクリックします。
  2. [ユーザーの検索クエリ] に、ユーザーを検索するの検索ガイドラインを使用してルールを追加します。

除外ルールの使用

セクションを開く  |  すべて閉じて一番上に移動

ルールの優先度を追加、削除、変更する

ルールを追加するには:

  1. [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
  2. 次の項目を指定します。
    • Type - 除外するデータの種類をメニューで指定します。
    • Match Type - フィルタに使用するルールの種類を指定します。メニューから次のいずれかを選択します。
      • Exact match(完全一致) - データがルールと完全に一致する必要があります。
      • Substring match(部分文字列一致) - ルールのテキストがデータの部分文字列として含まれている必要があります。
      • Regular expression(正規表現) - 指定した正規表現とデータが一致する必要があります。
    • Exclusion Rule - ルールの一致文字列または正規表現を入力します。
  3. [OK] をクリックします。

ルールは、表の順番で適用されます。順序を変更する方法は次のとおりです。

  1. [Exclusion Rules] タブで、目的のルールをクリックします。
  2. 上矢印または下矢印をクリックして優先値を調整します。

ルールを削除するには:

  1. [Exclusion Rules] タブで、目的のルールをクリックします。
  2. [X] をクリックします。
LDAP データ用の除外ルールを使用する

LDAP ディレクトリ サーバー上のデータのうち、検索ルールに一致しても Google ドメインに追加すべきではないものがある場合、LDAP の除外ルールを適用することで、そのデータを同期対象から除外できます。

組織部門

除外ルールの目的 検索ルールに一致する組織部門が LDAP サーバー上に存在するが、それらを Google ドメインに追加したくない。
Exclusion type Org Unit DN

同期対象から除外する組織部門の識別名(Distinguished Name; DN)に基づいて除外ルールを設定します。
2 つの事業所の統合により使用しなくなった組織部門が複数あり、それらの組織部門の識別名には必ず「fuji」が含まれています。
  • Match type - Substring Match
  • Rule - fuji

ユーザー

除外ルールの目的 検索ルールに一致するユーザーが LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。
Exclusion type 同期対象から除外する LDAP データを指定します。
  • Primary Address - このルールに一致するメインのアドレスを除外します。
  • Alias Address - このルールに一致するエイリアス アドレスを除外します。
メインのアドレスとエイリアス アドレスの両方を除外したい場合は、除外ルールを 2 つ作成してください。
Google ドメインのメンバーではなくなったため同期対象にすべきではないユーザーに対し、個別のルールを追加します。1 つ目のルール:
  • Exclusion type - Primary Address
  • Match type - Substring Match または Exact Match
  • Rule - nakata

2 つ目のルール:

  • Exclusion Type - Primary Address
  • Match type - Substring Match または Exact Match
  • Rule - yanagihara

グループ

除外ルールの目的 メーリング リストのルールに一致するエントリが LDAP サーバー上に存在するが、Google ドメインではそれらをメーリング リストとして使用したくない。
Exclusion type 同期対象から除外する LDAP データを指定します。
  • Group Name - ルールに一致する名前を持つグループを除外します。
  • Group Address - ルールに一致するメールアドレスを持つグループを除外します。
  • Member Address - ルールに一致するメインのメールアドレスを持つユーザーをグループから除外します。
近接する 2 つの事業所の統合により使用しなくなったメーリング リストが複数あり、それらのアドレスには必ず「fuji」が含まれています。
  • Match type - Substring Match
  • Rule - fuji

ユーザー プロファイル

除外ルールの目的 LDAP サーバー上に、Google ドメインと同期したくないユーザー プロファイル情報がある。
LDAP ユーザーとして登録されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。
  • Match type - Substring Match
  • Rule - printer

共有の連絡先

除外ルールの目的 検索ルールに一致する連絡先が LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。
約 500 人のテストユーザーが LDAP サーバーに登録されていますが、それらのユーザーは内部テストでのみ使用されます。テストユーザーの名前はすべて「internal-textX」(X は数値)という形式で、全員同じドメインに属しています。
  • Match type - Regular Expression
  • Rule - internal-test[0-9]*@<ドメイン名>.com

カレンダー リソース

除外ルールの目的 カレンダー リソースの検索ルールに一致するアイテムが LDAP サーバー上にあるが、Google ドメインにはそれらをカレンダー リソースとして追加したくない。
Exclusion type 同期対象から除外する LDAP データを指定します。
  • Calendar Resource Id - LDAP のカレンダー リソース属性に指定されたカレンダー リソース ID 属性がこのパターンに一致する場合に、カレンダー リソースが同期対象から除外されます。
  • Calendar Resource Display Name - LDAP のカレンダー リソース属性に指定されたカレンダー リソース表示名属性がこのパターンに一致する場合に、カレンダー リソースが同期対象から除外されます。

リソース ID とリソース表示名の両方を除外するには、除外ルールを 2 つ作成してください。
LDAP リソースとして登録されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれています。
  • Exclusion type - Calendar Resource ID
  • Match type - Substring Match
  • Rule - printer
Google データの除外ルールを使用する

LDAP ドメインに存在しないエンティティ(ユーザーやグループなど)を Google アカウントに保持する必要がある場合があります。Google ドメインの除外ルールを使用して、同期時に Google エンティティを残すことができます。

  1. [Google Domain Configuration] タブをクリックします。
  2. [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
  3. [Type] から次のいずれかを選択します。
    • Organization Complete Path: 組織とそのユーザーを除外する
    • User Email Address: ユーザーを除外する
    • Alias Email Address: ユーザーのエイリアスを除外する
    • Group Email Address: グループを除外する
    • Group Member Email Address: グループ メンバーを除外する
    • User Profile Primary Sync Key: 同期キーによりユーザー プロファイルを除外する
    • Shared Contact Primary Sync Key: 同期キーにより共有の連絡先を除外する
    • Calendar Resource ID: ID によりリソースを除外する
    • Calendar Resource Display Name: 名前により除外する
    • Calendar Resource Type: カテゴリにより除外する
  4. [Match Type] で次のいずれかを選択します。
    • Exact Match: 完全に一致するキーワードを検索する
    • Substring Match: 部分的に一致するキーワードを検索する
    • Regular Expression : 正規表現を使用してキーワードを検索する
  5. [OK] をクリックします。
Google データのさまざまな属性を維持する

Google アカウントで更新したくないエンティティが Google ドメインや LDAP ドメインにある場合は、次の 2 つの除外ルールを使用します。

  • 該当のエンティティを Google アカウントから除外する Google ドメイン除外ルール。
  • 該当のエンティティを LDAP ドメインから除外する LDAP ドメイン除外ルール。

該当のエンティティは同期の対象外となり、Google アカウントにそのまま残ります。

たとえば、LDAP ドメインのユーザー属性とは異なるユーザー属性(組織部門など)を Google アカウントに保持する必要がある場合は、2 つの除外ルールを設定することで、同期中に属性が変更されないようにできます。詳しくは、同期中のさまざまなユーザー属性の維持をご覧ください。

除外ルールの例

セクションを開く  |  すべて閉じて一番上に移動

LDAP ユーザーの除外ルール

この例では、プリンタが LDAP ユーザーとして登録され、LDAP クエリに一致しています。ただし、プリンタが Google ユーザーとみなされないようにする必要があります。すべてのプリンタの LDAP ディレクトリ名に「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。

  • Type - Primary Address
  • Match Type - Substring Match
  • Exclusion Rule: printer
LDAP カレンダー リソースの除外ルール

会議室のなかにはオフィスに変換されるものがあるため、それらがカレンダー リソースとしてインポートされないようにする必要があります。このため、会議室ごとに個別のルールを設定します。

1 つ目のルール:

  • Type - Calendar Resource Display Name
  • Match Type - Substring Match または Exact Match
  • Exclusion Rule: ConferenceRoom-BlueSkyMontana

2 つ目のルール:

  • Type - Calendar Resource Display Name
  • Match Type - Substring Match または Exact Match
  • Exclusion Rule: ConferenceRoom-BigPlains
LDAP グループの除外ルール

約 500 件のテスト用メーリング リストが LDAP サーバーに登録されていますが、これらが使用されるのは内部の負荷テストでのみです。テストユーザーは全員同じドメインに属し、internal-testX(X は数値)という同じパターンで命名されています。

  • Type - Group Address
  • Match Type - Regular Expression
  • Exclusion Rule - internal-test[0-9]*@example.com
Google ユーザーの除外ルール

LDAP ディレクトリ サーバーに登録されていないユーザーは、GCDS によって Google ユーザーのリストと Google グループから削除されます。LDAP ディレクトリに存在しないユーザー アカウントとグループについては、Google Workspace または Cloud Identity アカウントにユーザーとグループが残るように除外ルールを使用します。Google 管理者アカウントはデフォルトで除外されているため、これらのアカウントの除外ルールを作成する必要はありません。

方法 1: 組織部門を使用してユーザーを保持する

ユーザー アカウントを専用の組織部門に移動し、設定マネージャーの [Google Domain Configuration] 設定で除外ルールを作成します。

  • Type - Organization Complete Path
  • Match Type - Exact Match
  • Exclusion Rule - /OUPath/MyExcludedOU

方法 2: メールアドレスを使用する

設定マネージャーの [Google Domain Configuration] 設定で、メールアドレスの一致除外ルールを作成します。

  • Type - User Email Address または Group Address
  • Match Type - Exact Match
  • Exclusion Rule - user@example.com

方法 3: 他のすべての組織を除外する

1 つの最上位の組織部門とその下位の組織部門に LDAP ユーザーを同期する場合は、それ以外の最上位の組織部門をすべて除外する必要があります。次の正規表現を使用すると、MyIncludedOU で始まる組織部門以外の最上位の組織部門がすべて除外されます。正規表現を使用する場合は、先頭にスラッシュを付けないでください。

  • Type - Organization Complete Path
  • Match Type - Regular Expression
  • Exclusion Rule - ^((?!MyIncludedOU).)*$

方法 4: User Profile Primary Sync Key

これを使用すると、ユーザー アドレス、グループのメールアドレス、メンバー アドレスを指定して同期から除外できます。除外されたメンバーのアドレスは、Google ドメイン内のグループからは削除されません。

  • Type - User Profile Primary Sync Key
  • Match Type - Exact Match
  • 除外ルール - luka@solarmora.com
ユーザー プロファイルの除外ルール

この例では、同期から除外するユーザー プロファイルを指定できます。

  • Type - Sync Key
  • Match Type - Exact Match
  • 除外ルール - luka@solarmora.com

    このドメイン名で(ユーザーおよびグループの)LDAP メールアドレスのドメイン名を置き換える場合は、除外ルールに @solarmora.com を含めないでください。luka@solarmora.com ではなく luka を使用します。

関連トピック


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
true
検索
検索をクリア
検索を終了
メインメニュー
9609328978198921664
true
ヘルプセンターを検索
true
true
true
false
false