- ホーム
- /
- 投稿記事
Directory Connector 展開ガイド
Directory Connector の概要
Directory Connector は、クラウドへのアイデンティティ同期のためのオンプレミスのアプリケーションです。 Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、Active Directory でユーザー アカウントとデータを管理できるため、Active Directory は単一の真実のソースになります。 オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、および利点を参照してください。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードには、同期スケジュール、概要、同期のステータス、および Directory Connector のステータスが表示されます。 サインインするたびにダッシュボードを表示できます。 |
クラウドに同期する前のドライラン | ディレクトリがクラウドに実装される前に、ディレクトリへの変更のドライ ランを実行します。 次に、レポートを実行して、実行したい変更が期待通りであることを確認します。 |
完全同期と増分同期 | ディレクトリ全体を同期します。 または、増分変更を同期して処理電力を節約し、同期時間を短縮します。 |
複数のドメインを同期する(単一森林または複数の森林) |
Directory Connector は、1 つのフォレストまたは複数のフォレストの下で複数のドメインをサポートします (AD LDS は必要ありません)。 複数の Active Directory ドメインを持つ企業では、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドしてから、各ユーザー ベースを Webex に同期できます。 Control Hub は、複数の Directory Connector の同期状態を表示してステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を無効にできます。 |
スケジュールされた同期 | 日、時間、分単位で同期スケジュールを設定します。 |
Lightweight Directory Access Protocol(LDAP)フィルタ | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory 属性を対応する Webex クラウド属性にマッピングします。 Active Directory 設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。 プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソース SIP アドレス、その他のユーザー連絡先カードデータ (職名、部門、マネージャなど) など、クラウド内のさまざまなデータを形成します。 |
Webex ライセンスのないオンプレミスの会議室リソースおよび Cisco Webex Calling (クラウド PSTN) ユーザーおよびエンタープライズ連絡先の社内ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの Room デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューア | イベント ビューアを使用して、同期に問題があるかどうかを判断します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。 同期が正常に機能しなかった場合、設定またはネットワークエラーが発生する可能性があります。 このツールは Active Directory への接続をテストし、サポートに連絡する前にエラーを自分で診断できるようにします。 Directory Connector でトラブルシューティングを有効にすると、テクニカル サポートに送信できるログが書き込まれます。 |
自動アップグレード | Directory Connector をインストールすると、新しいバージョンのソフトウェアが利用できるたびに通知が送信されます。 新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用するように自動アップグレードを設定できます。 |
高可用性 | メインコネクタまたはマシンホスティングがダウンした場合に備えて、バックアップがあるように複数のコネクタを設定します。 |
Directory Connector は、三つの領域に分けられます:
Control Hub は、Webex 組織のすべての側面を管理できる単一のインターフェイスです。 エンタープライズ ID プロバイダーからユーザーを認証し、Webex アプリの招待メールを送信したくない場合は、ユーザーの表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO)を構成する必要があります。
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。 複数の Active Directory ドメインでは、同期するドメインごとに 1 つのソフトウェアをインスタントでインストールできます。 ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持参し、同期ステータスを表示および監視し、Directory Connector サービスを構成できます。
ディレクトリ同期サービスはあなたの Active Directory にクエリを実行し、同期するユーザーとグループをコネクタ サービスおよび Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、この図を参照してください。
Directory Connector の要件
Windows および Active Directory の要件
サポートされている Windows サーバーに Directory Connector をインストールできます。
Windows Server 2012
Windows Server 2019
Windows Server 2016
クッキーの問題に対処するには、ドメイン コントローラを修正を含むリリース(Windows Server 2012 R2または2016)にアップグレードすることをお勧めします。 |
Directory Connector は、次の Active Directory サービスでサポートされています。
Active Directory 2016 (アクティブ ディレクトリ 2016)
(Windows Server 2019 で最新バージョンの Active Directory を使用する場合、Directory Connector がサポートされます)
Active Directory 2012(Active Directory 2012)
Active Directory 2008 R2(Active Directory 2008 R2)
Active Directory 2008(Active Directory 2008)
以下の追加要件に注意してください。
Directory Connector には TLS1.2 が必要です。 次のものをインストールする必要があります。
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。 問題が発生した場合は、[役割と機能の追加ウィザード] を使用して .NET Framework 3.5 を有効にするを参照してください。)
.NET Framework v.4.5 (TLS1.2 に必要)
Active Directory フォレスト機能レベル 2 (Windows Server 2003) 以上が必要です。 (詳細については、「Active Directory機能レベルとは」を参照してください。)
ハードウェア要件
以下の最小ハードウェア要件を備えたコンピュータに Directory Connector をインストールする必要があります。
8 GB の RAM
50 GB のストレージ
CPU の最低条件はありません
ネットワーク要件
お使いのネットワークがファイアウォール外にある場合は、インターネットへアクセスするための HTTPS (ポート 443) がシステムにあることを確認してください。
Webex 組織の要件
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにするには、次の操作を行うことをお勧めします。
クラウドに同期するユーザーのメール アドレスを含むドメイン を追加、検証、および必要に応じて要求します。
自動招待メールを抑制し、新規ユーザーが自動招待メールを受信しないようにし、独自のメールキャンペーンを実行できます。 (この機能には SSO 統合が必要です。)
詳細については、「Control Hub のユーザーステータスとアクション」を参照してください。 |
インストール要件
複数のドメイン環境(単一のフォレストまたは複数のフォレスト)では、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。 別の既存のドメイン(A)で同期されたユーザーデータを維持しながら、新しいドメイン(B)を同期する場合は、ドメイン(B)同期用のDirectory Connectorをインストールするために、別のサポートされているWindowsサーバーがあることを確認してください。
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。 Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシンで権限を持っている必要があります。 マシンログインアカウントは、ローカルマシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。 (この情報は、仮想マシンのログインにも適用されます。)
コネクタにサインインする際、サインイン アカウントは Control Hub の完全な管理者アカウントと同じである必要があります。 デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。 ただし、Windows サービスを使用して、別のアカウントを設定して Active Directory にアクセスできます。 (この情報は、仮想マシンのログインにも適用されます。)
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)の検索モードが有効になっていることを確認します。 Windows レジストリで SafeDllSearchMode をチェックします。
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector と Active Directory Domain Service/Active Directory Lightweight Directory Services (AD DS/AD LDS) を別のマシンにインストールすることをお勧めします。
複数のドメイン要件
Cisco ディレクトリ コネクタの展開タスク フローのタスクに従う前に、Active Directory の情報を複数のドメインからクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
ドメインごとに Directory Connector の個別のインスタンスが必要です。
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホストで実行する必要があります。
Control Hub でドメインを検証または要求することをお勧めします (ドメインの追加、検証、要求を参照)。
50を超えるドメインを同期する場合は、組織を大きな組織リストに移動するには、チケットを開く必要があります。
必要に応じて、会議室リソース情報をユーザーアカウントと同期できます。 (オンプレミスの会議室情報を Webex クラウドに同期するを参照してください)
自動ライセンス割り当てのための Active Directory グループの推奨事項
Active Directory グループは、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。 個々のユーザーではなく、グループで作業することで、ネットワークのメンテナンスと管理を簡素化できます。
Active Directory には 2 種類のグループがあります。
配信グループ:電子メール配信リストを作成するために使用されます。
セキュリティ グループ:共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する場合は、次のガイドラインを考慮してください。
各役割、部門、サービス (営業、マーケティング、マネージャー、会計士、Webex ライセンスなど) のグローバル グループを作成します。
組織全体の標準的な命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。 グループ名には、アクセスレベル、リソースの種類、セキュリティレベル、グループ範囲、メール機能など、グループに関する詳細を含めることができます。たとえば、「GSG_Webex_Licensing_EMEAR」というグループ名は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
地理や管理階層など、わかりやすい方法でグループを編成します。 グループの説明を使用して、グループの目的を完全に説明してください。
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの Control Hub で自動ライセンス グループ テンプレートを定義します。 詳細については、「自動ライセンス割り当てテンプレートのセットアップ」を参照してください。
サイジング情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウド間のブリッジとして機能します。 そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限がありません。 プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられています。
いくつかの要因が同期速度に影響を与える可能性があります。
Active Directory オブジェクトの総数。 (5000ユーザー同期ジョブは50000までかかりません。)
ネットワーク速度と帯域幅。
システムワークロードと仕様。
50000 人以上のユーザーを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強くお勧めします。 |
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間について特定の時間値を提供することはできません。 |
Windows レジストリで SafeDllSearchMode を確認する
セーフダイナミックリンクライブラリ(DLL)検索モードは、Windowsレジストリでデフォルトで設定され、ユーザーの現在のディレクトリをDLL検索順序で後で配置します。 このモードが何らかの理由で無効にされている場合、攻撃者は悪意のあるDLL(システムフォルダにある参照DLLファイルと同じ名前)をアプリケーションの現在の作業ディレクトリに配置することができます。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
始める前に
Windowsレジストリへの変更は、細心の注意を払って行う必要があります。 これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。 |
1 | Windows検索または実行ウィンドウで、「regedit」と入力し、「Enter」を押します。 |
2 | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Managerに移動します。 |
3 | 1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織が透過的なウェブ プロキシを使用している場合、認証はサポートされません。 コネクタは正常に接続され、ユーザーを同期します。
以下のいずれか 1 つのアプローチを選択することができます。
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を継承します)
.pac ファイルによる明示的なウェブ プロキシ(コネクタはエンタープライズ固有のプロキシ設定を継承します)
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するように Directory Connector を設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 | Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 | ||
2 | コネクタがウェブ プロキシにインストールされている Windows インスタンスをポイントします。 コネクタはこれらの Web プロキシ設定を継承します。 | ||
3 | プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
この操作は、サイト全体 (すべてのホスト) またはコネクタを持つホストに対してのみ実行できます。
| ||
4 | 環境が認証局から証明書失効リストをリクエストする必要がある場合は、許可されたリストにこれらの URL を追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URLに関するこの記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。 このファイルは、ウェブ プロキシ アドレスとポート情報を提供します。 Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 | コネクタがユーザー情報を Webex クラウドに正常に接続して同期するには、次のプロキシ認証が無効になっていることを確認してください。 | ||
2 | プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
この操作は、サイト全体 (すべてのホスト) またはコネクタを持つホストに対してのみ実行できます。
| ||
3 | 環境が認証局から証明書失効リストをリクエストする必要がある場合は、許可されたリストにこれらの URL を追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URLに関するこの記事を参照してください。 |
NTLM プロキシ
Directory Connector は、NT LAN Manager(NTLM) をサポートします。 NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLMデザイン
ほとんどの場合、ユーザーはクライアントPCを介して別のワークステーションリソースにアクセスしたいと考えています。
NTLMの技術的な設計は通常、チャレンジ
とレスポンス
のメカニズムに基づいて行われます。
ユーザは、Windows アカウントとパスワードを使用してクライアント PC にサインインします。 パスワードはローカルに保存されません。 プレーンテキストのパスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。 ユーザがパスワードを介してクライアントにサインインすると、Windows OS は格納されたハッシュ値と入力パスワードからのハッシュ値を比較します。 両方が同じ場合、認証は通過します。
ユーザが別のサーバの任意のリソースにアクセスしたい場合、クライアントはプレーンテキストでアカウント名を持つリクエストをサーバに送信します。
サーバがリクエストを受信すると、サーバは 16 ビットのランダムキーを生成します。 キーはチャレンジ(またはNonce)と呼ばれます。 サーバがクライアントに送信する前に、チャレンジはサーバに保存されます。 次に、サーバーはプレーンテキストでチャレンジをクライアントに送信します。
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値によってチャレンジを暗号化します。 暗号化後、値はサーバに送信されます。
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにそれをドメインコントローラに送信します。 リクエストには以下が含まれます。 アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。 そして、ドメインコントローラは元の課題で暗号化できます。 次に、Domanコントローラは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。 同じ場合は、検証が成功します。
Windowsには、オペレーティングシステムにセキュリティ認証が組み込まれており、アプリケーションがセキュリティ認証をサポートしやすくなります。 そのため、追加の設定を完了する必要はありません。 |
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 | 透明なプロキシを展開して、コネクタがユーザーを接続して同期できるようにします。 |
2 | プロキシが成功したことを確認します。コネクタを開始すると、予想されるブラウザ認証ポップアップウィンドウが表示されます。 |
プロキシ認証の設定
URL を追加 cloudconnector.webex.com
アクセス制御リストを作成して、許可リストに移動します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 | DNS 検索が有効になっていない場合、有効にします。 |
2 | この接続の推定帯域幅を決定します (コネクタでは約 2 mb/s 以下)。 この限りでは無いことがあります。 |
3 | コネクタ ホストに適用するアクセス コントロール リストを作成し、以下を指定します。 例: access-list 2000 acl-inside extended permit TCP [IP of the connector]
cloudconnector.webex.com eq https
|
4 | この ACL を適切なファイアウォール インターフェイスに適用します。この単一のコネクタ ホストにのみ適用されます。 |
5 | 所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Cisco ディレクトリ コネクタ展開タスク フロー
1 |
Control Hub は当初、ディレクトリ同期を無効として表示します。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして設定してから、完全な同期を正常に実行する必要があります。 Directory Connector の新しいインストールについては、常に Control Hub (https://admin.webex.com) に移動して最新バージョンのソフトウェアを入手し、最新の機能とバグ修正を使用するようにしてください。 ソフトウェアをインストールした後、アップグレードはソフトウェアを通じて報告され、利用可能な場合は自動的にインストールされます。 |
2 |
Webex 管理者の資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに保つことは常に重要です。 ソフトウェアの自動アップグレードが利用可能になったときにサイレントにインストールできるようにするには、この手順を使用することをお勧めします。 |
4 | 同期する Active Directory オブジェクトを選択する デフォルトでは、Directory Connector は、コンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 どのオブジェクトが同期されるかをより詳細に制御するには、Directory Connector の [オブジェクトの選択(Object Selection)] ページを使用して、特定のユーザーを選択して LDAP フィルタを同期および指定できます。 |
5 |
ローカルの Active Directory 内の属性を、対応するクラウド内の属性にマッピングすることができます。 唯一の必須フィールドは *uid です。 |
6 | 次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期できます。それにより、ユーザーがアプリケーションにサインインするたびに、各ユーザーのアバターが表示されるようになります。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 | オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory からオンプレミスの会議室情報を Webex クラウドに同期します。 会議室情報を同期すると、Webex Room Device や Cisco Webex Board などのクラウドに登録された会議室デバイスで、設定済みでマップされた SIP アドレスを持つオンプレミスの会議室デバイスが検索可能なエントリとして表示されます。 |
8 | Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この順序に従って、Webex アプリ アカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降では、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインからユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザーオブジェクトを保持するか、または削除するかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、Active Directories と Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub は当初、ディレクトリ同期を無効として表示します。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして設定してから、完全な同期を正常に実行する必要があります。
同期する Active Directory ドメインごとに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、1 つのドメインのみを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバ経由で認証する場合は、プロキシ クレデンシャルがあることを確認します。
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後、ユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシの設定も必要です。ブラウザーから Web プロキシを使用する を参照してください。
プロキシ NTLM の場合、コネクタを初めて開いたときにエラーが発生する場合があります。 「ブラウザからウェブ プロキシを使用する」を参照してください。
1 | Control Hubで ]を選択し、[[次へ]を選択します。 | ||
2 | [ダウンロードしてインストール]リンクをクリックして、コネクタのインストール.zipファイルの最新バージョンをVMwareまたはWindowsサーバーに保存します。 このリンクから直接.zipファイルを取得できますが、このソフトウェアを動作させるには、Control Hub組織への完全な管理アクセスが必要です。
| ||
3 | VMware または Windows サーバーで、セットアップフォルダ内の .msi ファイルを解凍して実行し、セットアップウィザードを起動します。 | ||
4 | [次へ]をクリックし、ライセンス契約に同意するチェックボックスをオンにして、アカウントタイプの画面が表示されるまで[次へ]をクリックします。 | ||
5 | 使用するサービス アカウントのタイプを選択して、admin アカウントでインストールを行います。
エラーを回避するには、次の権限が設定されていることを確認してください。
| ||
6 | [インストール] をクリックします。 ネットワーク テストが実行された後、プロンプトが表示されたら、プロキシの基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバーを再起動することをお勧めします。 ドライランレポートは、データがリリースされなかったときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector へのサインイン
始める前に
プロキシ クレデンシャルがあることを確認します。
プロキシ basic-auth の場合、コネクタを初めて開いた後にユーザ名とパスワードを入力します。
プロキシNTLMの場合は、Internet Explorerを開き、歯車アイコンをクリックして、[インターネットオプション]>[接続]>[LAN設定]の順に移動し、プロキシサーバー情報が追加されていることを確認してから、[OK]をクリックします。 「ブラウザからウェブ プロキシを使用する」を参照してください。
1 | コネクタを開き、追加します。 | ||||
2 | プロンプトが表示されたら、プロキシ認証資格情報を使用してサインインし、管理者アカウントを使用して Webex にサインインし、[次へ] をクリックします。 | ||||
3 | 自身の組織とドメインを確認します。
| ||||
4 | [組織の確認] 画面が表示されたら、[確認] をクリックします。 AD DS/AD LDS を既にバインドしている場合、[組織の確認] 画面が表示されます。 | ||||
5 | [確認] をクリックします。 | ||||
6 | Directory Connector にバインドさせる Active Directory ドメインの数に応じて、いずれか 1 つを選択します。
|
次に行うこと
サインイン後、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector のダッシュボード
初めて Directory Connector にサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティ概要の表示、クラウド統計の表示、同期ドライランの実行、完または増分同期の開始、そしてエラー情報を見るためにイベント ビューを起動することができます。
セッションがタイムアウトした場合は、サインインし直してください。 |
アクション ツールバー、またはアクション メニューから簡単にこれらのタスクを実行することができます。
コンポーネント | 説明 |
---|---|
現在の同期 |
現在実行中の同期に関するステータス情報が表示されます。 実行中の同期がない場合は、ステータスの表示はされません。 |
次回の同期 |
次回に予定されている完全同期および増分同期が表示されます。 スケジュールが設定されていない場合、スケジュール設定なしと表示されます。 |
前回の同期 |
最後に行われた二つの同期のステータスが表示されます。 |
現在の同期ステータス |
同期の全体のステータスが表示されます。 |
コネクタ |
クラウドで使用可能な現在のオンプレミスのコネクタが表示されます。 |
クラウドの統計 |
同期の全体のステータスが表示されます。 |
同期のスケジュール |
完全および増分同期の同期スケジュールが表示されます。 |
設定の概要 |
設定で変更した設定内容がリスト化されます。 例として、概要は以下の内容を含むことがあります:
|
アクション | 説明 | ||
---|---|---|---|
増分同期を開始する | インクリメンタル同期を手動で開始する
|
||
ドライランの同期 |
ドライランの同期を行います。 |
||
イベント ビューアーの起動 |
Microsoft イベント ビューアーを起動します。 |
||
更新 |
Cisco ディレクトリ コネクタ ダッシュボードを更新する |
アクション | 説明 |
---|---|
今すぐ同期 | 完全同期をすぐに開始します。 |
同期モード |
同期のモード (増分同期または完全同期) を選択します。 |
コネクタ シークレットのリセット |
Cisco ディレクトリ コネクタとコネクタ サービス間の会話を確立します。 このアクションを選択するとクラウド内のシークレットがリセットされ、ローカルに保存されます。 |
リハーサル |
同期プロセスのテストを行います。 完全同期を行う前に、ドライラン行う必要があります。 |
トラブルシューティング |
トラブルシューティングをオン / オフにします。 |
更新 |
Cisco ディレクトリ コネクタのメイン画面を更新します。 |
終了 |
Cisco ディレクトリ コネクタを終了します。 |
キーの組み合わせ | アクション |
---|---|
Alt +A |
[アクション] メニューを表示 |
|
今すぐ同期 |
|
コネクタ シークレットのリセット |
|
ドライランを行う |
|
増分同期 |
|
完全同期 |
|
ヘルプメニューの表示 |
|
ヘルプ |
|
バージョン情報 |
|
FAQ |
自動アップグレードの設定
1 | Directory Connectorから新しいCisco Directory Connectorバージョンに自動的にアップグレード]にチェックを入れます。 ]を選択し、[ |
2 | [適用] をクリックして変更を保存します。 |
新しいバージョンのコネクタは、使用可能なときに自動的にインストールされます。
必要に応じて、手動でアップグレードを管理できます。 詳細については、「最新のソフトウェアリリースにアップグレード」を参照してください。 |
同期する Active Directory オブジェクトを選択する
デフォルトでは、Directory Connector は、コンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 どのオブジェクトが同期されるかをより詳細に制御するには、Directory Connector の [オブジェクトの選択(Object Selection)] ページを使用して、特定のユーザーを選択して LDAP フィルタを同期および指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期する Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex はその新しいユーザーのユーザーメンバーシップと自動ライセンス テンプレートのマッピングを確認します。
LDAP フィルタを使用して、関連するグループのみをクラウドに同期することをお勧めします。 たとえば、フィルターを次のように設定できます。
(&(cn=Example)(objectclass=Group))*
このフィルタは、名前が Example で始まるベース DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、ハイブリッド データ セキュリティを使用して、パイロット ユーザーのトライアル グループを設定する場合は、グループをチェックする必要があります。 詳細については、「ハイブリッド データ セキュリティ展開ガイド」を参照してください。 このディレクトリ コネクタ設定は、クラウドへの他のユーザーの同期には影響しません。
1 | [Directory Connector] から、[設定] に移動し、[オブジェクトの選択] をクリックします。 | ||
2 | [オブジェクトタイプ] セクションで、[ユーザ] にチェックを入れ、検索可能なユーザのコンテナ数を制限することを検討します。 たとえば、特定のグループ内のユーザのみを同期する場合は、[ユーザLDAPフィルタ(LDAP filters)] フィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のフィルターを使用します。
| ||
3 | ユーザーデータから会議室データを分離するには、[会議室の識別] にチェックを入れます。 ユーザーデータをルームデータとして識別するための追加属性を設定する場合は、[カスタマイズ]をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、オンプレミスの会議室デバイスと設定済みでマップされた SIP アドレスが、クラウドに登録された会議室デバイスの検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex クラウドに同期する」を参照してください。 | ||
4 | Active Directory のユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザー同期 LDAP フィルタを追加しないでください。 [グループ(Groups)] フィールドのみを使用して、グループデータ自体をクラウドに同期する必要があります。
| ||
5 | ユーザの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。
| ||
6 | LDAP フィルタを設定します。 有効な LDAP フィルターを提供することで、拡張済みフィルタを追加できます。 LDAPフィルタの設定の詳細については、この記事を参照してください。 | ||
7 | Active Directoryのツリー構造を表示するには、[選択]をクリックして同期するオンプレミスベースDNを指定します。 ここから、どのコンテナーを検索するかの選択または選択解除ができます。 | ||
8 | この構成に追加するオブジェクトをチェックし、[選択] をクリックします。 個々の、またはペアレント コンテナーを選択して同期に使用できます。 ペアレント コンテナーを選択してすべてのチャイルド コンテナーを有効化します。 チャイルド コンテナーを選択した場合、ペアレント コンテナーはチャイルドがチェックされたことを示すグレーのチェックマークを表示します。 [選択] をクリックして、チェックした Active Directory コンテナーを承認します。 所属組織がすべてのユーザーおよびグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 所属組織が組織ユニットに分かれている場合は、必ず [OU] を選択してください。 | ||
9 | [適用] をクリックします。 オプションを選択します。
ドライランの詳細については、「Active Directoryユーザーでドライラン同期を実行する」を参照してください。 グループ同期を行うには、完全同期を行う必要があります。 Active Directory ユーザーをクラウドに完全に同期します。 |
ユーザー属性をマッピングする
ローカルの Active Directory 内の属性を、対応するクラウド内の属性にマッピングすることができます。 必要なフィールドは、クラウド ID サービス内の各ユーザ アカウントの一意の識別子 *uid のみです。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、 firstName lastName
Active Directory またはカスタム属性式で displayName
雲の中です
Active Directory のアカウントはメールアドレスを持つ必要があります。デフォルトによる uid マップ |
優先言語を Active Directory から取得することを選択した場合、Active Directory は単一の真実のソースです。 ユーザーは Webex 設定で言語設定を変更できなくなり、管理者は Control Hub の設定を変更できなくなります。
1 | Directory Connector から、[構成] をクリックして、[ユーザー属性のマッピング] 選択します。 このページには、Active Directory(左)と Webex Cloud(右)の属性名が表示されます。 必須属性のすべてに赤のアスタリスクが付きます。 | ||||
2 | Active Directory属性名の下までスクロールし、次のActive Directory属性のいずれかを選択して、クラウド属性uidにマッピングします。
他の Active Directory 属性は uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName はサインインに使用されますが、ユーザーのメール アドレスはカレンダーの管理に使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマップされていることを確認する必要があります。 別のメール アドレスとして userPrincipalName を追加します。 クラウドで Active Directory のどの属性が対応するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。
| ||||
3 | 定義済みの Active Directory 属性が展開で機能しない場合は、属性のドロップダウンをクリックし、下部までスクロールしてから [属性のカスタマイズ] を選択して、属性式を定義できるウィンドウを開きます。
この例では、Active Directory 属性をマップします。
| ||||
4 | (オプション) Webex アプリのユーザーの連絡先カードなど、モバイル番号と勤務先番号を表示する場合は、モバイルと電話番号のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号データは Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) 導入ガイド (管理者) での通話」を参照してください。 | ||||
5 | 追加のマッピングを選択して、連絡先カードに表示されるデータを増やします。
属性がマップされた後、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡先の確認」を参照してください。 これらの属性が各ユーザー アカウントに同期された後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーはプロファイルでより多くの情報を共有し、お互いの詳細を知ることができます。 この機能とその有効化の方法の詳細については、Control Hub の Webex、Jabber、Webex Meetings、Webex Events (新) の People Insights プロファイルを参照してください。 | ||||
6 | 選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 Active Directory で対応するメール アドレスがないユーザーは削除されます。
削除されたユーザーは、完全に削除されるまで、クラウド ID サービスに 7 日間保存されます。 |
Active Directory とクラウドの属性
お使いのローカル Active Directory から、ユーザー属性マッピングタブを使用してクラウド内の対応する属性マッピング属性にマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較します。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンでさまざまな属性を選択し、どのオンプレミス属性がどのクラウド属性に同期するかを決定できます。
ドロップダウン属性をプリセットと考えてください。 Active Directory 行の値の代替として、Active Directory で独自のプリセットであるカスタマイズされた属性 (複数の属性を持つ式) を指定して、対応する行の 1 つのクラウド属性にマッピングすることもできます。 これにより、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory で従業員のタイトル、名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする任意の Active Directory 属性を指定することもできます。 ただし、オンプレミス属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、カレンダーの管理にユーザーのメール アドレスが使用されている場合、別のメール アドレスを使用することもできます。 この場合、別のメールアドレスをemails;type-work属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインからであり、一意であり、他のユーザーに割り当てられていない必要があります。 |
Active Directory 属性名 | Webex クラウド属性名 | 注 |
---|---|---|
— |
buildingName |
— |
c |
c |
この属性はユーザーの国の略語を指定します。 |
departmentNumber |
departmentNumber |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーの部署番号に使用されます。 |
displayName |
displayName |
この属性は、Control Hub、連絡先カード、People Insightsに表示されるユーザーアカウントの表示名に使用されます。 |
userAccountControl |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl属性がds-pwp-account-disabledにマップされているか、ユーザーが適切に同期されないことを確認します。 |
employeeNumber |
employeeNumber |
— |
facsimileTelephoneNumber |
facsimileTelephoneNumber |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス (XMPP タイプ) に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性はユーザーの都市を指定します。 |
— |
locale |
— |
manager |
manager |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
mobile |
mobile |
この属性は、連絡先カードからユーザーに電話をかける際に表示される携帯電話番号として使用されます。 |
o |
o |
この属性は会社または組織の名前を指定し、連絡先カードに表示されます。 |
ou |
ou |
この属性は、組織ユニットの名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性はユーザーのオフィスの場所を指定します。 |
postalCode |
postalCode |
この属性は、物理的なメール配信のユーザーの郵便番号または郵便番号を指定します。 |
preferredLanguage |
preferredLanguage |
この属性はユーザーの優先言語を設定し、次の形式がサポートされています。 xx_YYまたはXX-YY。 以下は参考例です。 en_米国、en_GB、FR-CA。 サポートされない言語や無効な形式を使用する場合、ユーザーの指定言語が組織の言語設定に変更されます。 |
MSRTCSIP-プライマリユーザーアドレス ipPhone(ipフォン) |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
sn |
sn |
この属性は、Control Hub、連絡先カード、People Insightsに表示されるユーザーアカウントの姓に使用されます。 |
st |
st |
この属性はユーザーの州または州を指定します。 |
streetAddress |
street |
この属性は、物理的なメール配信のユーザーの住所を指定します。 |
telephoneNumber |
telephoneNumber |
この属性は、連絡先カードからユーザに電話をかけるために使用されるユーザのプライマリ(業務)電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性はユーザーのタイムゾーンを指定します。 |
title |
title |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
エンタープライズ |
— |
*userPrincipalName(ユーザープリンシパル名) |
uid |
必須属性マッピング。 各ユーザ アカウントについて、Active Directory の値はクラウドの一意の uid にマッピングされます。 場合によっては、userPrincipalName はサインインに使用されますが、ユーザーのメール アドレスはカレンダーの管理に使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマップされていることを確認する必要があります。 別のメール アドレスとして userPrincipalName を追加します。 正しいSAML属性マッピングが設定されている限り、ユーザーはこれらのメールアドレスのいずれかを使用してサインインできます。 代替メールアドレスのマッピング方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName(ユーザープリンシパル名) <custom attribute=""> |
電子メール;タイプ ワーク |
このマッピングはオプションです。別のメール アドレスを使用する場合に使用します。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインからであり、一意であり、他のユーザーに割り当てられていない必要があります。 |
<New attribute="" for="" Azure="" user="" objectId=""> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザ objectId を保持し、既存のものと衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームが自動的に作成されます。 |
代替メール アドレス マッピング
カスタマイズされた属性の式
操作係 | 説明と例 |
---|---|
% | 一致する場合、文字列の先頭から文字列または文字列引数の位置まですべての文字を削除します。
|
- | 入力文字列の背面を、指定した文字列の末尾からストリップします。
|
+ | 入力文字列または式を連結します。
|
| | 空文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリアバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期して、Webex アプリにサインインしたときに各アバターが表示されるようにすることができます。 この手順を使用して、Active Directory 属性から生のアバターデータを同期します。
1 | Directory Connector から、[設定] に移動し、[アバター] をクリックし、[有効] にチェックを入れます。 |
2 | [アバターを取得する]で、[AD属性]を選択し、クラウドに同期する生のアバターデータを含む[アバター属性]を選択します。 |
3 | アバターが正しくアクセスされていることを確認するには、ユーザーのメールアドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターは右側に表示されます。 |
4 | アバターが正しく表示されたことを確認したら、[適用]をクリックして変更を保存します。 |
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 この機能が Directory Connector から有効になった後、ユーザーは自分のアバターを設定することはできません。
ユーザーアバターは、Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライラン同期を実行します。問題がない場合は、完全同期を実行して、Active Directory ユーザーアカウントとアバターをクラウドに同期させ、Control Hub に表示します。
リソース サーバからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期して、Webex アプリにサインインしたときに各アバターが表示されるようにすることができます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
この手順の中の URI パターンと変数の値は例です。 ディレクトリ アバターが存在している、実際の URL を使う必要があります。
アバター URI パターンとアバターが存在するサーバーは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像へのhttpまたはhttpsアクセスが必要ですが、画像はインターネット上で公的にアクセスする必要はありません。
アバター データの同期は、Active Directory ユーザ プロファイルから分離されます。 プロキシを実行する場合は、NTLM 認証または基本認証でアバターデータにアクセスできることを確認する必要があります。
1 | Directory Connector から、[設定] に移動し、[アバター] をクリックし、[有効] にチェックを入れます。 |
2 | [アバターを取得する]で、[リソースサーバー]を選択し、[アバターURIパターン]を入力します。 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 | (オプション)リソースサーバーにクレデンシャルが必要な場合は、[アバターのユーザクレデンシャルを設定]にチェックを入れ、[現在のサービスログオンユーザを使用]または[このユーザを使用]のいずれかを選択してパスワードを入力します。 |
4 | 変数の値変数の値 を入力します。例: |
5 | [テスト] をクリックして、アバターの URI パターンが正しく機能することを確認します。 この例では、1 つのAD入力のメールの値は: |
6 | URI 情報が検証され、正しく表示されたら、[適用] をクリックします。 通常表現の使用に関する詳細については、Microsoft 通常表現言語クイック リファレンスを参照してください。 |
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 この機能が Directory Connector から有効になった後、ユーザーは自分のアバターを設定することはできません。
ユーザーアバターは、Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライラン同期を実行します。問題がない場合は、完全同期を実行して、Active Directory ユーザーアカウントとアバターをクラウドに同期させ、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory からオンプレミスの会議室情報を Webex クラウドに同期します。 会議室情報を同期すると、設定済みでマップされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 | Directory Connector から [同期] に移動し、[詳細] をクリックします。 | ||
2 | 同期中にルームデータとユーザーデータを分離するには、[ルーム情報をクラウドと同期] にチェックを入れます。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 | ||
3 | [属性マッピング]に移動し、クラウド属性のsipAddresses;type=enterprise属性マッピングを変更します。
| ||
4 | Exchange で Room Resource メールボックスを作成します。 これにより、コネクタがルームを識別するために使用するmsExchResourceMetaData;ResourceType:Room属性が追加されます。 | ||
5 | Active Directory ユーザーとコンピュータから、会議室のプロパティに移動して編集します。 完全修飾された SIP URI を sip のプレフィックスで追加します。 | ||
6 | ドライラン同期を行い、コネクタでフルラン同期を行います。 新しい会議室オブジェクトが追加されたオブジェクトのリストに表示され、一致した会議室オブジェクトが、ドライランレポートの一致したオブジェクトに表示されます。 削除のフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライランの結果は、一致したルームリソースを表示します。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザーデータから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計は、クラウドに同期された会議室データを表示します。 |
次に行うこと
これらの手順が完了したら、Webex クラウド登録デバイスで検索すると、SIP アドレスで構成された同期された会議室エントリが表示されます。 そのエントリに Webex デバイスからコールを発信すると、コールが会議室用に設定された SIP アドレスに配置されます。
Control Hub から、ディレクトリから会議室を自動的にインポート し、ワークスペースを作成できます。
エンドポイントはコールバックを Webex アプリにループできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスまたは Webex アプリ以外の場所で SIP URI として登録する必要があります。 検索している Active Directory 会議室システムが Webex に登録されており、同じメール アドレスが Webex Room デバイス、Desk デバイス、または Webex Board for Calendar サービスにある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。 |
ディレクトリ同期結果に関するメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取るユーザーをカスタマイズできます。
1 | Directory Connector から、[設定] をクリックし、[通知] を選択します。 |
2 | Directory Connector から、[設定] をクリックし、[電子メール受信者] の横にある [レポートの同期を有効にする] をオンに切り替えます。 |
3 | デフォルトの通知動作を上書きして、1 つ以上の電子メール受信者を追加する場合は、[通知を有効にする]にチェックを入れます。 |
4 | [追加] をクリックし、メールアドレスを入力します。 無効な形式のメール アドレスを入力すると、変更を保存して適用する前に問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 | [メールを追加] をクリックし、メールアドレスを入力します。 無効な形式のメール アドレスを入力すると、変更を保存して適用する前に問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 | 入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 | 有効なすべてのメールアドレスを追加したら、[適用]をクリックします。 |
8 | 有効なすべてのメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メールアドレスを削除することを決定した場合は、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メールアドレスを削除する場合、特定のメールアドレスのエントリの横にある [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニングする
Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成するには、次の手順に従います。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開 (1 つのフォレストまたは複数のフォレストのいずれか) からユーザーをプロビジョニングできます。 異なるドメインからユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザーオブジェクトを保持するか、または削除するかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、Active Directories と Webex クラウドの間で完全に一致することです。
1 | Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランを使用すると、完全同期または増分同期を実行してクラウドに変更をコミットする前に、追加、変更、または削除されるオブジェクトを確認できます。 |
2 | Active Directory ユーザーをクラウドに完全に同期する 完全同期を実行するときに、コネクター サービスは Active Directory (AD) からクラウドへ絞り込んだすべての目的を送信します。 コネクターサービスはその時に識別保存を AD エントリーでアップデートします。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 | Control Hub でディレクトリ同期されたユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザー同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートを設定する ことをお勧めします。 また、この最初のステップの後に個々の変更を加えることもできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランを使用すると、完全同期または増分同期を実行してクラウドに変更をコミットする前に、追加、変更、または削除されるオブジェクトを確認できます。
異なるドメインからユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザーオブジェクトを保持するか、または削除するかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector では、Active Directories と Webex クラウドの間で完全に一致させることが目標です。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメイン用にインストールした Cisco ディレクトリ コネクタ インスタンスのそれぞれでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、Control Hub にいくつかの Webex アプリ ユーザーがすでに存在している可能性があります。 クラウド内のユーザーのうち、一部はオンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスを割り当てられる可能性があります。 ただし、同期中に削除するテスト ユーザーがある場合があります。 Active Directory と Control Hub の完全な一致を作成する必要があります。
1 | 1 つを選択します。
ドライランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトのマッチングに関する情報が含まれています。
ドライ ランは、ドメイン ユーザと比較することでユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属しているかどうかを識別できます。 次のステップでは、オブジェクトを削除するか保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在するが、オンプレミスの Active Directory には存在しないと識別されます。 | ||
2 | ドライランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じてオプションを選択します。
| ||
3 | 「ドライランを確認」プロンプトで、「はい」をクリックしてドライラン同期をやり直し、ダッシュボードを表示して結果を表示します。 ドライランで正常に同期されたアカウントは、[一致するオブジェクト] の下に表示されます。 クラウドのユーザーに、Active Directory で同じメールを持つ対応するユーザーがいない場合、そのエントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するため、Active Directory には同じメール アドレスを持つユーザーを追加することができます。 同期をとったアイテムの詳細を表示するには、特定のアイテム、すなわち、[マッチしたオブジェクト] の対応するタブをクリックします。 サマリー情報を保存するには、[結果をファイルに保存] をクリックします。 | ||
4 | 結果が予測される場合、今すぐ有効にする]をクリックして手動同期を実行し、この時点で手動モードにします。 をクリックし、[
|
次に行うこと
保持した一致しないユーザ オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、Active Directory に追加する必要があります。
同期タイプを選択します。
新規ユーザーをクラウドに最初に同期するときに、Active Directory ユーザーをクラウド に完全に同期します。 になり、現在のドメインのユーザーが同期されます。
完全同期を実行した後、および最初の同期後に変更をピックアップする場合は、コネクタ スケジュール を設定し、増分同期を実行 します。 このタイプの同期は、Active Directory ユーザ ソースに加えられた小さな変更をピックアップすることをお勧めします。
デフォルトでは、増分同期は 30 分ごと (バージョン 3.4 以前) または 4 時間ごと (バージョン 3.5 以降) に設定されていますが、この値を変更できます。 増分同期は、最初に完全同期を実行するまで発生しません。
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意点
完全同期を有効にする前、または同期パラメータを変更する前にドライランを実行します。 ドライ欄が設定の変更により開始された場合、ドライ欄が完了した際に設定を保存することができます。 すでに手動でユーザーを追加している場合、Active Directory 同期を実行すると、以前に追加されたユーザーが削除される可能性があります。 クラウドに完全に同期する前に、Directory Connector Dry Run レポートをチェックして、すべての予想されるユーザーが存在することを確認できます。
一致したユーザーが削除されるようマークされており、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」のトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除されるまで、クラウド ID サービスに 7 日間保存されます。
Active Directory ユーザーをクラウドに完全に同期する
完全同期を実行するときに、コネクター サービスは Active Directory (AD) からクラウドへ絞り込んだすべての目的を送信します。 コネクターサービスはその時に識別保存を AD エントリーでアップデートします。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合、各 Active Directory ドメイン用にインストールした Directory Connector インスタンスのそれぞれでこの手順を実行する必要があります。
Directory Connector がユーザー アカウントの状態を同期する - Active Directory では、無効とマークされているユーザーもクラウドで非アクティブとして表示されます。
始める前に
完全同期後、ユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにする場合は、メール検証をバイパスするために次の手順を実行する必要があります。
シングル サインオンを Webex 組織と統合します。 詳細については、「
Cisco Webex サービスとのシングル サインオンと組織の ID プロバイダ
」を参照してください。Control Hub を使用して、メール アドレスに含まれるドメインを検証し、必要に応じて要求します。 「
ドメインの追加、確認、要求
」を参照してください。自動メール招待を抑制し、新規ユーザーが Webex アプリへの自動メール招待を受信しないようにします。(独自のメールキャンペーンを実行できます。)
サインインしていないアクティブ化されたユーザーは、Control Hub で検証済みのステータスで表示されます。 サインインすると、アクティブとして表示されます。 ユーザー ステータスの詳細については、 「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 完全な同期を行う前にドライランを実行して、潜在的なエラーをキャッチすることをお勧めします。
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートを設定する 必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 彼らは無料アカウントを持つものと同じ無料機能 を使用することができます。
1 | 1 つを選択します。
| ||
2 | Directory Connector から [同期] に移動し、[詳細] をクリックします。 | ||
3 | 同期の開始を確認します。 Active Directory のユーザーに対して行った変更(表示名など)については、Control Hub はユーザー ビューを更新するとすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。
| ||
4 | 同期のステータスを更新する場合は、[更新]をクリックします。 (同期された項目はクラウド統計の下に表示されます)。 | ||
5 | エラーについては、[アクション]ツールバーから[イベントビューアを起動]を選択し、エラーログを表示します。 | ||
6 | 進行中の増分同期をクラウドに同期するスケジュールを設定するには、「コネクタ スケジュールの設定」および「増分同期の実行」を参照してください。 |
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [操作] にディレクトリ同期ステータスが更新されます。
すべてのデータがオンプレミスとクラウド間で一致すると、Directory Connector は手動モードから自動同期モードに変わります。
シングル サインオンを統合、ドメインの確認、および必要に応じて同期したメール アカウントのドメインを要求する、および自動メールを抑制する場合を除き、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは確認されていない状態のままになります。 アカウントをアクティブ ユーザーとして同期する方法については、[開始前] セクションを参照してください。
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
Webex とシングル サインオンを統合し、抑制されたメール通知の場合、メール招待状は新しく同期されたユーザーに送信されません。
Directory Connector が有効になった後は、手動で Control Hub にユーザーを追加することはできません。 有効にすると、ユーザー管理は Cisco ディレクトリ コネクタから実行され、Active Directory は真実の単一のソースです。
同期したグループはすべて Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
Active Directory からユーザーを削除すると、次の同期後にユーザーがソフト削除されます。 ユーザーは、
Inactive
ただし、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にするため)。Active Directoryで アカウントが無効になっていることを確認すると、ユーザーは
Inactive
次の同期後。 ユーザーを再度有効にする場合、クラウド ID プロファイルは 7 日後に削除されません。これらの例外をインクリメンタル同期に注意してください (代わりに上記の完全な同期手順に従ってください)。
アバターが更新されたが、他の属性が変更されない場合、増分同期はユーザーのアバターをクラウドに更新しません。
属性マッピング、ベース DN、フィルタ、アバター設定の構成変更には、完全な同期が必要です。
Control Hub でディレクトリ同期されたユーザーに Webex サービスを割り当てる
Cisco ディレクトリ コネクタから Control Hub への完全なユーザー同期が完了したら、Control Hub を使用して、すべてのユーザーに同じ Webex サービス ライセンスを一度に割り当てたり、自動割り当てライセンス テンプレートをすでに設定している場合は、新規ユーザーに追加のライセンスを追加したりできます。 この最初のステップの後、個々のユーザーアカウントを変更できます。
Directory Connector から Control Hub への完全なユーザー同期を完了した後、Control Hub のメソッドを使用して、一括の CSV テンプレートを使用して、すべてのユーザー、個々のユーザーに Webex サービス ライセンスをグローバルに割り当てたり、すでに自動割り当てライセンス テンプレートを設定している場合は、新規ユーザーに自動的に割り当てたりできます。 この最初のステップの後、個々のユーザーアカウントを変更できます。
Webex アプリのユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 電子メールは、Control Hub の通知サービスによって送信されます。 Webex 組織にシングル サインオン (SSO) を統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制する こともできます。
始める前に
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートを設定する 必要があります。
Active Directory ユーザーでドライラン同期を実行します。
ドライランの結果を確認した後、Active Directory ユーザーで完全な同期を実行します。
完全同期時に、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されていない場合、CSV インポート、手動のユーザー更新、自動割り当ての完了など、Control Hub の標準ユーザー管理方法でユーザーにサービスを割り当てると、新しいユーザーはアクティベーション メールを受信します。 |
1 | https://admin.webex.comの顧客ビューから ]を選択し、[ユーザーの管理]をクリックし、[同期しているすべてのユーザーを変更]を選択し、[次へ]をクリックします。 |
2 | オプションを選択します。
|
次に行うこと
メールが抑制されていない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
すべてのユーザーに対して同じ Webex サービスを選択した場合、その後、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
2012 R2 以前の Windows Server バージョンでは、Directory Connector に影響する Cookie の問題があります。 この問題は、2012 R2および2016のバージョンで修正されました。
Active Directory のユーザー (表示名など) に加えた変更については、Control Hub はユーザー ビューを更新するとすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後に変更を反映します。
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索してコールすると、この時点でコールは無期限に鳴ります。
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。 そして、それら変更をまとめて、コネクター サービスに送信します 変更には、ユーザーのアトリビューションの変更、およびユーザーが追加または削除された場合が含まれます。
この同期は、サーバーにそれほど負荷をかけず、完全な同期ほど時間がかかりません。 最初の完全同期を実行した後、後続の同期に増分オプションを推奨します。
始める前に
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートを設定する 必要があります。
これらの例外は、増分同期がサポートされていないことに注意してください (代わりにActive Directory ユーザーをクラウドに完全同期するに従ってください)。
アバターが更新されたが、他の属性が変更されない場合、増分同期はユーザーのアバターをクラウドに更新しません。
属性マッピング、ベース DN、フィルタ、アバター設定に関する新しい設定変更では、増分同期は機能せず、完全同期が必要です。
1 | Directory Connector から [ダッシュボード] をクリックします。
| ||
2 | まだ有効になっていない場合は、[アクション]から[同期モード > 同期を有効にする]をクリックします。 デフォルトでは、増分同期は 30 分ごと (バージョン 3.4 以前) または 4 時間ごと (バージョン 3.5 以降) に設定されていますが、この値を変更できます。 増分同期は、最初に完全同期を実行するまで発生しません。 新しい増分時間間隔が上昇すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 | ||
3 | [アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザー (表示名など) に加えた変更については、Control Hub はユーザー ビューを更新するとすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後に変更を反映します。
| ||
4 | エラーについては、[アクション]ツールバーの[イベントビューアを起動]をクリックして、エラーログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーの回復
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。 残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。 ソフト削除機能は、これらの事故から回復し、Control Hub のユーザーアカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織に対して有効になっています。 たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しなかったため、ユーザーがクラウドで削除されると、ユーザーを復元できます。 一致しないオブジェクトの通知を見た場合、またはユーザーが削除されたことに気付いた場合は、迅速に行動すればそれらを回復できる可能性があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。 バックグラウンド クラウド サービスは、最大 7 日間ユーザーを保持します。 この間、Cisco Directory Connector を使用してユーザーを復元できます。 これらのユーザーをできるだけ早く回復することをお勧めします。 Active Directory で無効になっているユーザーも、Control Hub で [非アクティブ(Inactive)] としてマークされますが、ユーザー アカウントは 7 日後に削除されません。 |
1 | |
2 | [ユーザー]に移動し、特定のユーザーアカウントが非アクティブ状態であるか、または非公開であるかを確認します。 詳細については、「Control Hub のユーザーステータスとアクション」を参照してください。 |
3 | ユーザーが Control Hub で削除された場合、またはユーザーが非アクティブ状態になっていることに気付いた場合は、Active Directory に移動し、不足しているユーザー アカウントを追加してから、Directory Connector でドライ ラン同期を実行します。 Directory Connector の目標は、Active Directory 内のユーザー情報とクラウド内のユーザー情報との完全な一致を作成することです。 |
4 | 完全に同期して、一時的に削除されたユーザーアカウントを Control Hub に再同期します。 ユーザーは復元され、アカウントのステータスやサービスの割り当てなど、元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
)]、および以前に削除したユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザーを永久に削除
ドライランを実行した後、次の同期でソフト削除されたユーザーを完全に削除することを選択できます。
1 | ドライランが完了したら、[ソフト削除済みオブジェクト]を選択します。 |
2 | 削除するユーザの横にあるチェックボックスをオンにします。 |
3 | [完了] を選択します。 |
次に行うこと
次の同期では、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合は、Active Directory でそれらのメール アドレスを変更します。 この手順では、1 つのドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
1 人のユーザーのメールまたは一部の値のみを変更する場合は、Active Directory からユーザーを削除してから、同じメールを使用して新しいユーザーを再作成しないでください。 クラウドはこのアクションを新しいユーザーアカウントとして解釈し、クラウド内のユーザーのスペースやその他のデータは失われます。 |
Directory Connector はメール ドメインの変更を制限しません。 ただし、ユーザーがクラウドに再同期する場合、ユーザーの状態は、組織で新しいドメインが検証されるかどうかに依存します。 組織でドメインが検証されていない場合、完全同期後にユーザーのステータスは [保留中] に変わります。 詳細については、「ドメインの管理」を参照してください。
組織が Directory Connector を使用していない場合は、Webex アプリのメール アドレスをアカウント設定ページから変更できます。 ユーザーがメールを変更するための手順については、「アカウントのメールアドレスの変更」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。 クラウドの ID サービスと同期します。
1 | 新規 Active Directory (AD) ドメインをセットアップします。 | ||
2 | すべてのコネクタで同期を無効にします。 | ||
3 | すべてのコネクタをアンインストールします。 | ||
4 | ドメインを変更するケースを開きます。 提出する場合は、組織内のドメイン設定とすべての同期属性の削除を必ず要求してください。
| ||
5 | 本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメイン要求は、組織のメール ドメインを要求した場合に発生します。これにより、サイドボーディングされたアカウントは、無料の消費者組織ではなく、有料顧客組織で作成されます。 ドメイン要求は、サポートケースを通じてのみ行うことができます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織のいずれかで作成されません。 Directory Connector のみが、Active Directory から組織のアカウントをプロビジョニングできます。 Active Directory に保存された情報はオリジナルソースです。 アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。 招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、まず Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織内の無料の Webex アプリのユーザーを変換する
Webex アプリ ディレクトリでのみ一意のメール アドレスを使用できます。 ユーザーが無料版の Webex アプリにサインアップしている場合、そのアカウントは無料の消費者組織に存在します。 Directory Connector を使用してこの組織のユーザーを管理するには、 Directory Connector を起動する前に顧客組織に移行 (変換) してください。 次に、ユーザーを正確なメール アドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ<email address=""> を変換できませんでした
が表示されます。 問題を回避するには、これらの手順を回避策として使用できます。
要求されたユーザーの中には、 これらのユーザーを追加しない場合、クラウドに同期する横にあるすべてのユーザーが削除されます。 |
1 | Directory Connector からのディレクトリ同期を無効化する。 | ||
2 | 無料のコンシューマー組織からエンタープライズ組織にユーザーを変換するには、Control Hub でライセンスされていないユーザーを変換する 手順に従います。 この手順により、ユーザーが組織に追加され、アカウントが Control Hub に表示されます。 Directory Connector は、Active Directory をユーザーアカウントの真実の単一のソースとし、目標は Active Directory と Control Hub の完全な一致を持つことです。 同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。 ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 | ||
3 | Directory Connector で、ドライラン同期を実行します。 ドライランの完了後、[オブジェクトの追加] タブを確認します。 自分が変換したユーザーが削除されていないか確認する。
| ||
4 | 次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。 たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしで Directory Connector をオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリのユーザーアカウント
Webex アプリのスペースに別のユーザーを招待する場合、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボード」)。 既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合は、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリの同期を実行した後で、形式 <lastName, firstName=""> でユーザー名が表示されていることがわかる場合があります。
このユーザー名は、 displayName
Active Directory の属性はそのように設定されます。 属性が次の場所にマップされている場合: displayName
クラウドでは、Control Hub のフォーマット<lastName, firstName=""> に名前が表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性をマップする givenName sn
(または sn givenName
) まで displayName
Cisco Cloud 属性名です。
または、属性をマップします sn givenName
~ displayName
:
独自のカスタム属性式をマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。 displayName
です。
たとえば、 givenName + "" + sn
式として (名、スペース、姓)。 これは、Active Directory の 2 つの属性をマッピングします。 displayName
雲の中です
ユーザーが Webex Meetings で表示名を変更することを許可する
次のマップを解除できます: displayName
ユーザーが希望する表示名を編集できるようにする場合は、Directory Connector のクラウドへの同期から属性を指定します。 ユーザーは、姓と名の代わりに、Webex ミーティング中に表示する表示名を入力できます。 管理者は、Control Hub でユーザーの表示名を手動で変更することもできます。
1 | Directory Connector から、[構成] をクリックして、[ユーザー属性のマッピング] 選択します。 |
2 | [Cisco Cloud属性名]でdisplayNameを選択します。 |
3 | [この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集できます。
最新のソフトウェアリリースにアップグレード
展開をコンプライアンスに保ち、最新の機能、バグ修正、セキュリティ強化を取得するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。 利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件 をサポートしていないバージョンを使用しているなど、問題が発生する可能性があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。 問題を回避するには、常に最新バージョンにアップグレードします。 Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェアの更新プログラムは手動でインストールできますが、「自動アップグレードの設定」の手順に従って、アプリがアップグレードを自動的に管理できるようにすることをお勧めします。 |
1 | Windows タスクバーの通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 | 手順に従ってアップグレードを完了します。 |
3 | コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
|
次に行うこと
Directory Connectorを新しくインストールするには、zipファイル を ダウンロードしてから、このガイドのインストール手順に従います。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。 コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 | [Directory Connector] から [構成] に移動して、[汎用] をクリックします。 | ||
2 | [コネクタ名] フィールドに、コネクタ名を入力します。 このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 | ||
3 | ドロップダウン メニューからログ レベルを選択します。 既定では、ログレベルは「情報」にセットされています。 使用可能なログレベルは以下の通りです。
| ||
4 | [優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。 リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。 コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 | ||
5 | 自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレード] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに保つことは常に重要です。 この設定を確認して、ソフトウェアの自動アップグレードが利用可能になったときにサイレントにインストールできるようにすることをお勧めします。 | ||
6 | セキュア LDAP(LDAPS)を接続プロトコルとして使用するには、LDAP over SSLにチェックを入れます。
LDAP(Lightweight Directory Application Protocol)とSecure LDAP(LDAPS)は、インフラストラクチャ内のアプリケーションとドメインコントローラ間で使用される接続プロトコルです。 LDAPS通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。 同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。 すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、 1
削除しきい値トリガー値として。 完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。 [ しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 | [Directory Connector] から [構成] をクリックして、[ポリシー] を選択します。 | ||
2 | しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。 削除の回数が定義した値を越えると、同期は失敗します。
| ||
3 | 自分が行う削除の最大数を入力します。 既定では 20 です。
| ||
4 | [適用] をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。 高可用性 (HA) にはフェイルオーバーが使用されます。 コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 | Directory Connector から、[設定] をクリックし、[スケジュール] を選択します。 |
2 | 増分同期インターバルを分に指定します。 デフォルトでは、増分同期は 30 分ごとに設定されています。 完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 | レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 | [完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 | [フェイルオーバー間隔]を「分」で指定します。 |
6 | [適用] をクリックします。 |
複数のドメインシナリオ
複数のドメインはドメインの優先度に基づいています。 異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、 に表示され、その場合 user1 と group1 は表示されません。https://admin.webex.com
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。 また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、 に表示され、その場合 user1 と group1 は表示されません。https://admin.webex.com
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、 では変更されません。https://admin.webex.com User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、 では変更されません。https://admin.webex.com
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、にリストされます。https://admin.webex.com
新しいドメインを同期し、既存のドメインを保存する
別の既存のドメイン(A)で同期されたユーザーデータを維持しながら、新しいドメイン(B)を同期する場合は、サポートされている Windows サーバーにドメイン(B)同期用の Directory Connector をインストールしてください。 コネクタは初期設定後に新しいドメインにバインドされ、ドメイン (A) の下のユーザー情報は影響を受けません。
すべてのドメインには、独自のアクティブ コネクタが必要です。 次の設定を持つ 2 つのドメインを考慮します。 ローカル ハイ アベイラビリティ(HA)用のコネクタ(ca1)と(ca2)を持つドメイン A、コネクタ(cb1)を持つドメイン B。(ca1)と(ca2)はドメイン A を提供します。このシナリオでは、1 つのコネクタがアクティブで、もう 1 つはスタンバイ(HA)です。 この設計では、1 つのコネクタが常にアクティブであるため、ドメインが同期されます。 そのため、ドメイン A にはすでにアクティブなコネクタ (ca1 または ca2) があるため、cb1 はドメイン B のアクティブ コネクタです。
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。 ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。 これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。 試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
始める前に
エラーを回避するには、最新バージョンの Cisco ディレクトリ コネクタをインストールまたはアップグレードします。 からダウンロードする必要があります。https://admin.webex.com
1 | Cisco ディレクトリ コネクタから、[ダッシュボード] をクリックします。 | ||
2 | [アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 | ||
3 | リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。
|
ドメインを切り替える
この手順を使用して、Cisco ディレクトリ コネクタを別のドメインに再バインドします。
始める前に
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
エラーを回避するには、最新バージョンの Cisco ディレクトリ コネクタをインストールまたはアップグレードします。 Control Hubからダウンロードする必要があります。
1 | Cisco ディレクトリ コネクタから、[ダッシュボード] をクリックします。 |
2 | [アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 | 警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタ内の他のドメインが未登録になり、そのコンピュータのコネクタ情報が削除されます。 |
4 | Cisco ディレクトリ コネクタにサインインしてドメインを再バインドします。 |
ディレクトリ同期をオフにする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 | https://admin.webex.comの顧客ビューから 、[ディレクトリ同期]までスクロールし、次のいずれかを選択します。
|
2 | プロンプトを読んだら、「オフにする」をクリックします。 同期は、Directory Connector から再度有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。 属性マッピングを削除すると、属性値がクラウドから削除され、Webex に同期されなくなります。 これらの値は手動で編集できます。
1 | Directory Connector から [ダッシュボード] をクリックします。 |
2 | [アクション]に移動し、[ を選択します。 |
3 | 属性名リストから削除するマッピングを選択します。 |
4 | [影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 | [適用] をクリックします。 |
プロファイル写真を管理する
Directory Connector を使用して、ユーザ プロファイルの写真を更新するか、空のユーザ プロファイルの写真を削除します。
1 | Directory Connector から [ダッシュボード] をクリックします。 |
2 | [アクション]に移動し、[ 。 |
3 | [アクション] で、次のいずれかを選択します。
|
4 | [適用] をクリックします。 |
Directory Connector のアンインストールと無効化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。 以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
ディレクトリ同期化をこれ以上使いたくなくなった。
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
ドメインを変更して、別のコネクタをインストールしたい。
始める前に
高可用性 (HA) または複数のドメイン同期のために Directory Connector の複数のインスタンスがセットアップされている場合があります。 唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
Directory Connector をアンインストールする前に、重要な作業を保存して閉じます。
1 | Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 | プログラムリストから、[Directory Connector]をクリックし、[アンインストール]を選択し、指示に従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 | https://admin.webex.comの顧客ビューから 、[ディレクトリ同期]までスクロール、[詳細]をクリックします。 |
4 | プロンプトを読んだら、「非アクティブ化」をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールを実行する
内蔵の診断ツールを使用して、Directory Connector の展開をトラブルシューティングできます。 このツールは、Directory Connector 3.4 以降の一部としてインストールされます。
同期が正常に機能しなかった場合、設定またはネットワークエラーが発生する可能性があります。 このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。 ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する可能性があります。 また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題をリストした電子メールレポートを送信する場合があります。 サポートに連絡する前に、発生する可能性のある問題、考えられる原因、および提案されているソリューションについては、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が機能していないことを知らせるアラートメールを受信しました。
Directory Connector が正しくインストールされていない可能性があります。
Directory Connector が実行されていない可能性があります。
ネットワークは使用できない可能性があります。
以下の作業を行います。
。 Directory Connector を検索します。 そこにない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
Service を開いて、Cisco DirSync サービスを検索します。 開始した状況が表示されていることを確認してください。 サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
Directory Connector をインストールしたサーバがインターネットにアクセスできることを確認します。
再インストールエラー
問題:古いコネクタをアンインストールした後すぐに新しいコネクタをインストールすると、エラーメッセージが表示されることがあります。
考えられる原因:Windows Server 2012 では、アンインストール クライアントはサービス アカウントをサービス リストから削除する時間が必要です。
解決方法:しばらくしてから、もう一度インストールを試してください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュする
問題がありますか?
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュすることがあります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
ドメインコントローラに移動し、グループポリシー管理(gpedit.msc)を開きます。
特定のOUまたはドメインを右クリックし、このドメインにGPOを作成を選択し、ここにリンクします…
ポリシーに名前を付け、右クリックして[編集]を選択します。
マシンレベルでポリシーを変更するには、次の手順を実行します。
レジストリ]を右クリックし、[新規]を選択してから、[レジストリ項目]を選択します。
で、[キーパスの場合、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Mainを入力または移動します。
入力
Disable Script Debugger
値を入力し、no
は 値データです。設定はこのスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
レジストリ]を右クリックし、[新規]を選択してから、[レジストリ項目]を選択します。
で、[キーパスの場合、HKEY_CURRENT USER_\SOFTWARE\Microsoft\Internet Explorer\Mainを入力または移動します。
入力
Disable Script Debugger
値を入力し、no
は 値データです。設定はこのスクリーンショットと一致する必要があります。
変更は実行後に有効になります |
Cisco DirSync サービス コネクタを登録できませんでした
問題がありますか?
サインインに失敗し、このメッセージが表示されます。 「Cisco DirSync Service Connector を登録できませんでした。」
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題がありますか?
Directory Connector を開き、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
Internet Explorerでhttps://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBALに移動します。 ChromeやFirefoxなどの他のブラウザでリンクを試してください。
Internet Explorer がリンクにアクセスできないが、他のブラウザーがアクセスできる場合は、Internet Explorer の設定を確認し、TLS 1.1 および 1.2 チェックボックスをオンにします。 (Internet ExplorerでTLSを有効にする手順を使用します)。
サインインプロンプトが表示されます
問題がありますか?
認証を渡すためにユーザ名とパスワードの入力を要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインインアカウントを使用して NTLM セキュリティ認証をサイレントに完了します。 認証に失敗すると、ダイアログがポップアップして認証ユーザ名とパスワードを要求します。
対処方法
サインインポップアップウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題がありますか?
通常の操作中に、エラー メッセージが表示されます。 「リモートサーバーに接続できません。」
考えられる原因
解決する必要があるプロキシの問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービスアカウントのサインイン問題のトラブルシューティング」を参照してください。
コネクタを登録できません
問題がありますか?
「コネクタを登録できません。 」という例外が発生した。
考えられる原因
ほとんどの場合、問題は、Directory Connector に LDAP ルート コンテキストに接続する権限がないためです。
対処方法
以下の作業を行います。
コマンド プロンプト (cmd) を実行し、ldp.exe と入力します。
現在ログインしているユーザとしてバインド]を選択し、[OK]をクリックします。
]を選択し、[OKをクリックします。
、DC=arbonneintl、DC=adをBaseDNと入力して問題が解決しない場合は、サポート付きのケースを開きます。
同期
アバターが同期されていません
問題がありますか?
Cisco ディレクトリ コネクタは、ユーザー AD データを Webex クラウドに同期しました。 しかし、アバターのデータは正常に同期されませんでした。
考えられる原因
既存のアバターサーバーを再使用し、ユーザーアバターがすでに同期されている場合、ローカルキャッシュはそれらをキャプチャし、帯域幅を保存するために再送を回避します。
対処方法
次の手順に従って、ローカルキャッシュを削除します。
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\に移動します
DirSyncPluginAvatar.dll-cache.bin を削除します。
Cisco ディレクトリ コネクタからアバターの同期を再実行します。
競合するユーザー メール アカウント
問題がありますか?
同期結果に矛盾するユーザー メール アカウントが表示されることがあります。
ユーザーが無料版の Webex アプリを試した場合、メール アドレスは無料の消費者組織にあります。
ユーザーのメールが別の組織で同期された場合。
組織に属する複数のドメインにユーザーのメールが存在する場合。
対処方法
以下の作業を行います。
ユーザーを要求する場合は、次の手順に従います。
Control Hub でドメインを検証したことを確認してください。
一時的に Cisco Directory Connector を無効にします。
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在するアカウントを要求します。 詳細については、「ユーザーを組織に要求する(ユーザーの変換)」を参照してください。
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再有効化
最後のケースでは、Active Directory ソース内のユーザー データを再確認します。
非アクティブとしてマークされた変換済みユーザー
問題がありますか?
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、ユーザーはセキュリティコンプライアンス対策として 30 日間非アクティブ状態としてマークされます。 この期間中、ユーザーは Webex アプリにサインインできず、30 日間の期間の終了時に削除のマークが付けられます。 この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除したくない場合は、アクションを実行する必要があります。 この問題を解決するには、変換された無料のユーザーアカウントに対応するオンプレミスの Active Directory にユーザーアカウントを作成します。 次に、Cisco Directory Connector から同期を実行します。 その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期に失敗しました
問題がありますか?
増分同期が失敗します。
この問題は、以下の条件下で Windows Server 2008 R2 で発生する可能性があります。
増分値の更新をサポートします。
使用するフィルタは、リンクされた値属性を参照します。
その属性の結果値は、前回完全同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2には、この問題に関連するバグがあります。 このバグは、2012 R2 以降で修正されています。 Windows Server を少なくとも 2012 R2 にアップグレードすることをお勧めします。
属性の値が無効です
問題がありますか?
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com、属性 [telephone number] には以下の無効な値があります。 + この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。 警告メッセージの記述に従ってこの値を修正してください。 再度同期を行います。
一致したユーザーを削除する
問題がありますか?
一致したユーザーは削除されるようマークされます。
Active Directory とクラウド間のデータを確認するためにドライラン同期を実行すると、両方で同じメール アドレスが表示される場合があります。 ただし、ユーザーは削除されるオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
その後、ユーザーを削除してライセンスを再実行しても問題ない場合は、Directory Connector を使用して修正できます。 同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
ユーザーアカウントを削除して再作成できない場合は、サポート付きのケースを開きます。
属性がありません
問題がありますか?
オンプレミスエントリ [user dn (distinguished name)] を追加するときに必要な属性 [attribute_name]。 すべての必須属性が値を持つまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。 オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加する場合、すべての必要な属性が値を持つまで、エントリは Control Hub で作成されません。
対処方法
ユーザーに必要な属性の 1 つが見つかりません [user_email_address]。 そのユーザーに必要な値を提供してください。
ネストされたグループは同期されません
問題がありますか?
ネストされた Active Directory グループのユーザは、クラウドに適切に同期されません。
考えられる原因
サポートされていない子グループと親グループの両方を含むフィルタが使用されます。 例: (memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。 例: |(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザーネーミングの競合
問題がありますか?
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。 [ユーザー メール アドレス]、およびユーザー タイプ [user_type]。
考えられる原因
そのメール アドレスを持つユーザーはすでに Control Hub に存在します。
対処方法
Control Hub で登録したアカウントと同じメールアドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub にユーザーリストがありません
問題がありますか?
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
ユーザーアカウントを検索するには、検索機能を使用できます。 Control Hub で、[ユーザー] に移動し、[検索] をクリックし、検索条件を入力して特定のユーザーを検索します。
グループが Control Hub に同期されない
問題がありますか?
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは、次のタグ付けされていません: isCriticalSystemObject
Active Directory です。
対処方法
その属性を確認する isCriticalSystemObject
が次に設定される場合 TRUE
Active Directory です。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。 トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
次のログ ファイル: <Installation Location>\Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 | コマンド | ||
2 | サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 | ||
3 | Directory Connector で、[ダッシュボード] をクリックします。 | ||
4 | [アクション]に移動し、[ 。 | ||
5 | トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 | ||
6 | ログファイルを調べます。 ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。
| ||
7 | 必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 | ||
8 | 完了後は、トラブルシューティング機能を無効にしてください。 |
イベント ビューアーを開始する
完全もしくは増加同期中に発生したイベントを確認するには、イベント ビューを開始します。 管理イベントとエラーログの概要が表示されます。
1 | Directory Connector から [ダッシュボード] に移動し、[ 。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 | イベントビューアから . |
3 | [アクション] から、[すべてのイベントを名前を付けて保存] をクリックして、すべてのログを単一の Events ファイル (*.evtx) または xml または csv などの別の形式でエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明してから、ケースに Events ファイルを添付します。
イベント ログではユーザー アクションをキャプチャします。 ネットワーク トラフィックを管理するには、コネクタのトラブルシューティングを有効にします。 |
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えた場合、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
サービスへのログオン中にエラーが発生しました
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 | Internet Explorerを開き、[ツール]を選択します。 有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じてもう一度開きます |
2 | [インターネットオプション]をクリックし、[詳細]に移動し、[セキュリティ]までスクロールします。 |
3 | [TLS 1.1を使用する] および [TLS 1.2を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 | 変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco ディレクトリ コネクタにサインインできない、または同期を実行できない場合は、これらの手順を使用して、サポートに連絡する前に問題を解決してください。
1 | ウェブ ブラウザーの に行きます。https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL | ||
2 | 結果によりますが、1 つを選択します。
| ||
3 | 少なくとも、Cisco DirSync Service(Windows サービスで見つけることができます)に設定されたアカウントに、アバターデータと AD データにアクセスできる権限レベルがあることを確認してください。 デフォルトでは、サービスはWindowsログインアカウントのクレデンシャルと認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
セーフダイナミックリンクライブラリ(DLL)検索モードは、Windowsレジストリでデフォルトで設定され、ユーザーの現在のディレクトリをDLL検索順序で後で配置します。 このモードが何らかの理由で無効にされている場合、攻撃者は悪意のあるDLL(システムフォルダにある参照DLLファイルと同じ名前)をアプリケーションの現在の作業ディレクトリに配置することができます。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
始める前に
Windowsレジストリへの変更は、細心の注意を払って行う必要があります。 これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。 |
1 | Windows検索または実行ウィンドウで、「regedit」と入力し、「Enter」を押します。 |
2 | HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Managerに移動します。 |
3 | 1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
Cisco Directory Connector の概要
ディレクトリ コネクタの概要
Directory Connector は、クラウドへの ID 同期のためのオンプレミス アプリケーションです。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、ユーザー アカウントとデータを Active Directory に保存できるため、Active Directory が信頼できる唯一の情報源となります。オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、利点を参照します。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードは、同期スケジュールの概要と、同期の状況、Directory Connector のステータスを提供します。サインインしていつでもダッシュボードを表示できます。 |
クラウドに同期する前にドライ ランを行う | クラウドに実装する前に、ディレクトリへの変更のドライ ランを実行します。レポートを実行し、望む変更が期待するものであるか確認します。 |
完全および増加同期 | ディレクトリ全体を同期します。または増加変更のみを同期し、処理電源に保存して、同期時間を短くします。 |
複数のドメイン (単一フォレストまたは複数のフォレスト) を同期します |
Directory Connector は、単一のフォレスト、または複数のフォレスト (AD LDS を必要としない) のどちらかで複数のドメインをサポートします。複数の Active Directory ドメインを持つ企業の場合、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドし、各ユーザー ベースを Webex に同期できます。Control Hub は、複数の Directory Connector の同期状態を表示することで、ステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を非アクティブ化できます。 |
スケジュールされた同期 | 日、時間、分で同期のスケジュールを設定できます。 |
Lightweight フィルター Access Protocol (LDAP) フィルター | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory の属性を対応する Webex クラウド属性にマッピングします。Active Directory の設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソースの SIP アドレス、その他のユーザー連絡先カード データ (役職、部署、マネージャなど) など、クラウド内のさまざまなデータをフォームします。 |
オンプレミスの会議室リソースと Webex ライセンスのない Cisco Webex Calling (Cloud PSTN) ユーザーおよびエンタープライズの連絡先の企業ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの会議室デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューアー | イベント ビューアーを使用して、同期に問題があるか確認します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、Active Directory への接続をテストします。 Directory Connector でトラブルシューティングを有効にすると、ログが書き込まれてテクニカル サポートに送信されます。 |
自動アップグレード | Directory Connector をインストールした後、新しいソフトウェアのバージョンが利用可能になると通知が送信されます。新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用できるように自動アップグレードを設定できます。 |
高可用性 | メインのコネクタやマシンのホスティングがダウンした場合のために、バックアップを作成するため、複数のコネクタを構成します。 |
Directory Connector は、三つの領域に分けられます:
-
Control Hub は、Webex 組織のあらゆる面を管理できる単一のインターフェイスです。ユーザーがエンタープライズ ID プロバイダを通して認証し、Webex アプリの招待メールを送信しない場合は、ユーザーを表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO) の設定 を行います。
-
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。複数のアクティブ ディレクトリ ドメインについて、同期する各ドメインにソフトウェアのインスタントを 1 つインストールできます。ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持ち込み、同期ステータスを表示および監視し、Directory Connector サービスを設定することができます。
-
ディレクトリ同期サービス は、Active Directory をクエリして、同期するユーザーとグループをコネクタサービスと Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、次の図を参照してください。
Directory Connector のための環境の準備
Directory Connector の要件
Windows および Active Directory の要件
次のサポートされている Windows サーバーに Directory Connector をインストールできます。
-
Windows サーバー 2022
-
Windows Server 2019
-
Windows Server 2016
Cookie の問題を解決するには、ドメインコントローラを Windows Server 2012 R2 または 2016 という修正を含むリリースにアップグレードすることを推奨します。
Directory Connector は、次の Active Directory サービスでサポートされています。
-
Active Directory 2016 年
(Directory Connector は、Windows Server 2019 で最新バージョンの Active Directory を使用する場合にサポートされます)
-
Active Directory 2012 年
-
Active Directory 2008 R2
-
Active Directory 2008 年
次の追加要件に注意してください。
-
Directory Connector には TLS1.2 が必要です。以下をインストールする必要があります。
-
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。問題が発生した場合は、「 ロールと機能の追加ウィザードを使用して .NET Framework 3.5 を有効にする」の手順を使用します。)
-
.NET Framework v.4.5 (TLS1.2 に必要)
-
-
アクティブ ディレクトリ forest 機能レベル 2 (Windows Server 2003) またはそれ以降が必要です。(詳細については、「アクティブ ディレクトリの機能レベルとは?」を参照してください。)
ハードウェアの要件
次の最小ハードウェア要件を持つコンピュータに Directory Connector をインストールする必要があります。
-
8 GB の RAM
-
50 GB のストレージ
-
CPU の最低条件はありません
ネットワーク要件
ネットワークがファイアウォールの背後にある場合は、システムでインターネットへの HTTPS (ポート 443) アクセスがあることを確認してください。
Webex 組織の要件
-
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
-
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにする場合は、次の操作を行うことを推奨します。
-
クラウドに同期するユーザーのメールアドレスを含むドメインの追加、検証、およびオプションで要求 します。
-
ID プロバイダー (IdP) と Webex 組織のシングル サインオン (SSO) インテグレーション を行います。
-
自動招待メールを抑制することで、新規ユーザーが自動招待メールを受信しなくなり、独自のメールキャンペーンを行うことができます。(この機能は SSO インテグレーションが必要です。)
-
詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。
インストール要件
-
複数のドメイン環境 (単一フォレストまたは複数のフォレストのいずれか) については、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている別の Windows サーバーを持ち、ドメイン (B) 同期に Directory Connector をインストールします。
-
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシン上の権限を持っている必要があります。マシンログイン アカウントは、ローカル マシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。(この情報は、仮想マシンのログインにも適用されます)。
-
コネクタにサインインする際に、サインイン アカウントは Control Hub のフル管理者アカウントと同じである必要があります。デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。ただし、Windows サービスを使用して、Active Directory にアクセスするための別のアカウントを設定することができます。(この情報は、仮想マシンのログインにも適用されます)。
-
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)検索モードが有効になっていることを確認します。Windows レジストリで SafeDllSearchMode を確認します。
-
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector および Active Directory ドメイン サービス/Active Directory ライトウェイト ディレクトリ サービス(AD DS/AD LDS)を別のマシンにインストールすることを推奨します。
複数のドメインの要件
Cisco Directory Connector 展開タスク フローのタスクに従う前に、複数のドメインから Active Directory 情報をクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
-
各ドメインには、Directory Connector の個別のインスタンスが必要です。
-
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホスト上で実行する必要があります。
-
Control Hub でドメインを確認または要求することをおすすめします。(「ドメインの追加、検証、要求」を参照してください。)
-
50 を超えるドメインを同期する場合は、組織を大規模な組織リストに移動させるために、チケットを開く 必要があります。
-
必要に応じて、ルーム リソース情報をユーザー アカウントと同期できます。(「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください)。
自動ライセンス割り当てに関する Active Directory グループの推奨事項
Active Directory グループは、ユーザーアカウント、コンピュータアカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。個々のユーザーとするのではなく、グループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。
Active Directory には 2 種類のグループがあります。
-
配信グループ: メール配信リストを作成するために使用されます。
-
セキュリティ グループ: 共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する際には、次のガイドラインを考慮してください。
-
各役割、部署、サービス (セールス、マーケティング、マネージャー、会計士、Webex ライセンスなど) に対してグローバルグループを作成します。
-
組織全体の標準命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。グループ名には、アクセス レベル、リソース タイプ、セキュリティ レベル、グループ スコープ、メール機能など、グループに関する詳細を含めることができます。 たとえば、グループ名「GSG_Webex_Licensing_EMEAR」は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
-
地理や管理階層など、わかりやすい方法でグループを整理します。グループの説明を使用して、グループの目的を完全に説明します。
-
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの自動ライセンス グループ テンプレートを Control Hub で定義します。詳細については、「自動ライセンス割り当てテンプレートを設定する 」を参照してください。
サイズ情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウドの間のブリッジとして機能します。そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限はありません。プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられます。
同期の速度に影響を与える要因はいくつかあります。
-
Active Directory オブジェクトの合計数。(5000 人のユーザー同期ジョブは 50,000 件までかかります。)
-
ネットワーク速度と帯域幅。
-
システムのワークロードと仕様。
50,000 人を超えるユーザを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強く推奨します。
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間の特定の時間値を提供できません。
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織で透過ウェブ プロキシを使用している場合、認証はサポートされません。コネクタはユーザーを正常に接続し、同期します。
以下のいずれか 1 つのアプローチを選択することができます。
-
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を引き継ぎます)
-
.pac ファイルを介した明示的なウェブ プロキシ (コネクタはエンタープライズ固有のプロキシ設定を継承します)
-
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するようにディレクトリ コネクタを設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 |
Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 |
2 |
コネクタがウェブ プロキシにインストールされている Windows インスタンスを指します。コネクタはこれらの Web プロキシ設定を継承します。 |
3 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
4 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。このファイルは、Web プロキシ アドレスとポート情報を提供します。Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 |
コネクタが正常に接続し、ユーザー情報を Webex クラウドに同期するには、コネクタがインストールされているホストの .pac ファイル構成で |
2 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
3 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
NTLM プロキシ
Directory Connector は NT LAN Manager (NTLM) をサポートします。NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLM デザイン
ほとんどの場合、ユーザは、クライアント PC を通じて別のワークステーションのリソースにアクセスすることを希望します。これは、安全な方法で実行するのが難しい場合があります。
一般的に、NTLM の技術的な設計は、チャレンジ
と応答
のメカニズムに基づいています。
-
ユーザは Windows アカウントとパスワードを使用してクライアント PC にサインインします。パスワードはローカルに保存されません。プレーン テキスト パスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。ユーザがパスワードを通じてクライアントにサインインすると、Windows OS は入力パスワードから保存されたハッシュ値とハッシュ値を比較します。両方が同じ場合、認証はパスされます。
ユーザが別のサーバのリソースにアクセスする場合、クライアントはアカウント名でプレーンテキストで要求を送信します。
-
サーバがリクエストを受信すると、サーバは 16 ビットランダムキーを生成します。キーは Challenge(または Nonce)と呼ばれます。サーバがクライアントに戻す前に、チャレンジはサーバに保存されます。その後、サーバーはプレーンテキストでクライアントにチャレンジを送信します。
-
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値でチャレンジを暗号化します。暗号化後、値はサーバに返されます。
-
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにドメイン コントローラに送信します。リクエストには次のものが含まれます。アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
-
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。そして、ドメインコントローラは、元のチャレンジで暗号化できます。次に、ドマンコントローラーは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。同じ場合、検証は成功します。
Windows はオペレーティング システムにセキュリティ認証を組み込み、アプリケーションがセキュリティ認証をサポートしやすくします。結果として、さらに設定を完了する必要はありません。
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 |
コネクタがユーザに接続して同期できるように、透過プロキシを展開します。 |
2 |
プロキシが成功したことを確認します。コネクタの起動時にブラウザ認証ポップアップ ウィンドウが期待されます。 |
プロキシ認証の設定
アクセス コントロール リストを作成して、許可リストに URL cloudconnector.webex.com
を追加します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 |
DNS 検索が有効になっていない場合、有効にします。 |
2 |
この接続の推定帯域幅を決定します (コネクタでは約 2 mb/秒以下)。この限りでは無いことがあります。 |
3 |
アクセス コントロール リストを作成してコネクタ ホストに適用し、許可リストに追加するターゲットとして たとえば、次のようなものです。 access-list 2000 acl-inside extended permit TCP [コネクタの IP] cloudconnector.webex.com eq https |
4 |
この ACL を、この単一コネクタ ホストにのみ適用可能な適切なファイアウォール インターフェイスに適用します。 |
5 |
所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Directory Connector を展開する
Cisco Directory Connector の展開タスク フロー
1 |
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。 Directory Connector の新規インストールについては、常に Control Hub (https://admin.webex.com) に移動してソフトウェアの最新バージョンを入手し、最新の機能とバグ修正を使用できるようにしてください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
2 |
Webex 管理者資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。 この手順を使用して、ソフトウェアが利用可能になったときにサイレントにインストールされるようにすることを推奨します。 |
4 |
同期する Active Directory オブジェクトの選択 デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。 |
5 |
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid です。 |
6 |
次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期することで、各ユーザーのアバターがアプリケーションにサインインしたときに表示されます。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 |
オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、Webex Room デバイスまたは Cisco Webex Board などのクラウド登録された会議室デバイスで検索可能なエントリとして表示されます。 |
8 |
Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この手順に従って、Webex アプリアカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降のために、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。
同期する各 Active Directory ドメインに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、単一のドメインにのみサービスを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバを通じて認証する場合は、次のプロキシ クレデンシャルがあることを確認します。
-
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後でユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシ設定も必要です。ブラウザから Web プロキシを使用するを参照してください。
-
プロキシ NTLM の場合、初めてコネクタを開くと、エラーが発生する場合があります。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
Control Hub で、 に移動し、[次へ] を選択します。 |
2 |
[ダウンロードとインストール] リンクをクリックして、コネクタのインストール .zip ファイルの最新バージョンを VMware または Windows サーバーに保存します。 .zip ファイルをこのリンクから直接取得できますが、このソフトウェアが機能するには、Control Hub 組織への完全な管理アクセス権が必要です。 新しいインストールについては、最新の機能とバグ修正を使用できるように、ソフトウェアの最新バージョンを取得してください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
3 |
VMware または Windows サーバーで、セットアップ フォルダで .msi ファイルを解凍して実行し、セットアップ ウィザードを起動します。 |
4 |
[次へ] をクリックし、ボックスにチェックを入れてライセンス契約に同意し、アカウントタイプの画面が表示されるまで [次へ] をクリックします。 |
5 |
使用するサービス アカウントのタイプを選択し、管理者アカウントでインストールを実行します。
エラーを回避するために、次の権限が設定されていることを確認してください。
|
6 |
[インストール] をクリックします。 ネットワーク テストの実行後、プロンプトが表示されたら、プロキシ基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバを再起動することをお勧めします。 ドライ ラン レポートは、データがリリースされていないときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector にサインイン
始める前に
プロキシの資格情報を持っていることを確認します。
-
プロキシ基本認証の場合、初めてコネクタを開いた後でユーザー名とパスワードを入力します。
-
プロキシ NTLM の場合は、Internet Explorer を開き、歯車アイコンをクリックし、[インターネットオプション] > [接続] > [LAN 設定] に進み、プロキシ サーバー情報が追加されていることを確認し、[OK] をクリックします。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
コネクタを開き、プロンプトが表示されたら、 |
2 |
プロンプトが表示されたら、プロキシ認証資格情報でサインインし、管理アカウントを使用して Webex にサインインし、[次へ] をクリックします。 |
3 |
組織とドメインを確認します。
|
4 |
[組織の確認] 画面が表示されたら、[確認] をクリックします。 すでに AD DS/AD LDS にバインドしている場合は、[組織の確認] 画面が表示されます。 |
5 |
[確認] をクリックします。 |
6 |
Directory Connector にバインドする Active Directory ドメインの数に応じて、1 つを選択します。
|
次に行うこと
サインインすると、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector ダッシュボード
Directory Connector に初めてサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティの概要の表示、クラウド統計の表示、ドライラン同期の実行、完全または増分同期を開始し、エラー情報を表示するためにイベント ビューを起動できます。
これらのタスクは、[アクション] ツールバーまたは [アクション] メニューから簡単に実行できます。
コンポーネント |
説明 |
---|---|
現在の同期 |
現在進行中の同期に関するステータス情報を表示します。 同期が実行されていない場合、ステータスの表示はアイドル状態になります。 |
次の同期 |
次にスケジュールされた完全同期と増分同期を表示します。 スケジュールが設定されていない場合、[スケジュールされていません] が表示されます。 |
最後の同期 |
最後に実行された 2 つの同期のステータスを表示します。 |
現在の同期ステータス |
同期の全体的なステータスを表示します。 |
コネクタ |
クラウドで使用可能な現在のオンプレミス コネクタを表示します。 |
クラウド統計 |
同期の全体的なステータスを表示します。 |
同期スケジュール |
増分同期と完全同期のための同期スケジュールを表示します。 |
設定の概要 |
設定で変更した設定が一覧表示されます。 たとえば、概要には以下が含まれる場合があります。
|
アクション | 説明 |
---|---|
増分同期を開始 |
増分同期を手動で開始 このアクションは、同期を一時停止または無効にする場合、完全な同期が完了していない場合、または同期が進行中の場合に無効になります。 |
ドライランの同期 |
ドライ ラン同期を実行します。 |
イベント ビューアを起動 |
Microsoft イベント ビューアを起動します。 |
更新 |
Cisco Directory Connector ダッシュボードを更新 |
アクション |
説明 |
---|---|
今すぐ同期 |
完全な同期をすぐに開始します。 |
同期モード |
増分同期モードまたは完全同期モードを選択します。 |
コネクタ シークレットをリセット |
Cisco Directory Connector とコネクタ サービス間の会話を確立します。 このアクションを選択すると、クラウド内の秘密がリセットされ、秘密がローカルに保存されます。 |
ドライ ラン |
同期プロセスのテストを実行します。 完全同期を行う前に、ドライ ランを実行する必要があります。 |
トラブルシューティング |
トラブルシューティングをオンまたはオフにします。 |
更新 |
Cisco Directory Connector のメイン画面を更新します。 |
終了 |
Cisco Directory Connector を終了します。 |
キーの組み合わせ |
アクション |
---|---|
Alt + A |
[アクション] メニューを表示する |
|
今すぐ同期 |
|
コネクタ シークレットをリセット |
|
ドライ ラン |
|
増分同期 |
|
完全同期 |
|
[ヘルプ] メニューを表示 |
|
ヘルプ |
|
バージョン情報 |
|
よくある質問 |
自動アップグレードの設定
1 |
Directory Connector から、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] をオンにします。 に進み、 |
2 |
[適用] をクリックして変更を保存します。 |
コネクタの新しいバージョンは利用可能になったら自動的にインストールされます。
必要に応じて、アップグレードを手動で管理できます。 詳細については、「最新のソフトウェア リリースへのアップグレード」を参照してください。
同期する Active Directory オブジェクトの選択
デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期した Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex は新規ユーザーのユーザー メンバーシップと自動ライセンス テンプレート マッピングを確認します。
LDAP フィルタを使用して、関連するグループをクラウドに同期することのみを推奨します。 たとえば、フィルタを次のように設定できます。
(&(cn=例)(objectclass=グループ))*
このフィルタは、ベースの DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、パイロットユーザーのトライアル グループを設定するためにハイブリッド データ セキュリティを使用している場合は、[グループ] をオンにする必要があります。 詳細については、「ハイブリッド データ セキュリティの展開ガイド」を参照してください。 この Directory Connector の設定は、クラウドへの他のユーザーの同期には影響しません。
1 |
Directory Connector から、[構成] に移動し、[オブジェクトの選択] をクリックします。 |
2 |
[オブジェクトタイプ] セクションで、[ユーザー] にチェックを入れ、ユーザーの検索可能なコンテナーの数を制限することを検討してください。 たとえば、特定のグループ内のユーザーのみを同期する場合は、[ユーザー] の LDAP フィルタフィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のようなフィルターを使用します。
|
3 |
[会議室の識別] にチェックを入れ、会議室データをユーザー データから分離します。 ユーザー データを会議室データとして識別するための追加の属性を設定する場合は、[カスタマイズ] をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された会議室デバイスで検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください。 |
4 |
Active Directory ユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザ同期の LDAP フィルタを追加しないでください。 グループ データ自体をクラウドに同期するには、[グループ(Groups)] フィールドのみを使用してください。 デフォルトでは、グループは新しい顧客に対して同期されません。 グループ同期を有効にする必要があります。 セキュリティ グループも同期する必要があります。 |
5 |
ユーザーの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。 Directory Connector は、コネクタによって同期された連絡先のみを管理します。 Control Hub にすでに連絡先がある場合は、同期によって連絡先は削除されません。 同期範囲から連絡先が削除された場合、ユーザーの連絡先情報も Control Hub で削除されます。 |
6 |
LDAP フィルタを設定します。 有効な LDAP フィルタを提供することにより、拡張フィルタを追加できます。 LDAP フィルタの設定の詳細については、この記事を参照してください。 |
7 |
[選択] をクリックして、[同期するオンプレミス ベース DN] を指定して、Active Directory のツリー構造を確認します。 ここから、検索するコンテナーを選択または選択解除できます。 |
8 |
この構成に追加するオブジェクトを確認し、[選択] をクリックします。 同期に使用する個別または親コンテナーを選択できます。 親コンテナーを選択して、すべての子コンテナーを有効にします。 子コンテナーを選択した場合、親コンテナーには、子コンテナーがチェックされたことを示すグレーのチェックマークが表示されます。 次に、[選択] をクリックして、チェックした Active Directory コンテナーを受け入れることができます。 組織ですべてのユーザーとグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 組織が組織単位に分割されている場合は、必ず [OU] を選択してください。 |
9 |
[適用] をクリックします。 オプションを選択します。
ドライ ランの詳細については、「Active Directory ユーザーでドライ ラン同期を行う」を参照してください。 グループ同期では、完全同期を行う必要があります。 クラウドに Active Directory ユーザーの完全な同期を行います。 |
ユーザー属性をマッピング
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid で、クラウド アイデンティティ サービスの各ユーザー アカウントの一意の識別子です。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、Active Directory で firstName lastName をマッピングしたり、クラウドで displayName にカスタム属性式をマッピングしたりできます。
Active Directory のアカウントにはメール アドレスが必要です。既定では、uid はメールの ad
フィールドにマッピングされます (sAMAccountName
ではありません)。
Active Directory から優先言語を選択した場合、Active Directory は真実の唯一のソースとなります。 ユーザーは Webex 設定で言語設定を変更できず、管理者は Control Hub の設定を変更できません。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 このページには Active Directory (左) と Webex クラウド (右) の属性名が表示されます。 必須の属性はすべて赤いアスタリスクでマークされます。 |
2 |
[Active Directory 属性名] の一番下までスクロールし、これらの Active Directory 属性の 1 つを選択して、クラウド属性 uid にマッピングします。
他の Active Directory 属性のいずれか uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 Active Directory のどの属性がクラウドで一致するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。 同期を動作させるには、選択する Active Directory 属性が電子メール形式であることを確認する必要があります。 推奨属性の 1 つを選択しない場合は、Directory Connector にポップアップが表示されます。 |
3 |
事前に定義された Active Directory 属性が展開で機能しない場合、属性ドロップダウンをクリックし、下部までスクロールして、[属性をカスタマイズ] を選択して、属性表現を定義できるウィンドウを開きます。 [ヘルプ] をクリックして、式に関する詳細を確認し、式がどのように動作するかを確認してください。 詳細については、「カスタマイズされた属性の式」を参照してください。 この例では、Active Directory 属性 Directory Connector は、アイデンティティ サービスの uid の属性値を検証し、現在のユーザー フィルター オプションで 3 人の使用可能なユーザーを取得します。 これらの 3 人のユーザーのすべてに有効なメール形式がある場合、Cisco Directory Connector には次のメッセージが表示されます。 属性が確認できない場合、次の警告が表示され、Active Directory に戻り、ユーザー データを確認および修正できます。 |
4 |
(オプション) Webex アプリのユーザーの連絡先カードにモバイル番号と職場の番号を表示する場合は、モバイルとtelephoneNumber のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号のデータが Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) の通話展開ガイド」(管理者) を参照してください。 |
5 |
追加のマッピングを選択して、連絡先カードに表示されるデータを追加します。
属性がマッピングされると、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡しようとしている相手を確認する」を参照してください。 これらの属性を各ユーザー アカウントに同期した後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーは、プロファイルでより多くの情報を共有し、お互いについて詳しく知ることができます。 機能と有効にする方法の詳細については、「Control Hub の Webex、Jabber、Webex Meetings、および Webex Events (新) の People Insights プロファイル」を参照してください。 |
6 |
選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 対応するメール アドレスが Active Directory にないユーザーは削除されます。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
Active Directory とクラウドの属性
[ユーザー属性マッピング] タブを使用して、ローカルの Active Directory からクラウド内の対応する属性に属性をマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較したものです。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンで異なる属性を選択し、どのオンプレミス属性がどのクラウド属性と同期するかを決定できます。
ドロップダウン属性は、プリセットとして考えてください。 Active Directory 行の値の代わりに、Active Directory でカスタマイズされた属性(複数の属性を持つ式)を指定して、対応する行内の単一のクラウド属性にマッピングすることもできます。 このようにして、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory の従業員名、指定された名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする Active Directory 属性のいずれかを指定することもできます。 ただし、オンプレミスの属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、ユーザーのメール アドレスがカレンダーを管理するために使用されている場合、代替のメールアドレスを使用することもできます。 この場合、別のメール アドレスを emails;type-work 属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。
Active Directory の属性名 |
Webex クラウドの属性名 |
メモ |
---|---|---|
— |
ビル名 |
— |
C |
C |
この属性は、ユーザーの国の略称を指定します。 |
部門番号 |
部門番号 |
この属性は、連絡先カードとPeople Insights に表示されるユーザーの部署番号に使用されます。 |
表示名 |
表示名 |
この属性は、Control Hub に表示されるユーザー アカウントの表示名、連絡先カード、People Insights に使用されます。 |
ユーザアカウント制御 |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl 属性が ds-pwp-account-disabled にマッピングされているか、ユーザーが適切に同期されないことを確認してください。 |
従業員番号 |
従業員番号 |
— |
ファクシミリ電話 |
ファクシミリ電話 |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス(XMPP タイプ)に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性は、ユーザの市区町村を指定します。 |
— |
ロケール |
— |
マネージャー |
マネージャー |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
モバイル |
モバイル |
この属性は、連絡先カードからユーザーに電話をかけるために表示される携帯電話番号として使用されます。 |
O |
O |
この属性は、会社または組織の名前を指定し、連絡先カードに表示されます。 |
または |
または |
この属性は、組織単位の名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性は、ユーザーのオフィス ロケーションを指定します。 |
郵便番号 |
郵便番号 |
この属性は、物理的なメール配信のためのユーザーの郵便番号または郵便番号を指定します。 |
優先言語 |
優先言語 |
この属性は、ユーザーの優先言語を設定し、次の形式がサポートされます。 xx_YY または xx-YY。 いくつかの例を以下に示します。 en_US, en_GB, fr-CA. サポートされていない言語または無効な形式を使用する場合、ユーザーの優先言語は組織の言語設定に変更されます。 |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
snさん |
snさん |
この属性は、Control Hub に表示されるユーザー アカウントの姓、連絡先カード、People Insights に使用されます。 |
セント |
セント |
この属性は、ユーザの都道府県を指定します。 |
番地 |
番地 |
この属性は、物理的なメール配信のためのユーザの番地を指定します。 |
電話番号 |
電話番号 |
この属性では、連絡先カードからユーザーに電話をかけるために使用されるユーザーのプライマリ (職場) 電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性は、ユーザーのタイムゾーンを指定します。 |
タイトル |
タイトル |
この属性では、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
企業 |
— |
*メール *userPrincipalName |
UID (uid) |
必須の属性マッピング。 各ユーザー アカウントについて、Active Directory の値はクラウドの一意の UID にマッピングされます。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 ユーザーは、正しい SAML 属性マッピングが設定されている限り、これらのメール アドレスを使用してサインインできます。 代替メール アドレスをマッピングする方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName *メール <カスタム属性> |
メール; タイプワーク |
このマッピングはオプションです。代替のメール アドレスを使用する場合に使用してください。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。 |
<Azure ユーザー objectId の新しい属性> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザー objectId を保持し、既存の属性と衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームを自動的に作成することを確認します。 |
代替メール アドレスのマッピング
カスタマイズされた属性の式
演算子 |
説明と例 |
---|---|
% |
matches が指定された場合、検索結果が代入されます。
|
- |
指定された文字列の末尾から入力文字列の背面を取り去ります。
|
+ |
入力文字列や式を連結します。
|
| |
空の文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 この手順を使用して、Active Directory 属性から生のアバター データを同期します。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[AD 属性] を選択し、クラウドに同期する未加工アバターデータを含む [アバター属性] を選択します。 |
3 |
アバターが正しくアクセスされていることを確認するには、ユーザーのメール アドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターが右側に表示されます。 |
4 |
アバターが正しく表示されたことを確認したら、[適用] をクリックして変更を保存します。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
リソース サーバーからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
-
この手順の URI パターンと変数値は例を示します。 ディレクトリ アバターが配置されている実際の URL を使用する必要があります。
-
アバター URI パターンとアバターが存在するサーバは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像への http または https アクセスを必要としますが、画像がインターネットで公的にアクセスされる必要はありません。
-
アバター データの同期は、Active Directory ユーザー プロファイルから分離されます。 プロキシを実行する場合、アバター データが NTLM 認証または基本認証によってアクセスできることを確認する必要があります。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[リソース サーバー] を選択し、[アバター URI パターン] を入力します。たとえば、 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 |
(オプション) リソース サーバーで資格情報が必要な場合は、[アバターにユーザー クレデンシャルを設定する] にチェックを入れ、[現在のサービス ログオン ユーザーを使用] または [このユーザーを使用] を選択し、パスワードを入力します。 |
4 |
変数の値を入力します。例: |
5 |
[テスト] をクリックして、アバター URI パターンが正しく機能していることを確認します。 この例では、1 つの AD エントリのメール値が |
6 |
URI 情報が確認され、正しく表示されたら、[適用] をクリックします。 正規表現の使用の詳細については、「Microsoft 正規表現言語クイックリファレンス」を参照してください。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
2 |
[会議室情報をクラウドに同期] をチェックして、同期中に会議室データをユーザー データから分離します。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 |
3 |
[属性マッピング] に移動し、クラウド属性 sipAddresses;type=enterprise の属性マッピングを変更します。 値検証を使用するには、SIP アドレスの値は Pattern.compile("^([^@])(.*)@(.*)$") である必要があります。
|
4 |
Exchange で会議室リソースメールボックスを作成します。 これは、コネクタがルームを識別するために使用する msExchResourceMetaData;ResourceType:Room 属性を追加します。 |
5 |
Active Directory のユーザーとコンピュータから、会議室のプロパティに移動して編集します。 次の sip のプレフィックスを持つ完全修飾の SIP URI を追加します。 |
6 |
ドライランの同期を実行してから、コネクタで完全実行の同期を実行します。 新しい会議室オブジェクトは [追加されたオブジェクト] にリストされ、一致した会議室オブジェクトは、ドライ ラン レポートの [一致したオブジェクト] に表示されます。 削除にフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライ ランの結果には、一致したルームリソースが表示されます。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザー データから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計には、クラウドに同期された会議室データが表示されます。 |
次に行うこと
これらの手順が完了しました。Webex クラウドに登録されたデバイスで検索すると、SIP アドレスで設定された同期された会議室エントリが表示されます。 エントリの Webex デバイスからコールを発信すると、ルームに設定された SIP アドレスにコールが発信されます。
Control Hub から、ディレクトリから会議室を自動的にインポートし、ワークスペースを作成できます。
エンドポイントでは、Webex アプリにコールバックできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスの SIP URI として、または Webex アプリ以外のどこかで登録されている必要があります。 検索する Active Directory 会議室システムが Webex に登録されており、同じメールアドレスが Webex Room デバイス、デスク デバイス、またはカレンダー サービス用の Webex Board にある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。
ディレクトリ同期結果でのメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取る人をカスタマイズできます。
1 |
Directory Connector から、[構成] をクリックし、[通知] を選択します。 |
2 |
Directory Connector から、[設定] をクリックし、[メール受信者] の隣の [レポートの同期を有効にする] をオンに切り替えます。 |
3 |
デフォルトの通知動作をオーバーライドし、1 人以上のメール受信者を追加する場合は、[通知を有効にする] をオンにします。 |
4 |
[追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 |
[メールの追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 |
入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 |
すべての有効なメールアドレスを追加したら、[適用] をクリックします。 |
8 |
すべての有効なメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メール アドレスを削除することを決定した場合、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メール アドレスを削除することを決定した場合、特定のメール アドレス エントリの隣の [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニング
これらの手順に従って、Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成します。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開(単一フォレストまたは複数のフォレストを含む)からユーザをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。
1 |
Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。 |
2 |
クラウドへの Active Directory ユーザーの完全な同期を行う 完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 |
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザーの同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップすることを推奨します。 この最初のステップの後で、個々の変更を行うこともできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。
異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector の目標は、Active Directory と Webex クラウドの間で完全に一致することです。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメインにインストールした Cisco Directory Connector インスタンスでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、すでに Control Hub に一部の Webex アプリ ユーザーがいる場合があります。 クラウド内のユーザーの中には、オンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスが割り当てられる場合があります。 ただし、同期中に削除するテストユーザーもいる場合があります。 Active Directory と Control Hub の間で完全一致を作成する必要があります。
1 |
次のいずれかを選択します。
ドライ ランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトの一致についての情報が含まれます。
ドライ ランでは、ドメイン ユーザと比較してユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属している場合、ユーザを識別できます。 次のステップでは、オブジェクトを削除するか、または保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在しているが、オンプレミスの Active Directory には存在していないとして識別されます。 |
2 |
ドライ ランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じて、オプションを選択します。
|
3 |
[ドライ ランの確認] プロンプトで、[はい] をクリックしてドライ ランの同期を再実行し、ダッシュボードを表示して結果を表示します。 ドライ ランで正常に同期されたアカウントは、[一致したオブジェクト] の下に表示されます。 クラウド内のユーザーが Active Directory に同じメールを持つ対応するユーザーを持っていない場合、エントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するために、同じメールアドレスで Active Directory にユーザーを追加できます。 同期された項目の詳細を表示するには、特定の項目または [一致したオブジェクト] の対応するタブをクリックします。 概要情報を保存するには、[結果をファイルに保存] をクリックします。 |
4 |
結果が予想される場合は、[今すぐ有効にする] をクリックして手動同期を実行し、この時点で手動モードにします。 に移動し、複数ドメイン展開で最後の Active Directory ドメインで同期を行った後、Directory Connector の自動モードを有効にする必要があります。 自動モードを有効にできるのは、オブジェクトが Webex クラウドとすべてのオンプレミスのアクティブ ディレクトリの間で完全に一致している場合のみです。 |
次に行うこと
-
保持した不一致のユーザー オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、それらを Active Directory に追加する必要があります。
-
同期タイプを選択:
-
新しいユーザーを最初にクラウドに同期するときに、クラウドに Active Directory ユーザーの完全な同期を行う。 から行い、現在のドメインのユーザーが同期されます。
-
デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。 増分同期は、最初に完全同期を実行するまで実行されません。
-
-
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意事項
-
完全な同期を有効にする前に、または同期パラメータを変更する場合は、ドライ ランを実行します。 ドライ ランが設定変更によって開始された場合は、ドライ ランの完了後に設定を保存できます。 すでにユーザーを手動で追加している場合、Active Directory の同期を実行すると前に追加したユーザーが削除されます。 クラウドに完全に同期する前に、Directory Connector のドライ ラン レポートを確認して、すべてのユーザーが存在することを確認できます。
-
一致するユーザーが削除するようにマークされ、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」でトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
クラウドへの Active Directory ユーザーの完全な同期を行う
完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合は、各 Active Directory ドメインにインストールした Directory Connector インスタンスでこの手順を実行する必要があります。
Directory Connector はユーザーアカウントの状態を同期します。Active Directory では、無効とマークされているすべてのユーザーもクラウドで非アクティブとして表示されます。
始める前に
-
完全同期後、およびユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにするには、次の手順を実行してメール検証をバイパスする必要があります。
-
シングル サインオンを Webex 組織と統合します。 参照
Cisco Webex サービスと組織の ID プロバイダーによるシングル サインオン
を参照してください。 -
Control Hub を使用して、メール アドレスに含まれるドメインを確認し、必要に応じて要求します。 参照
ドメインの追加、検証、要求
. -
自動招待メールを抑制して、新規ユーザーが Webex アプリへの自動招待メールを受信しないようにします。(独自のメール キャンペーンを実行できます。)
サインインしていないアクティベート済みユーザーは、Control Hub で [確認済み] ステータスで表示されます。 サインインすると、[アクティブ] として表示されます。 ユーザー ステータスの詳細については、「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
-
-
同期を有効にすると、Directory Connector が最初にドライ ランを実行するように求めます。 潜在的なエラーをキャッチするために、完全同期の前にドライ ランを実行することを推奨します。
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 無料アカウントを持つユーザーと同じ無料機能を使用できます。
1 |
次のいずれかを選択します。
|
2 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
3 |
同期を開始したことを確認します。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。 次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
|
4 |
同期のステータスを更新する場合は、[更新] をクリックします。 (同期された項目は [クラウド統計] の下に表示されます。) |
5 |
エラーに関する情報については、[イベント ビューアの起動] を [アクション] ツールバーから選択してエラーログを表示します。 |
6 |
クラウドへの継続的な増分同期のための同期スケジュールを設定するには、「コネクタ スケジュールを設定する」および「増分同期を実行する」を参照してください。 |
-
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [運用] にディレクトリ同期のステータスが更新されます。
-
すべてのデータがオンプレミスとクラウドの間で照合されると、Directory Connector は手動モードから自動同期モードに変更されます。
-
シングル サインオンを統合、ドメインの確認、オプションで同期したメール アカウントのドメインの要求、および自動メールを抑制しない限り、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは未確認の状態のままになります。 アクティブ ユーザーとしてアカウントを同期する方法については、「開始する前に」のセクションを参照してください。
-
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
-
シングル サインオンを Webex と統合し、抑制されたメール通知がある場合、招待メールは新しく同期されたユーザーに送信されません。
-
Directory Connector を有効にした後は、Control Hub でユーザーを手動で追加できません。 有効にすると、ユーザー管理は Cisco Directory Connector から実行され、Active Directory が信頼できる唯一の情報源となります。
-
同期したグループが Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
-
Active Directory からユーザーを削除すると、そのユーザーは次の同期後にソフトで削除されます。 ユーザーは [非アクティブ] になりますが、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にします)。
Active Directory で [アカウントが無効になっています] にチェックを入れると、次の同期後、ユーザーは [非アクティブ] になります。 ユーザーを再度有効にする場合は、クラウド ID プロファイルは 7 日後に削除されません。
-
これらの例外を増加同期に注意してください (代わりに上記の完全同期手順に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルタ、アバター設定での設定変更には完全同期が必要です。
-
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる
Cisco Directory Connector から Control Hub へのフルユーザーの同期が完了したら、Control Hub を使用して同じ Webex サービス ライセンスをすべてのユーザーに一度に割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合、新規ユーザーにライセンスを追加したりできます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Directory Connector から Control Hub への完全なユーザーの同期が完了したら、Control Hub のメソッドを使用して、Webex サービス ライセンスをすべてのユーザー、個々のユーザー、一括 CSV テンプレートを通じてグローバルに割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合は新規ユーザーに自動的に割り当てることができます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Webex アプリユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 メールは Control Hub の通知サービスから送信されます。 シングル サインオン (SSO) を Webex 組織と統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制することもできます。
始める前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
-
Active Directory ユーザーでドライランの同期を行います。
-
ドライ ランの結果を確認した後、Active Directory ユーザーで完全同期を行います。
完全同期の時点で、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されない場合、CSV インポート、ユーザーの手動更新、自動割り当て完了など、Control Hub の標準的なユーザー管理方法によってユーザーにサービスを割り当てると、新規ユーザーはアクティベーション メールを受け取ります。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ユーザーの管理] をクリックし、[すべての同期済みユーザーを変更] を選択し、[次へ] をクリックします。 |
2 |
オプションを選択します。 |
次に行うこと
-
メールが抑制されない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
-
すべてのユーザーに対して同じ Webex サービスを選択した場合、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
-
2012 R2 以前の Windows Server バージョンには、Directory Connector に影響するクッキーの問題があります。 この問題は、バージョン 2012 R2 および 2016 で修正されています。
-
Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
-
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索して発信すると、この時点でコールは無制限に鳴ります。
Webex アプリのユーザーの管理
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。そして、それら変更をまとめて、コネクター サービスに送信します変更には、ユーザー属性の変更と、ユーザーが追加または削除された場合が含まれます。
この同期では、サーバーに負荷がかかるわけではなく、完全同期ほど時間がかかります。最初の完全同期を行った後、その後の同期に増分オプションを推奨します。
開始する前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップ する必要があります。
-
増分同期がサポートされていないこれらの例外に注意してください (代わりに、「クラウドに Active Directory ユーザーの完全な同期を行う 」に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルター、アバター設定の新しい構成変更の場合、増分同期は機能せず、完全同期が必要です。
-
1 |
Directory Connector から [ダッシュボード] をクリックします。 同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 |
2 |
[アクション] から、まだ有効になっていない場合は、[同期モード] > [同期を有効にする] をクリックします。 デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。増分同期は、最初に完全同期を実行するまで実行されません。新しい増分時間間隔が終了すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 |
3 |
[アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
|
4 |
エラーに関する情報については、[アクション] ツールバーから [イベント ビューアの起動] をクリックして、エラー ログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーを復元する
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。ソフト削除機能は、これらの事故から回復し、Control Hub でユーザー アカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織で有効になっています。たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しないため、クラウドでユーザーが削除されると、ユーザーは復元できます。一致しないオブジェクトが通知されたり、ユーザーが削除されたことに気づいた場合、迅速に行動すると復元できる場合があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。バックグラウンド クラウド サービスは、ユーザーを最大 7 日間保持します。この期間中も、Cisco Directory Connector を使用してユーザーを復元できます。これらのユーザーをできるだけ早く復元することをお勧めします。
Active Directory で無効になっているユーザーは、Control Hub で非アクティブとしてマークされますが、ユーザー アカウントは 7 日後に削除されません。
1 | |
2 |
[ユーザー] に移動し、特定のユーザー アカウントが非アクティブ状態であるか、非公開であるかを確認します。 詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。 |
3 |
ユーザーが Control Hub で削除された場合、または非アクティブ状態のユーザーが見つかった場合は、Active Directory に移動し、欠落しているユーザーアカウントを追加してから、Directory Connector でドライラン同期を実行します。 Directory Connector の目標は、Active Directory とクラウドのユーザー情報間で完全一致を作成することです。 |
4 |
完全同期を実行して、一時的に削除されたユーザー アカウントを Control Hub に再同期します。 ユーザーは復元され、アカウント ステータスとサービスの割り当てを含む元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
に進み、以前に削除されたユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザを完全に削除
ドライ ランを実行した後、次の同期でソフトで削除されたユーザを完全に削除できます。
1 |
ドライ ランが完了したら、[ソフト削除済みオブジェクト] を選択します。 |
2 |
削除するユーザの横にあるチェックボックスをオンにします。 |
3 |
[完了] を選択します。 |
次に行うこと
次の同期で、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合、Active Directory でそれらのメール アドレスを変更します。この手順では、単一ドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
メールまたは一部の値を 1 人のユーザーに対してのみ変更する場合は、Active Directory からユーザーを削除してから、同じメールで新しいユーザーを再作成しないでください。クラウドはこのアクションを新しいユーザー アカウントとして解釈すると、ユーザーのスペースとクラウド内のその他のデータは失われます。
Directory Connector はメール ドメインの変更を制限しません。ただし、ユーザーがクラウドに再同期すると、ユーザーの状態は、組織で新しいドメインが検証されているかどうかによって異なります。組織でドメインが確認されていない場合、フル同期後にユーザーのステータスは [保留中] に変更されます。詳細については、「ドメインを管理する」を参照してください。
組織が Directory Connector を使用していない場合、アカウント設定ページからWebex アプリのメール アドレスを変更できます。ユーザーがメールを変更するための手順については、「アカウントのメール アドレスを変更する 」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。クラウド内のアイデンティティ サービスと同期します。
1 |
新規 Active Directory (AD) ドメインをセットアップします。 |
2 |
すべてのコネクタで同期を無効にします。 |
3 |
すべてのコネクタをアンインストールします。 |
4 |
送信する場合は、ドメイン設定と組織内のすべての同期属性の削除をリクエストしてください。 ドメインを変更するためにケースを開く前に、実行中の同期がないことを確認してください。ケースが解決されるまで、Active Directory のユーザー メール アドレスを変更しないでください。 |
5 |
本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメインの要求は、組織のメール ドメインを要求し、サイドボーディングされたアカウントが無料の消費者組織ではなく、有料顧客組織で作成されるように、組織のメール ドメインを要求する場合に発生します。ドメイン要求は、サポート ケースを通じてのみ行えます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織内で作成されません。Active Directory から組織のアカウントをプロビジョニングできるのは、Directory Connector のみです。Active Directory に保存された情報はオリジナルソースです。アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、最初に Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織で無料の Webex アプリ ユーザーを変換する
一意のメール アドレスは Webex アプリ ディレクトリでのみ使用できます。ユーザーが無料バージョンの Webex アプリにサインアップしている場合、そのアカウントは無料消費者組織に存在しています。Directory Connector を使用してこの組織のユーザーを管理するには、Directory Connector をオンにする前に、顧客組織にユーザーを移行 (変換) します。次に、ユーザーを正確なメールアドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ 変換できませんでした
が表示されます。この問題を回避するには、以下の手順を回避策として使用することができます。
一部の要求されたユーザーは、ドライ ランの実行時に movedfrom
属性が表示される場合があります。これらのユーザーは MismatchedObject
の代わりに [削除済みオブジェクト]
リストに表示されます。組織に移動する場合は、これらのユーザーを AD リストに追加する必要があります。
これらのユーザーを追加しない場合、クラウドに同期する隣にあるすべてのユーザーが削除されます。
1 |
Directory Connector からのディレクトリ同期を無効化する。 |
2 |
「Control Hub でライセンスなしのユーザーを変換する」 手順に従って、無料のコンシューマー組織からエンタープライズ組織にユーザーを変換します。 この手順により、ユーザーを組織に追加し、アカウントが Control Hub に表示されます。Directory Connector は、Active Directory をユーザー アカウントの信頼できる唯一の情報源にします。目標は、Active Directory と Control Hub を正確に一致させることです。同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 |
3 |
Directory Connector で、ドライラン同期を実行します。ドライランの完了後、[オブジェクトの追加] タブを確認します。自分が変換したユーザーが削除されていないか確認する。 同期を再有効化する前にドライランを実行して、変換されたユーザーアカウントが Active Directory に表示されるようにする必要があります。同期をオンにし、アカウントが Control Hub にのみ存在する場合、Directory Connector は大文字と小文字を区別し、一致しないメール アドレスで検出された変換されたユーザー (user1@example.com および User1@example.com など) を削除します。 変換されたユーザーが削除されると、Webex アプリのスペースはすべて失われます。 |
4 |
次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしでディレクトリ コネクタをオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリ ユーザー アカウント
Webex アプリのスペースに別のユーザーを招待すると、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボーディング」)。既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリ同期を実行した後で、ユーザー名は の形式で表示されます。
このユーザー名は、Active Directory の displayName
属性がこのように設定されている場合に表示されます。属性がクラウドの displayName
にマッピングされると、Control Hub で名前が の形式で表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性 givenName sn
(または sn givenName
) を Cisco Cloud 属性名の displayName
にマッピングします。
または、属性 sn givenName
を displayName
にマッピングします。
独自のカスタム属性式を displayName
にマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。
たとえば、式として givenName + "" + sn
(名、スペース、姓) を入力します。これにより、Active Directory の 2 つの属性がクラウドの displayName
にマッピングされます。
ユーザーが Webex Meetings での表示名の変更を許可する
ユーザーが好みの表示名を編集できるようにする場合は、Directory Connector でクラウドに同期する displayName
属性のマッピングを解除できます。ユーザーは、名と姓の代わりに、Webex ミーティング中に表示する表示名を入力できます。管理者は、Control Hub で手動でユーザーの表示名を変更することもできます。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 |
2 |
[Cisco Cloud 属性名] で [displayName] を選択します。 |
3 |
[この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集することができるようになりました。
Directory Connector のトラブルューティング
最新のソフトウェア リリースへのアップグレード
展開をコンプライアンスに保ち、最新の機能、機能、バグ修正、セキュリティ強化を入手するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件をサポートしていないバージョンを使用しているなど、問題が発生する場合があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。問題を回避するには、常に最新バージョンにアップグレードします。Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェア アップデートの更新を手動でインストールできますが、[自動アップグレードの設定] の手順に従って、アプリがアップグレードを自動的に管理できるようにすることを推奨します。
1 |
Windows タスクバーで通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 |
手順に従ってアップグレードを完了します。 |
3 |
コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
でソフトウェアのバージョン番号を確認します。 |
次に行うこと
Directory Connector の新規インストールについては、 zip ファイルをダウンロード してから、このガイドのインストール手順に従ってください。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 |
Directory Connector から、[構成] に移動し、[全般] をクリックします。 |
2 |
[コネクタ名] フィールドに、コネクタ名を入力します。このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 |
3 |
ドロップダウン メニューからログ レベルを選択します。既定では、ログレベルは「情報」にセットされています。使用可能なログレベルは以下の通りです。
これらの設定は、電子メールで送信される同期レポートに影響します。ログ レベルを [エラー(Error)] に設定した場合、同期レポートでエラーのみが報告されます。エラーが存在しない場合、同期レポートは送信されません。設定を [情報] に変更すると、完全同期後に同期レポートを受信します。(増分同期では、エラーが報告されない場合、レポートは送信されないことに注意してください)。 |
4 |
[優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 |
5 |
自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。この設定にチェックを入れると、ソフトウェアへの自動アップグレードが利用可能になったときにサイレントにインストールされることを推奨します。 |
6 |
[LDAP over SSL] をチェックして、セキュアな LDAP (LDAPS) を接続プロトコルとして使用します。 LDAP over SSL をオンにしない場合、Directory Connector は引き続き LDAP 接続プロトコルを使用します。 LDAP (Lightweight Directory Application Protocol) および Secure LDAP (LDAPS) は、アプリケーションとインフラストラクチャ内のドメイン コントローラの間で使用される接続プロトコルです。LDAPS 通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、削除しきい値トリガー値として 1
を設定します。完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。[しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 |
Directory Connector から、[構成] をクリックし、[ポリシー] を選択します。 |
2 |
しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。削除の回数が定義した値を越えると、同期は失敗します。
|
3 |
自分が行う削除の最大数を入力します。既定では 20 です。 弊社は既定値を上げないことを推奨します。 |
4 |
適用をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。高可用性 (HA) にはフェイルオーバーが使用されます。コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 |
Directory Connector から、[構成] をクリックし、[スケジュール] を選択します。 |
2 |
増分同期インターバルを分に指定します。 既定では、増分同期は 30 分おきに実行するようセットされています。完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 |
レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 |
[完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 |
[フェイルオーバー間隔]を「分」で指定します。 |
6 |
[適用] をクリックします。 |
複数ドメイン シナリオ
複数のドメインはドメインの優先順位に基づいています。異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
-
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
-
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
-
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
-
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、https://admin.webex.comにリストされます。
新しいドメインを同期し既存のドメインを保持する
別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている Windows サーバーのドメイン (B) 同期に Directory Connector をインストールします。最初のセットアップ後、コネクタは新しいドメインをバインドし、ドメイン (A) の下のユーザー情報に影響が出ないままになります。
すべてのドメインには独自のアクティブ コネクタがあります。以下のセットアップについては、2 つのドメインを考慮します: domain A with connectors (ca1) and (ca2) for local high availability (HA); domain B with connector (cb1). (ca1)and (ca2) serve domain A. In this scenario, one connector is active and the other is standby (HA). この設計では、1 つのコネクタが常にアクティブであるため、ドメインは同期されているままになります。そのため、ドメイン A にはすでにアクティブなコネクタがあるため (ca1 または ca2)、cb1 はドメイン B のアクティブ コネクタです
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
開始する前に
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。https://admin.webex.com からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 |
3 |
リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。 ドメインは、上から下まで、優先順位でソートされます。 |
ドメインを切り替える
Cisco Directory Connector を別のドメインに再バインドするには、次の手順を使用します。
開始する前に
-
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
-
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。Control Hub からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 |
警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタの他のドメインは登録解除され、そのコンピューターのコネクタ情報は削除されます。 |
4 |
Cisco Directory Connector に再度サインインし、ドメインを再バインドします。 |
ディレクトリ同期を無効にする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、次のいずれかを選択します。
|
2 |
指示を読んだ後、[オフにする] をクリックします。 同期は、Directory Connector から再有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。属性マッピングを削除すると、属性値はクラウドから削除され、Webex に同期されなくなります。これらの値は、手動で編集できます。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[属性名] リストから削除するマッピングを選択します。 |
4 |
[影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 |
[適用] をクリックします。 |
プロファイル画像の管理
Directory Connector を使用して、ユーザー プロファイルの写真を更新するか、空白のユーザー プロファイルの写真を削除します。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[アクション] で次のいずれかを選択します。
|
4 |
[適用] をクリックします。 |
Directory Connector をアンインストールして非アクティブ化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
-
ディレクトリ同期化をこれ以上使いたくなくなった。
-
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
-
ドメインを変更して、別のコネクタをインストールしたい。
開始する前に
-
高可用性 (HA) または複数のドメインの同期のために、Directory Connector の複数のインスタンスがセットアップされている場合があります。唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
-
Directory Connector をアンインストールする前に、重要な作業を保存して閉じてください。
1 |
Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 |
プログラムリストから、[Directory Connector] をクリックし、[アンインストール] を選択し、プロンプトに従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、[詳細] |
4 |
指示を読んだ後、[非アクティブ化] をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールの実行
組み込みの診断ツールを使用して、Directory Connector 展開のトラブルシューティングを行うことができます。このツールは Directory Connector 3.4 以降の一部としてインストールされます。
同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Ciso Directory Connector の問題をトラブルシューティング
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する場合があります。また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題を記載したメール レポートを送信する場合があります。発生する可能性のある問題、考えられる原因、およびサポートに連絡する前に試すことができる解決策については、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が動作していないことを知らせる警告メールを受信しました。
-
Directory Connector が正しくインストールされていない可能性があります。
-
Directory Connector が実行されていない可能性があります。
-
ネットワークは使用できない可能性があります。
以下の作業を行います。
-
を開きます。Directory Connector を検索します。存在しない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
-
[サービス] を開き、Cisco DirSync Service を見つけます。ステータスが [開始] として表示されていることを確認します。サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
-
Directory Connector をインストールしたサーバーにインターネットへのアクセス権があることを確認してください。
再インストールエラー
問題: 古いコネクタをアンインストールした後、すぐに新しいコネクタをインストールすると、エラー メッセージが表示される場合があります。
考えられる原因: Windows Server 2012 では、アンインストールクライアントはサービス リストからサービス アカウントを削除するのに時間を必要とします。
解決策: 時間が経過したら、もう一度インストールをお試しください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュ
問題
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュする場合があります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
-
ドメイン コントローラに移動し、グループ ポリシー管理 (gpedit.msc) を開きます。
-
特定の OU またはドメインを右クリックし、[このドメインで GPO を作成] を選択し、[ここにリンク...
-
ポリシーに名前を付けて、右クリックして [編集] を選択します。
マシン レベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
変更は、gpupdate /force
を実行した後、マシンが再起動した後 (マシン変更の場合)、またはユーザーが再びサインインした後 (ユーザー変更の場合)、有効になります。
Cisco DirSync Service Connector を登録できませんでした
問題
サインインに失敗すると、「Cisco DirSync Service Connector が登録できませんでした」というメッセージが表示されます。
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題
Directory Connector を開くと、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
-
Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に移動します。Chrome や Firefox などの他のブラウザでリンクをお試しください。
-
Internet Explorer がリンクにアクセスできないが、他のブラウザがアクセスできない場合は、Internet Explorer の設定をチェックし、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする 手順を使用します。)
サインインプロンプトが表示されます
問題
ユーザ名とパスワードを入力して認証を渡すように要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインイン アカウントで NTLM セキュリティ認証をサイレントに完了します。認証に失敗した場合、ダイアログがポップアップして、認証ユーザ名とパスワードを要求します。
対処方法
サインイン ポップアップ ウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題
通常の操作中に、「リモートサーバーに接続できません」というエラーメッセージが表示されます。
考えられる原因
プロキシの問題を解決する必要がある問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービス アカウント サインインの問題をトラブルシューティング 」を参照してください。
コネクタを登録できません
問題
「コネクタを登録できません。一般的な例外が発生しました」。
考えられる原因
ほとんどの場合、問題は、Directory Connector が LDAP ルートコンテキストに接続する権限を持っていないためです。
対処方法
以下の作業を行います。
-
コマンド プロンプト (cmd) を実行し、ldp.exe を入力します。
-
[現在ログインしているユーザーとしてバインド] を選択し、[OK] をクリックします。
をクリックし、 -
[OK] をクリックします。
をクリックし、BaseDN として [DC=arbonneintl,DC=ad] を入力し、 -
問題が継続する場合、サポートでケースを開きます。
同期
アバターが同期されていません
問題
Cisco Directory Connector がユーザー AD データを Webex クラウドに同期しました。ただし、正常に同期されたアバター データはありません。
考えられる原因
既存のアバター サーバを再使用し、ユーザ アバターがすでに同期されている場合、ローカル キャッシュによりキャプチャされ、再送信が回避され、帯域幅が節約されます。
対処方法
次の手順に従って、ローカル キャッシュを削除します。
-
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\ に移動します。
-
DirSyncPluginAvatar.dll-cache.bin を削除します。
-
Cisco Directory Connector からアバターの同期を再実行します。
競合するユーザー メール アカウント
問題
同期結果に競合するユーザー メール アカウントが表示される場合があります。
-
ユーザーが Webex アプリの無料バージョンを試した場合、メール アドレスは無料コンシューマー組織内に存在します。
-
ユーザーのメールが別の組織で同期されたことがない場合。
-
ユーザーのメールが組織に属する複数のドメインに存在する場合。
対処方法
以下の作業を行います。
-
ユーザーを要求する場合は、次の手順に従います。
-
Control Hub でドメインを確認済みしていることを確認します。
-
Cisco Directory Connector を一時的に無効にします。
-
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在する可能性があるアカウントを申請します。詳細については、「ユーザーを組織に要求する (ユーザーの変換) 」を参照してください。
-
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再度有効にします
-
-
最後のケースでは、Active Directory ソースのユーザー データをダブルチェックします。
非アクティブとしてマークされた変換ユーザー
問題
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、そのユーザーはセキュリティ コンプライアンス メジャーとして 30 日間非アクティブ ステータスとしてマークされます。この期間中は、ユーザーは Webex アプリにサインインできず、30 日間の期間終了時に削除対象としてマークされます。この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除しない場合は、アクションを実行する必要があります。この問題を解決するには、変換された無料ユーザー アカウントに対応するオンプレミスの Active Directory でユーザー アカウントを作成します。次に、Cisco Directory Connector から同期を実行します。その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期が失敗する
問題
増分同期に失敗しました。
この問題は、次の条件で Windows Server 2008 R2 で発生する場合があります。
-
増分値の更新をサポートします。
-
使用するフィルタは、リンクされた値属性を参照します。
-
その属性の結果値は、前回完全な同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されました。Windows Server を少なくとも 2012 R2 にアップグレードすることを推奨します。
属性の値が無効です
問題
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com の場合、属性 [電話番号] には次の無効な値があります。+ この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。警告メッセージの記述に従ってこの値を修正してください。再度同期を行います。
削除される一致したユーザー
問題
一致したユーザーは削除対象としてマークされます。
ドライ ラン同期を実行して Active Directory とクラウド間のデータを確認する場合、両方に同じメール アドレスが表示される場合があります。ただし、ユーザーは削除するオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
-
ユーザーを削除してライセンスを再実行しても問題ない場合は、修正のために Directory Connector を使用できます。同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
-
ユーザー アカウントを削除して再作成できない場合は、サポートでケースを開きます。
属性がありません
問題
オンプレミスのエントリ [user dn (distinguished name)] を追加する場合に必要な属性 [attribute_name]。すべての必須属性に値が設定されるまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加すると、すべての必須属性が値になるまで、エントリは Control Hub で作成されません。
対処方法
ユーザー [user_email_address] に必要な属性の 1 つがありません。そのユーザーに必要な値を提供してください。
ネストされたグループが同期されません
問題
ネストされた Active Directory グループのユーザーは、クラウドに適切に同期されません。
考えられる原因
子グループと親グループの両方を含むフィルタが使用され、サポートされていません。たとえば、次のようなものです。(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。たとえば、次のようなものです。|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザー名の競合
問題
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。[user email address]、およびユーザータイプ [user_type]。
考えられる原因
そのメール アドレスを使用するユーザーはすでに Control Hub に存在しています。
対処方法
Control Hub を通じて登録したアカウントと同じメール アドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub でユーザー リストが見つかりません
問題
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
検索機能を使用してユーザーアカウントを検索できます。Control Hub で、[ユーザー] に移動し、検索 をクリックし、検索条件を入力して特定のユーザーを見つけます。
グループは Control Hub に同期されません
問題
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは Active Directory で isCriticalSystemObject
としてタグ付けされません。
対処方法
Active Directory で属性 isCriticalSystemObject
が TRUE
に設定されていることを確認してください。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
ログ ファイル: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
|
2 |
サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 |
3 |
Directory Connector で、[ダッシュボード] をクリックします。 |
4 |
[アクション] に移動し、 をクリックします。 |
5 |
トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 |
6 |
ログ ファイルを確認します。ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。 ログ フォルダーは過去 3 日間のファイルのみを保存します。ログ ファイルのコンテンツは、システムへのイベント ログ出力と一致しています。 |
7 |
必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 |
8 |
完了後は、トラブルシューティング機能を無効にしてください。 |
イベントビュアーを開始
完全もしくは増加同期中に発生したイベントを確認するには、イベントビューを開始します。管理イベントとエラーログの概要が表示されます。
1 |
Directory Connector から [ダッシュボード] に移動し、 をクリックします。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 |
イベント ビューアから、 に移動します。 |
3 |
[アクション] の下で、[すべてのイベントに名前を付けて保存] をクリックして、すべてのログを 1 つの Events ファイル (*.evtx)、または xml や csv などの別の形式としてエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明し、ケースに Events ファイルを添付してください。
イベント ログではユーザー アクションをキャプチャします。ネットワーク トラフィックの管理については、コネクタでトラブルシューティングを有効にします。
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えると、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
-
サービスへのログオンでエラーが発生しました
-
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 |
Internet Explorer を開き、[ツール] を選択します。今すぐ有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じて、再度開きます |
2 |
[インターネット オプション] をクリックし、[詳細] に進み、[セキュリティ] までスクロールします。 |
3 |
[TLS 1.1 を使用する] および [TLS 1.2 を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 |
変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco Directory Connector にサインインできない、または同期を実行できない場合は、サポートに連絡する前に、これらの手順を使用して問題を解決してください。
1 |
ウェブ ブラウザーの https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に行きます。 |
2 |
結果によりますが、1 つを選択します。
|
3 |
少なくとも、Cisco DirSync サービス(Windows サービスで確認できる)に設定されたアカウントに、アバター データと AD データにアクセスできる特権レベルがあることを確認してください。デフォルトでは、サービスは Windows ログイン アカウントの資格情報と認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
Cisco Directory Connector の概要
ディレクトリ コネクタの概要
Directory Connector は、クラウドへの ID 同期のためのオンプレミス アプリケーションです。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、ユーザー アカウントとデータを Active Directory に保存できるため、Active Directory が信頼できる唯一の情報源となります。オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、利点を参照します。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードは、同期スケジュールの概要と、同期の状況、Directory Connector のステータスを提供します。サインインしていつでもダッシュボードを表示できます。 |
クラウドに同期する前にドライ ランを行う | クラウドに実装する前に、ディレクトリへの変更のドライ ランを実行します。レポートを実行し、望む変更が期待するものであるか確認します。 |
完全および増加同期 | ディレクトリ全体を同期します。または増加変更のみを同期し、処理電源に保存して、同期時間を短くします。 |
複数のドメイン (単一フォレストまたは複数のフォレスト) を同期します |
Directory Connector は、単一のフォレスト、または複数のフォレスト (AD LDS を必要としない) のどちらかで複数のドメインをサポートします。複数の Active Directory ドメインを持つ企業の場合、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドし、各ユーザー ベースを Webex に同期できます。Control Hub は、複数の Directory Connector の同期状態を表示することで、ステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を非アクティブ化できます。 |
スケジュールされた同期 | 日、時間、分で同期のスケジュールを設定できます。 |
Lightweight フィルター Access Protocol (LDAP) フィルター | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory の属性を対応する Webex クラウド属性にマッピングします。Active Directory の設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソースの SIP アドレス、その他のユーザー連絡先カード データ (役職、部署、マネージャなど) など、クラウド内のさまざまなデータをフォームします。 |
オンプレミスの会議室リソースと Webex ライセンスのない Cisco Webex Calling (Cloud PSTN) ユーザーおよびエンタープライズの連絡先の企業ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの会議室デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューアー | イベント ビューアーを使用して、同期に問題があるか確認します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、Active Directory への接続をテストします。 Directory Connector でトラブルシューティングを有効にすると、ログが書き込まれてテクニカル サポートに送信されます。 |
自動アップグレード | Directory Connector をインストールした後、新しいソフトウェアのバージョンが利用可能になると通知が送信されます。新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用できるように自動アップグレードを設定できます。 |
高可用性 | メインのコネクタやマシンのホスティングがダウンした場合のために、バックアップを作成するため、複数のコネクタを構成します。 |
Directory Connector は、三つの領域に分けられます:
-
Control Hub は、Webex 組織のあらゆる面を管理できる単一のインターフェイスです。ユーザーがエンタープライズ ID プロバイダを通して認証し、Webex アプリの招待メールを送信しない場合は、ユーザーを表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO) の設定 を行います。
-
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。複数のアクティブ ディレクトリ ドメインについて、同期する各ドメインにソフトウェアのインスタントを 1 つインストールできます。ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持ち込み、同期ステータスを表示および監視し、Directory Connector サービスを設定することができます。
-
ディレクトリ同期サービス は、Active Directory をクエリして、同期するユーザーとグループをコネクタサービスと Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、次の図を参照してください。
Directory Connector のための環境の準備
Directory Connector の要件
Windows および Active Directory の要件
次のサポートされている Windows サーバーに Directory Connector をインストールできます。
-
Windows サーバー 2022
-
Windows Server 2019
-
Windows Server 2016
Cookie の問題を解決するには、ドメインコントローラを Windows Server 2012 R2 または 2016 という修正を含むリリースにアップグレードすることを推奨します。
Directory Connector は、次の Active Directory サービスでサポートされています。
-
Active Directory 2016 年
(Directory Connector は、Windows Server 2019 で最新バージョンの Active Directory を使用する場合にサポートされます)
-
Active Directory 2012 年
-
Active Directory 2008 R2
-
Active Directory 2008 年
次の追加要件に注意してください。
-
Directory Connector には TLS1.2 が必要です。以下をインストールする必要があります。
-
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。問題が発生した場合は、「 ロールと機能の追加ウィザードを使用して .NET Framework 3.5 を有効にする」の手順を使用します。)
-
.NET Framework v.4.5 (TLS1.2 に必要)
-
-
アクティブ ディレクトリ forest 機能レベル 2 (Windows Server 2003) またはそれ以降が必要です。(詳細については、「アクティブ ディレクトリの機能レベルとは?」を参照してください。)
ハードウェアの要件
次の最小ハードウェア要件を持つコンピュータに Directory Connector をインストールする必要があります。
-
8 GB の RAM
-
50 GB のストレージ
-
CPU の最低条件はありません
ネットワーク要件
ネットワークがファイアウォールの背後にある場合は、システムでインターネットへの HTTPS (ポート 443) アクセスがあることを確認してください。
Webex 組織の要件
-
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
-
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにする場合は、次の操作を行うことを推奨します。
-
クラウドに同期するユーザーのメールアドレスを含むドメインの追加、検証、およびオプションで要求 します。
-
ID プロバイダー (IdP) と Webex 組織のシングル サインオン (SSO) インテグレーション を行います。
-
自動招待メールを抑制することで、新規ユーザーが自動招待メールを受信しなくなり、独自のメールキャンペーンを行うことができます。(この機能は SSO インテグレーションが必要です。)
-
詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。
インストール要件
-
複数のドメイン環境 (単一フォレストまたは複数のフォレストのいずれか) については、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている別の Windows サーバーを持ち、ドメイン (B) 同期に Directory Connector をインストールします。
-
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシン上の権限を持っている必要があります。マシンログイン アカウントは、ローカル マシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。(この情報は、仮想マシンのログインにも適用されます)。
-
コネクタにサインインする際に、サインイン アカウントは Control Hub のフル管理者アカウントと同じである必要があります。デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。ただし、Windows サービスを使用して、Active Directory にアクセスするための別のアカウントを設定することができます。(この情報は、仮想マシンのログインにも適用されます)。
-
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)検索モードが有効になっていることを確認します。Windows レジストリで SafeDllSearchMode を確認します。
-
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector および Active Directory ドメイン サービス/Active Directory ライトウェイト ディレクトリ サービス(AD DS/AD LDS)を別のマシンにインストールすることを推奨します。
複数のドメインの要件
Cisco Directory Connector 展開タスク フローのタスクに従う前に、複数のドメインから Active Directory 情報をクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
-
各ドメインには、Directory Connector の個別のインスタンスが必要です。
-
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホスト上で実行する必要があります。
-
Control Hub でドメインを確認または要求することをおすすめします。(「ドメインの追加、検証、要求」を参照してください。)
-
50 を超えるドメインを同期する場合は、組織を大規模な組織リストに移動させるために、チケットを開く 必要があります。
-
必要に応じて、ルーム リソース情報をユーザー アカウントと同期できます。(「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください)。
自動ライセンス割り当てに関する Active Directory グループの推奨事項
Active Directory グループは、ユーザーアカウント、コンピュータアカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。個々のユーザーとするのではなく、グループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。
Active Directory には 2 種類のグループがあります。
-
配信グループ: メール配信リストを作成するために使用されます。
-
セキュリティ グループ: 共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する際には、次のガイドラインを考慮してください。
-
各役割、部署、サービス (セールス、マーケティング、マネージャー、会計士、Webex ライセンスなど) に対してグローバルグループを作成します。
-
組織全体の標準命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。グループ名には、アクセス レベル、リソース タイプ、セキュリティ レベル、グループ スコープ、メール機能など、グループに関する詳細を含めることができます。 たとえば、グループ名「GSG_Webex_Licensing_EMEAR」は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
-
地理や管理階層など、わかりやすい方法でグループを整理します。グループの説明を使用して、グループの目的を完全に説明します。
-
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの自動ライセンス グループ テンプレートを Control Hub で定義します。詳細については、「自動ライセンス割り当てテンプレートを設定する 」を参照してください。
サイズ情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウドの間のブリッジとして機能します。そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限はありません。プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられます。
同期の速度に影響を与える要因はいくつかあります。
-
Active Directory オブジェクトの合計数。(5000 人のユーザー同期ジョブは 50,000 件までかかります。)
-
ネットワーク速度と帯域幅。
-
システムのワークロードと仕様。
50,000 人を超えるユーザを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強く推奨します。
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間の特定の時間値を提供できません。
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織で透過ウェブ プロキシを使用している場合、認証はサポートされません。コネクタはユーザーを正常に接続し、同期します。
以下のいずれか 1 つのアプローチを選択することができます。
-
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を引き継ぎます)
-
.pac ファイルを介した明示的なウェブ プロキシ (コネクタはエンタープライズ固有のプロキシ設定を継承します)
-
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するようにディレクトリ コネクタを設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 |
Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 |
2 |
コネクタがウェブ プロキシにインストールされている Windows インスタンスを指します。コネクタはこれらの Web プロキシ設定を継承します。 |
3 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
4 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。このファイルは、Web プロキシ アドレスとポート情報を提供します。Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 |
コネクタが正常に接続し、ユーザー情報を Webex クラウドに同期するには、コネクタがインストールされているホストの .pac ファイル構成で |
2 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
3 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
NTLM プロキシ
Directory Connector は NT LAN Manager (NTLM) をサポートします。NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLM デザイン
ほとんどの場合、ユーザは、クライアント PC を通じて別のワークステーションのリソースにアクセスすることを希望します。これは、安全な方法で実行するのが難しい場合があります。
一般的に、NTLM の技術的な設計は、チャレンジ
と応答
のメカニズムに基づいています。
-
ユーザは Windows アカウントとパスワードを使用してクライアント PC にサインインします。パスワードはローカルに保存されません。プレーン テキスト パスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。ユーザがパスワードを通じてクライアントにサインインすると、Windows OS は入力パスワードから保存されたハッシュ値とハッシュ値を比較します。両方が同じ場合、認証はパスされます。
ユーザが別のサーバのリソースにアクセスする場合、クライアントはアカウント名でプレーンテキストで要求を送信します。
-
サーバがリクエストを受信すると、サーバは 16 ビットランダムキーを生成します。キーは Challenge(または Nonce)と呼ばれます。サーバがクライアントに戻す前に、チャレンジはサーバに保存されます。その後、サーバーはプレーンテキストでクライアントにチャレンジを送信します。
-
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値でチャレンジを暗号化します。暗号化後、値はサーバに返されます。
-
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにドメイン コントローラに送信します。リクエストには次のものが含まれます。アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
-
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。そして、ドメインコントローラは、元のチャレンジで暗号化できます。次に、ドマンコントローラーは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。同じ場合、検証は成功します。
Windows はオペレーティング システムにセキュリティ認証を組み込み、アプリケーションがセキュリティ認証をサポートしやすくします。結果として、さらに設定を完了する必要はありません。
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 |
コネクタがユーザに接続して同期できるように、透過プロキシを展開します。 |
2 |
プロキシが成功したことを確認します。コネクタの起動時にブラウザ認証ポップアップ ウィンドウが期待されます。 |
プロキシ認証の設定
アクセス コントロール リストを作成して、許可リストに URL cloudconnector.webex.com
を追加します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 |
DNS 検索が有効になっていない場合、有効にします。 |
2 |
この接続の推定帯域幅を決定します (コネクタでは約 2 mb/秒以下)。この限りでは無いことがあります。 |
3 |
アクセス コントロール リストを作成してコネクタ ホストに適用し、許可リストに追加するターゲットとして たとえば、次のようなものです。 access-list 2000 acl-inside extended permit TCP [コネクタの IP] cloudconnector.webex.com eq https |
4 |
この ACL を、この単一コネクタ ホストにのみ適用可能な適切なファイアウォール インターフェイスに適用します。 |
5 |
所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Directory Connector を展開する
Cisco Directory Connector の展開タスク フロー
1 |
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。 Directory Connector の新規インストールについては、常に Control Hub (https://admin.webex.com) に移動してソフトウェアの最新バージョンを入手し、最新の機能とバグ修正を使用できるようにしてください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
2 |
Webex 管理者資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。 この手順を使用して、ソフトウェアが利用可能になったときにサイレントにインストールされるようにすることを推奨します。 |
4 |
同期する Active Directory オブジェクトの選択 デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。 |
5 |
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid です。 |
6 |
次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期することで、各ユーザーのアバターがアプリケーションにサインインしたときに表示されます。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 |
オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、Webex Room デバイスまたは Cisco Webex Board などのクラウド登録された会議室デバイスで検索可能なエントリとして表示されます。 |
8 |
Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この手順に従って、Webex アプリアカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降のために、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。
同期する各 Active Directory ドメインに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、単一のドメインにのみサービスを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバを通じて認証する場合は、次のプロキシ クレデンシャルがあることを確認します。
-
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後でユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシ設定も必要です。ブラウザから Web プロキシを使用するを参照してください。
-
プロキシ NTLM の場合、初めてコネクタを開くと、エラーが発生する場合があります。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
Control Hub で、 に移動し、[次へ] を選択します。 |
2 |
[ダウンロードとインストール] リンクをクリックして、コネクタのインストール .zip ファイルの最新バージョンを VMware または Windows サーバーに保存します。 .zip ファイルをこのリンクから直接取得できますが、このソフトウェアが機能するには、Control Hub 組織への完全な管理アクセス権が必要です。 新しいインストールについては、最新の機能とバグ修正を使用できるように、ソフトウェアの最新バージョンを取得してください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
3 |
VMware または Windows サーバーで、セットアップ フォルダで .msi ファイルを解凍して実行し、セットアップ ウィザードを起動します。 |
4 |
[次へ] をクリックし、ボックスにチェックを入れてライセンス契約に同意し、アカウントタイプの画面が表示されるまで [次へ] をクリックします。 |
5 |
使用するサービス アカウントのタイプを選択し、管理者アカウントでインストールを実行します。
エラーを回避するために、次の権限が設定されていることを確認してください。
|
6 |
[インストール] をクリックします。 ネットワーク テストの実行後、プロンプトが表示されたら、プロキシ基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバを再起動することをお勧めします。 ドライ ラン レポートは、データがリリースされていないときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector にサインイン
始める前に
プロキシの資格情報を持っていることを確認します。
-
プロキシ基本認証の場合、初めてコネクタを開いた後でユーザー名とパスワードを入力します。
-
プロキシ NTLM の場合は、Internet Explorer を開き、歯車アイコンをクリックし、[インターネットオプション] > [接続] > [LAN 設定] に進み、プロキシ サーバー情報が追加されていることを確認し、[OK] をクリックします。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
コネクタを開き、プロンプトが表示されたら、 |
2 |
プロンプトが表示されたら、プロキシ認証資格情報でサインインし、管理アカウントを使用して Webex にサインインし、[次へ] をクリックします。 |
3 |
組織とドメインを確認します。
|
4 |
[組織の確認] 画面が表示されたら、[確認] をクリックします。 すでに AD DS/AD LDS にバインドしている場合は、[組織の確認] 画面が表示されます。 |
5 |
[確認] をクリックします。 |
6 |
Directory Connector にバインドする Active Directory ドメインの数に応じて、1 つを選択します。
|
次に行うこと
サインインすると、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector ダッシュボード
Directory Connector に初めてサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティの概要の表示、クラウド統計の表示、ドライラン同期の実行、完全または増分同期を開始し、エラー情報を表示するためにイベント ビューを起動できます。
これらのタスクは、[アクション] ツールバーまたは [アクション] メニューから簡単に実行できます。
コンポーネント |
説明 |
---|---|
現在の同期 |
現在進行中の同期に関するステータス情報を表示します。 同期が実行されていない場合、ステータスの表示はアイドル状態になります。 |
次の同期 |
次にスケジュールされた完全同期と増分同期を表示します。 スケジュールが設定されていない場合、[スケジュールされていません] が表示されます。 |
最後の同期 |
最後に実行された 2 つの同期のステータスを表示します。 |
現在の同期ステータス |
同期の全体的なステータスを表示します。 |
コネクタ |
クラウドで使用可能な現在のオンプレミス コネクタを表示します。 |
クラウド統計 |
同期の全体的なステータスを表示します。 |
同期スケジュール |
増分同期と完全同期のための同期スケジュールを表示します。 |
設定の概要 |
設定で変更した設定が一覧表示されます。 たとえば、概要には以下が含まれる場合があります。
|
アクション | 説明 |
---|---|
増分同期を開始 |
増分同期を手動で開始 このアクションは、同期を一時停止または無効にする場合、完全な同期が完了していない場合、または同期が進行中の場合に無効になります。 |
ドライランの同期 |
ドライ ラン同期を実行します。 |
イベント ビューアを起動 |
Microsoft イベント ビューアを起動します。 |
更新 |
Cisco Directory Connector ダッシュボードを更新 |
アクション |
説明 |
---|---|
今すぐ同期 |
完全な同期をすぐに開始します。 |
同期モード |
増分同期モードまたは完全同期モードを選択します。 |
コネクタ シークレットをリセット |
Cisco Directory Connector とコネクタ サービス間の会話を確立します。 このアクションを選択すると、クラウド内の秘密がリセットされ、秘密がローカルに保存されます。 |
ドライ ラン |
同期プロセスのテストを実行します。 完全同期を行う前に、ドライ ランを実行する必要があります。 |
トラブルシューティング |
トラブルシューティングをオンまたはオフにします。 |
更新 |
Cisco Directory Connector のメイン画面を更新します。 |
終了 |
Cisco Directory Connector を終了します。 |
キーの組み合わせ |
アクション |
---|---|
Alt + A |
[アクション] メニューを表示する |
|
今すぐ同期 |
|
コネクタ シークレットをリセット |
|
ドライ ラン |
|
増分同期 |
|
完全同期 |
|
[ヘルプ] メニューを表示 |
|
ヘルプ |
|
バージョン情報 |
|
よくある質問 |
自動アップグレードの設定
1 |
Directory Connector から、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] をオンにします。 に進み、 |
2 |
[適用] をクリックして変更を保存します。 |
コネクタの新しいバージョンは利用可能になったら自動的にインストールされます。
必要に応じて、アップグレードを手動で管理できます。 詳細については、「最新のソフトウェア リリースへのアップグレード」を参照してください。
同期する Active Directory オブジェクトの選択
デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期した Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex は新規ユーザーのユーザー メンバーシップと自動ライセンス テンプレート マッピングを確認します。
LDAP フィルタを使用して、関連するグループをクラウドに同期することのみを推奨します。 たとえば、フィルタを次のように設定できます。
(&(cn=例)(objectclass=グループ))*
このフィルタは、ベースの DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、パイロットユーザーのトライアル グループを設定するためにハイブリッド データ セキュリティを使用している場合は、[グループ] をオンにする必要があります。 詳細については、「ハイブリッド データ セキュリティの展開ガイド」を参照してください。 この Directory Connector の設定は、クラウドへの他のユーザーの同期には影響しません。
1 |
Directory Connector から、[構成] に移動し、[オブジェクトの選択] をクリックします。 |
2 |
[オブジェクトタイプ] セクションで、[ユーザー] にチェックを入れ、ユーザーの検索可能なコンテナーの数を制限することを検討してください。 たとえば、特定のグループ内のユーザーのみを同期する場合は、[ユーザー] の LDAP フィルタフィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のようなフィルターを使用します。
|
3 |
[会議室の識別] にチェックを入れ、会議室データをユーザー データから分離します。 ユーザー データを会議室データとして識別するための追加の属性を設定する場合は、[カスタマイズ] をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された会議室デバイスで検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください。 |
4 |
Active Directory ユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザ同期の LDAP フィルタを追加しないでください。 グループ データ自体をクラウドに同期するには、[グループ(Groups)] フィールドのみを使用してください。 デフォルトでは、グループは新しい顧客に対して同期されません。 グループ同期を有効にする必要があります。 セキュリティ グループも同期する必要があります。 |
5 |
ユーザーの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。 Directory Connector は、コネクタによって同期された連絡先のみを管理します。 Control Hub にすでに連絡先がある場合は、同期によって連絡先は削除されません。 同期範囲から連絡先が削除された場合、ユーザーの連絡先情報も Control Hub で削除されます。 |
6 |
LDAP フィルタを設定します。 有効な LDAP フィルタを提供することにより、拡張フィルタを追加できます。 LDAP フィルタの設定の詳細については、この記事を参照してください。 |
7 |
[選択] をクリックして、[同期するオンプレミス ベース DN] を指定して、Active Directory のツリー構造を確認します。 ここから、検索するコンテナーを選択または選択解除できます。 |
8 |
この構成に追加するオブジェクトを確認し、[選択] をクリックします。 同期に使用する個別または親コンテナーを選択できます。 親コンテナーを選択して、すべての子コンテナーを有効にします。 子コンテナーを選択した場合、親コンテナーには、子コンテナーがチェックされたことを示すグレーのチェックマークが表示されます。 次に、[選択] をクリックして、チェックした Active Directory コンテナーを受け入れることができます。 組織ですべてのユーザーとグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 組織が組織単位に分割されている場合は、必ず [OU] を選択してください。 |
9 |
[適用] をクリックします。 オプションを選択します。
ドライ ランの詳細については、「Active Directory ユーザーでドライ ラン同期を行う」を参照してください。 グループ同期では、完全同期を行う必要があります。 クラウドに Active Directory ユーザーの完全な同期を行います。 |
ユーザー属性をマッピング
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid で、クラウド アイデンティティ サービスの各ユーザー アカウントの一意の識別子です。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、Active Directory で firstName lastName をマッピングしたり、クラウドで displayName にカスタム属性式をマッピングしたりできます。
Active Directory のアカウントにはメール アドレスが必要です。既定では、uid はメールの ad
フィールドにマッピングされます (sAMAccountName
ではありません)。
Active Directory から優先言語を選択した場合、Active Directory は真実の唯一のソースとなります。 ユーザーは Webex 設定で言語設定を変更できず、管理者は Control Hub の設定を変更できません。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 このページには Active Directory (左) と Webex クラウド (右) の属性名が表示されます。 必須の属性はすべて赤いアスタリスクでマークされます。 |
2 |
[Active Directory 属性名] の一番下までスクロールし、これらの Active Directory 属性の 1 つを選択して、クラウド属性 uid にマッピングします。
他の Active Directory 属性のいずれか uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 Active Directory のどの属性がクラウドで一致するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。 同期を動作させるには、選択する Active Directory 属性が電子メール形式であることを確認する必要があります。 推奨属性の 1 つを選択しない場合は、Directory Connector にポップアップが表示されます。 |
3 |
事前に定義された Active Directory 属性が展開で機能しない場合、属性ドロップダウンをクリックし、下部までスクロールして、[属性をカスタマイズ] を選択して、属性表現を定義できるウィンドウを開きます。 [ヘルプ] をクリックして、式に関する詳細を確認し、式がどのように動作するかを確認してください。 詳細については、「カスタマイズされた属性の式」を参照してください。 この例では、Active Directory 属性 Directory Connector は、アイデンティティ サービスの uid の属性値を検証し、現在のユーザー フィルター オプションで 3 人の使用可能なユーザーを取得します。 これらの 3 人のユーザーのすべてに有効なメール形式がある場合、Cisco Directory Connector には次のメッセージが表示されます。 属性が確認できない場合、次の警告が表示され、Active Directory に戻り、ユーザー データを確認および修正できます。 |
4 |
(オプション) Webex アプリのユーザーの連絡先カードにモバイル番号と職場の番号を表示する場合は、モバイルとtelephoneNumber のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号のデータが Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) の通話展開ガイド」(管理者) を参照してください。 |
5 |
追加のマッピングを選択して、連絡先カードに表示されるデータを追加します。
属性がマッピングされると、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡しようとしている相手を確認する」を参照してください。 これらの属性を各ユーザー アカウントに同期した後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーは、プロファイルでより多くの情報を共有し、お互いについて詳しく知ることができます。 機能と有効にする方法の詳細については、「Control Hub の Webex、Jabber、Webex Meetings、および Webex Events (新) の People Insights プロファイル」を参照してください。 |
6 |
選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 対応するメール アドレスが Active Directory にないユーザーは削除されます。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
Active Directory とクラウドの属性
[ユーザー属性マッピング] タブを使用して、ローカルの Active Directory からクラウド内の対応する属性に属性をマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較したものです。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンで異なる属性を選択し、どのオンプレミス属性がどのクラウド属性と同期するかを決定できます。
ドロップダウン属性は、プリセットとして考えてください。 Active Directory 行の値の代わりに、Active Directory でカスタマイズされた属性(複数の属性を持つ式)を指定して、対応する行内の単一のクラウド属性にマッピングすることもできます。 このようにして、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory の従業員名、指定された名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする Active Directory 属性のいずれかを指定することもできます。 ただし、オンプレミスの属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、ユーザーのメール アドレスがカレンダーを管理するために使用されている場合、代替のメールアドレスを使用することもできます。 この場合、別のメール アドレスを emails;type-work 属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。
Active Directory の属性名 |
Webex クラウドの属性名 |
メモ |
---|---|---|
— |
ビル名 |
— |
C |
C |
この属性は、ユーザーの国の略称を指定します。 |
部門番号 |
部門番号 |
この属性は、連絡先カードとPeople Insights に表示されるユーザーの部署番号に使用されます。 |
表示名 |
表示名 |
この属性は、Control Hub に表示されるユーザー アカウントの表示名、連絡先カード、People Insights に使用されます。 |
ユーザアカウント制御 |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl 属性が ds-pwp-account-disabled にマッピングされているか、ユーザーが適切に同期されないことを確認してください。 |
従業員番号 |
従業員番号 |
— |
ファクシミリ電話 |
ファクシミリ電話 |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス(XMPP タイプ)に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性は、ユーザの市区町村を指定します。 |
— |
ロケール |
— |
マネージャー |
マネージャー |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
モバイル |
モバイル |
この属性は、連絡先カードからユーザーに電話をかけるために表示される携帯電話番号として使用されます。 |
O |
O |
この属性は、会社または組織の名前を指定し、連絡先カードに表示されます。 |
または |
または |
この属性は、組織単位の名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性は、ユーザーのオフィス ロケーションを指定します。 |
郵便番号 |
郵便番号 |
この属性は、物理的なメール配信のためのユーザーの郵便番号または郵便番号を指定します。 |
優先言語 |
優先言語 |
この属性は、ユーザーの優先言語を設定し、次の形式がサポートされます。 xx_YY または xx-YY。 いくつかの例を以下に示します。 en_US, en_GB, fr-CA. サポートされていない言語または無効な形式を使用する場合、ユーザーの優先言語は組織の言語設定に変更されます。 |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
snさん |
snさん |
この属性は、Control Hub に表示されるユーザー アカウントの姓、連絡先カード、People Insights に使用されます。 |
セント |
セント |
この属性は、ユーザの都道府県を指定します。 |
番地 |
番地 |
この属性は、物理的なメール配信のためのユーザの番地を指定します。 |
電話番号 |
電話番号 |
この属性では、連絡先カードからユーザーに電話をかけるために使用されるユーザーのプライマリ (職場) 電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性は、ユーザーのタイムゾーンを指定します。 |
タイトル |
タイトル |
この属性では、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
企業 |
— |
*メール *userPrincipalName |
UID (uid) |
必須の属性マッピング。 各ユーザー アカウントについて、Active Directory の値はクラウドの一意の UID にマッピングされます。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 ユーザーは、正しい SAML 属性マッピングが設定されている限り、これらのメール アドレスを使用してサインインできます。 代替メール アドレスをマッピングする方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName *メール <カスタム属性> |
メール; タイプワーク |
このマッピングはオプションです。代替のメール アドレスを使用する場合に使用してください。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。 |
<Azure ユーザー objectId の新しい属性> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザー objectId を保持し、既存の属性と衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームを自動的に作成することを確認します。 |
代替メール アドレスのマッピング
カスタマイズされた属性の式
演算子 |
説明と例 |
---|---|
% |
matches が指定された場合、検索結果が代入されます。
|
- |
指定された文字列の末尾から入力文字列の背面を取り去ります。
|
+ |
入力文字列や式を連結します。
|
| |
空の文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 この手順を使用して、Active Directory 属性から生のアバター データを同期します。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[AD 属性] を選択し、クラウドに同期する未加工アバターデータを含む [アバター属性] を選択します。 |
3 |
アバターが正しくアクセスされていることを確認するには、ユーザーのメール アドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターが右側に表示されます。 |
4 |
アバターが正しく表示されたことを確認したら、[適用] をクリックして変更を保存します。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
リソース サーバーからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
-
この手順の URI パターンと変数値は例を示します。 ディレクトリ アバターが配置されている実際の URL を使用する必要があります。
-
アバター URI パターンとアバターが存在するサーバは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像への http または https アクセスを必要としますが、画像がインターネットで公的にアクセスされる必要はありません。
-
アバター データの同期は、Active Directory ユーザー プロファイルから分離されます。 プロキシを実行する場合、アバター データが NTLM 認証または基本認証によってアクセスできることを確認する必要があります。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[リソース サーバー] を選択し、[アバター URI パターン] を入力します。たとえば、 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 |
(オプション) リソース サーバーで資格情報が必要な場合は、[アバターにユーザー クレデンシャルを設定する] にチェックを入れ、[現在のサービス ログオン ユーザーを使用] または [このユーザーを使用] を選択し、パスワードを入力します。 |
4 |
変数の値を入力します。例: |
5 |
[テスト] をクリックして、アバター URI パターンが正しく機能していることを確認します。 この例では、1 つの AD エントリのメール値が |
6 |
URI 情報が確認され、正しく表示されたら、[適用] をクリックします。 正規表現の使用の詳細については、「Microsoft 正規表現言語クイックリファレンス」を参照してください。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
2 |
[会議室情報をクラウドに同期] をチェックして、同期中に会議室データをユーザー データから分離します。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 |
3 |
[属性マッピング] に移動し、クラウド属性 sipAddresses;type=enterprise の属性マッピングを変更します。 値検証を使用するには、SIP アドレスの値は Pattern.compile("^([^@])(.*)@(.*)$") である必要があります。
|
4 |
Exchange で会議室リソースメールボックスを作成します。 これは、コネクタがルームを識別するために使用する msExchResourceMetaData;ResourceType:Room 属性を追加します。 |
5 |
Active Directory のユーザーとコンピュータから、会議室のプロパティに移動して編集します。 次の sip のプレフィックスを持つ完全修飾の SIP URI を追加します。 |
6 |
ドライランの同期を実行してから、コネクタで完全実行の同期を実行します。 新しい会議室オブジェクトは [追加されたオブジェクト] にリストされ、一致した会議室オブジェクトは、ドライ ラン レポートの [一致したオブジェクト] に表示されます。 削除にフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライ ランの結果には、一致したルームリソースが表示されます。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザー データから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計には、クラウドに同期された会議室データが表示されます。 |
次に行うこと
これらの手順が完了しました。Webex クラウドに登録されたデバイスで検索すると、SIP アドレスで設定された同期された会議室エントリが表示されます。 エントリの Webex デバイスからコールを発信すると、ルームに設定された SIP アドレスにコールが発信されます。
Control Hub から、ディレクトリから会議室を自動的にインポートし、ワークスペースを作成できます。
エンドポイントでは、Webex アプリにコールバックできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスの SIP URI として、または Webex アプリ以外のどこかで登録されている必要があります。 検索する Active Directory 会議室システムが Webex に登録されており、同じメールアドレスが Webex Room デバイス、デスク デバイス、またはカレンダー サービス用の Webex Board にある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。
ディレクトリ同期結果でのメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取る人をカスタマイズできます。
1 |
Directory Connector から、[構成] をクリックし、[通知] を選択します。 |
2 |
Directory Connector から、[設定] をクリックし、[メール受信者] の隣の [レポートの同期を有効にする] をオンに切り替えます。 |
3 |
デフォルトの通知動作をオーバーライドし、1 人以上のメール受信者を追加する場合は、[通知を有効にする] をオンにします。 |
4 |
[追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 |
[メールの追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 |
入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 |
すべての有効なメールアドレスを追加したら、[適用] をクリックします。 |
8 |
すべての有効なメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メール アドレスを削除することを決定した場合、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メール アドレスを削除することを決定した場合、特定のメール アドレス エントリの隣の [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニング
これらの手順に従って、Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成します。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開(単一フォレストまたは複数のフォレストを含む)からユーザをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。
1 |
Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。 |
2 |
クラウドへの Active Directory ユーザーの完全な同期を行う 完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 |
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザーの同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップすることを推奨します。 この最初のステップの後で、個々の変更を行うこともできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。
異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector の目標は、Active Directory と Webex クラウドの間で完全に一致することです。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメインにインストールした Cisco Directory Connector インスタンスでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、すでに Control Hub に一部の Webex アプリ ユーザーがいる場合があります。 クラウド内のユーザーの中には、オンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスが割り当てられる場合があります。 ただし、同期中に削除するテストユーザーもいる場合があります。 Active Directory と Control Hub の間で完全一致を作成する必要があります。
1 |
次のいずれかを選択します。
ドライ ランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトの一致についての情報が含まれます。
ドライ ランでは、ドメイン ユーザと比較してユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属している場合、ユーザを識別できます。 次のステップでは、オブジェクトを削除するか、または保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在しているが、オンプレミスの Active Directory には存在していないとして識別されます。 |
2 |
ドライ ランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じて、オプションを選択します。
|
3 |
[ドライ ランの確認] プロンプトで、[はい] をクリックしてドライ ランの同期を再実行し、ダッシュボードを表示して結果を表示します。 ドライ ランで正常に同期されたアカウントは、[一致したオブジェクト] の下に表示されます。 クラウド内のユーザーが Active Directory に同じメールを持つ対応するユーザーを持っていない場合、エントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するために、同じメールアドレスで Active Directory にユーザーを追加できます。 同期された項目の詳細を表示するには、特定の項目または [一致したオブジェクト] の対応するタブをクリックします。 概要情報を保存するには、[結果をファイルに保存] をクリックします。 |
4 |
結果が予想される場合は、[今すぐ有効にする] をクリックして手動同期を実行し、この時点で手動モードにします。 に移動し、複数ドメイン展開で最後の Active Directory ドメインで同期を行った後、Directory Connector の自動モードを有効にする必要があります。 自動モードを有効にできるのは、オブジェクトが Webex クラウドとすべてのオンプレミスのアクティブ ディレクトリの間で完全に一致している場合のみです。 |
次に行うこと
-
保持した不一致のユーザー オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、それらを Active Directory に追加する必要があります。
-
同期タイプを選択:
-
新しいユーザーを最初にクラウドに同期するときに、クラウドに Active Directory ユーザーの完全な同期を行う。 から行い、現在のドメインのユーザーが同期されます。
-
デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。 増分同期は、最初に完全同期を実行するまで実行されません。
-
-
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意事項
-
完全な同期を有効にする前に、または同期パラメータを変更する場合は、ドライ ランを実行します。 ドライ ランが設定変更によって開始された場合は、ドライ ランの完了後に設定を保存できます。 すでにユーザーを手動で追加している場合、Active Directory の同期を実行すると前に追加したユーザーが削除されます。 クラウドに完全に同期する前に、Directory Connector のドライ ラン レポートを確認して、すべてのユーザーが存在することを確認できます。
-
一致するユーザーが削除するようにマークされ、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」でトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
クラウドへの Active Directory ユーザーの完全な同期を行う
完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合は、各 Active Directory ドメインにインストールした Directory Connector インスタンスでこの手順を実行する必要があります。
Directory Connector はユーザーアカウントの状態を同期します。Active Directory では、無効とマークされているすべてのユーザーもクラウドで非アクティブとして表示されます。
始める前に
-
完全同期後、およびユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにするには、次の手順を実行してメール検証をバイパスする必要があります。
-
シングル サインオンを Webex 組織と統合します。 参照
Cisco Webex サービスと組織の ID プロバイダーによるシングル サインオン
を参照してください。 -
Control Hub を使用して、メール アドレスに含まれるドメインを確認し、必要に応じて要求します。 参照
ドメインの追加、検証、要求
. -
自動招待メールを抑制して、新規ユーザーが Webex アプリへの自動招待メールを受信しないようにします。(独自のメール キャンペーンを実行できます。)
サインインしていないアクティベート済みユーザーは、Control Hub で [確認済み] ステータスで表示されます。 サインインすると、[アクティブ] として表示されます。 ユーザー ステータスの詳細については、「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
-
-
同期を有効にすると、Directory Connector が最初にドライ ランを実行するように求めます。 潜在的なエラーをキャッチするために、完全同期の前にドライ ランを実行することを推奨します。
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 無料アカウントを持つユーザーと同じ無料機能を使用できます。
1 |
次のいずれかを選択します。
|
2 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
3 |
同期を開始したことを確認します。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。 次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
|
4 |
同期のステータスを更新する場合は、[更新] をクリックします。 (同期された項目は [クラウド統計] の下に表示されます。) |
5 |
エラーに関する情報については、[イベント ビューアの起動] を [アクション] ツールバーから選択してエラーログを表示します。 |
6 |
クラウドへの継続的な増分同期のための同期スケジュールを設定するには、「コネクタ スケジュールを設定する」および「増分同期を実行する」を参照してください。 |
-
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [運用] にディレクトリ同期のステータスが更新されます。
-
すべてのデータがオンプレミスとクラウドの間で照合されると、Directory Connector は手動モードから自動同期モードに変更されます。
-
シングル サインオンを統合、ドメインの確認、オプションで同期したメール アカウントのドメインの要求、および自動メールを抑制しない限り、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは未確認の状態のままになります。 アクティブ ユーザーとしてアカウントを同期する方法については、「開始する前に」のセクションを参照してください。
-
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
-
シングル サインオンを Webex と統合し、抑制されたメール通知がある場合、招待メールは新しく同期されたユーザーに送信されません。
-
Directory Connector を有効にした後は、Control Hub でユーザーを手動で追加できません。 有効にすると、ユーザー管理は Cisco Directory Connector から実行され、Active Directory が信頼できる唯一の情報源となります。
-
同期したグループが Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
-
Active Directory からユーザーを削除すると、そのユーザーは次の同期後にソフトで削除されます。 ユーザーは [非アクティブ] になりますが、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にします)。
Active Directory で [アカウントが無効になっています] にチェックを入れると、次の同期後、ユーザーは [非アクティブ] になります。 ユーザーを再度有効にする場合は、クラウド ID プロファイルは 7 日後に削除されません。
-
これらの例外を増加同期に注意してください (代わりに上記の完全同期手順に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルタ、アバター設定での設定変更には完全同期が必要です。
-
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる
Cisco Directory Connector から Control Hub へのフルユーザーの同期が完了したら、Control Hub を使用して同じ Webex サービス ライセンスをすべてのユーザーに一度に割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合、新規ユーザーにライセンスを追加したりできます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Directory Connector から Control Hub への完全なユーザーの同期が完了したら、Control Hub のメソッドを使用して、Webex サービス ライセンスをすべてのユーザー、個々のユーザー、一括 CSV テンプレートを通じてグローバルに割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合は新規ユーザーに自動的に割り当てることができます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Webex アプリユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 メールは Control Hub の通知サービスから送信されます。 シングル サインオン (SSO) を Webex 組織と統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制することもできます。
始める前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
-
Active Directory ユーザーでドライランの同期を行います。
-
ドライ ランの結果を確認した後、Active Directory ユーザーで完全同期を行います。
完全同期の時点で、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されない場合、CSV インポート、ユーザーの手動更新、自動割り当て完了など、Control Hub の標準的なユーザー管理方法によってユーザーにサービスを割り当てると、新規ユーザーはアクティベーション メールを受け取ります。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ユーザーの管理] をクリックし、[すべての同期済みユーザーを変更] を選択し、[次へ] をクリックします。 |
2 |
オプションを選択します。 |
次に行うこと
-
メールが抑制されない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
-
すべてのユーザーに対して同じ Webex サービスを選択した場合、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
-
2012 R2 以前の Windows Server バージョンには、Directory Connector に影響するクッキーの問題があります。 この問題は、バージョン 2012 R2 および 2016 で修正されています。
-
Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
-
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索して発信すると、この時点でコールは無制限に鳴ります。
Webex アプリのユーザーの管理
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。そして、それら変更をまとめて、コネクター サービスに送信します変更には、ユーザー属性の変更と、ユーザーが追加または削除された場合が含まれます。
この同期では、サーバーに負荷がかかるわけではなく、完全同期ほど時間がかかります。最初の完全同期を行った後、その後の同期に増分オプションを推奨します。
開始する前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップ する必要があります。
-
増分同期がサポートされていないこれらの例外に注意してください (代わりに、「クラウドに Active Directory ユーザーの完全な同期を行う 」に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルター、アバター設定の新しい構成変更の場合、増分同期は機能せず、完全同期が必要です。
-
1 |
Directory Connector から [ダッシュボード] をクリックします。 同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 |
2 |
[アクション] から、まだ有効になっていない場合は、[同期モード] > [同期を有効にする] をクリックします。 デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。増分同期は、最初に完全同期を実行するまで実行されません。新しい増分時間間隔が終了すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 |
3 |
[アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
|
4 |
エラーに関する情報については、[アクション] ツールバーから [イベント ビューアの起動] をクリックして、エラー ログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーを復元する
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。ソフト削除機能は、これらの事故から回復し、Control Hub でユーザー アカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織で有効になっています。たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しないため、クラウドでユーザーが削除されると、ユーザーは復元できます。一致しないオブジェクトが通知されたり、ユーザーが削除されたことに気づいた場合、迅速に行動すると復元できる場合があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。バックグラウンド クラウド サービスは、ユーザーを最大 7 日間保持します。この期間中も、Cisco Directory Connector を使用してユーザーを復元できます。これらのユーザーをできるだけ早く復元することをお勧めします。
Active Directory で無効になっているユーザーは、Control Hub で非アクティブとしてマークされますが、ユーザー アカウントは 7 日後に削除されません。
1 | |
2 |
[ユーザー] に移動し、特定のユーザー アカウントが非アクティブ状態であるか、非公開であるかを確認します。 詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。 |
3 |
ユーザーが Control Hub で削除された場合、または非アクティブ状態のユーザーが見つかった場合は、Active Directory に移動し、欠落しているユーザーアカウントを追加してから、Directory Connector でドライラン同期を実行します。 Directory Connector の目標は、Active Directory とクラウドのユーザー情報間で完全一致を作成することです。 |
4 |
完全同期を実行して、一時的に削除されたユーザー アカウントを Control Hub に再同期します。 ユーザーは復元され、アカウント ステータスとサービスの割り当てを含む元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
に進み、以前に削除されたユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザを完全に削除
ドライ ランを実行した後、次の同期でソフトで削除されたユーザを完全に削除できます。
1 |
ドライ ランが完了したら、[ソフト削除済みオブジェクト] を選択します。 |
2 |
削除するユーザの横にあるチェックボックスをオンにします。 |
3 |
[完了] を選択します。 |
次に行うこと
次の同期で、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合、Active Directory でそれらのメール アドレスを変更します。この手順では、単一ドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
メールまたは一部の値を 1 人のユーザーに対してのみ変更する場合は、Active Directory からユーザーを削除してから、同じメールで新しいユーザーを再作成しないでください。クラウドはこのアクションを新しいユーザー アカウントとして解釈すると、ユーザーのスペースとクラウド内のその他のデータは失われます。
Directory Connector はメール ドメインの変更を制限しません。ただし、ユーザーがクラウドに再同期すると、ユーザーの状態は、組織で新しいドメインが検証されているかどうかによって異なります。組織でドメインが確認されていない場合、フル同期後にユーザーのステータスは [保留中] に変更されます。詳細については、「ドメインを管理する」を参照してください。
組織が Directory Connector を使用していない場合、アカウント設定ページからWebex アプリのメール アドレスを変更できます。ユーザーがメールを変更するための手順については、「アカウントのメール アドレスを変更する 」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。クラウド内のアイデンティティ サービスと同期します。
1 |
新規 Active Directory (AD) ドメインをセットアップします。 |
2 |
すべてのコネクタで同期を無効にします。 |
3 |
すべてのコネクタをアンインストールします。 |
4 |
送信する場合は、ドメイン設定と組織内のすべての同期属性の削除をリクエストしてください。 ドメインを変更するためにケースを開く前に、実行中の同期がないことを確認してください。ケースが解決されるまで、Active Directory のユーザー メール アドレスを変更しないでください。 |
5 |
本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメインの要求は、組織のメール ドメインを要求し、サイドボーディングされたアカウントが無料の消費者組織ではなく、有料顧客組織で作成されるように、組織のメール ドメインを要求する場合に発生します。ドメイン要求は、サポート ケースを通じてのみ行えます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織内で作成されません。Active Directory から組織のアカウントをプロビジョニングできるのは、Directory Connector のみです。Active Directory に保存された情報はオリジナルソースです。アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、最初に Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織で無料の Webex アプリ ユーザーを変換する
一意のメール アドレスは Webex アプリ ディレクトリでのみ使用できます。ユーザーが無料バージョンの Webex アプリにサインアップしている場合、そのアカウントは無料消費者組織に存在しています。Directory Connector を使用してこの組織のユーザーを管理するには、Directory Connector をオンにする前に、顧客組織にユーザーを移行 (変換) します。次に、ユーザーを正確なメールアドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ 変換できませんでした
が表示されます。この問題を回避するには、以下の手順を回避策として使用することができます。
一部の要求されたユーザーは、ドライ ランの実行時に movedfrom
属性が表示される場合があります。これらのユーザーは MismatchedObject
の代わりに [削除済みオブジェクト]
リストに表示されます。組織に移動する場合は、これらのユーザーを AD リストに追加する必要があります。
これらのユーザーを追加しない場合、クラウドに同期する隣にあるすべてのユーザーが削除されます。
1 |
Directory Connector からのディレクトリ同期を無効化する。 |
2 |
「Control Hub でライセンスなしのユーザーを変換する」 手順に従って、無料のコンシューマー組織からエンタープライズ組織にユーザーを変換します。 この手順により、ユーザーを組織に追加し、アカウントが Control Hub に表示されます。Directory Connector は、Active Directory をユーザー アカウントの信頼できる唯一の情報源にします。目標は、Active Directory と Control Hub を正確に一致させることです。同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 |
3 |
Directory Connector で、ドライラン同期を実行します。ドライランの完了後、[オブジェクトの追加] タブを確認します。自分が変換したユーザーが削除されていないか確認する。 同期を再有効化する前にドライランを実行して、変換されたユーザーアカウントが Active Directory に表示されるようにする必要があります。同期をオンにし、アカウントが Control Hub にのみ存在する場合、Directory Connector は大文字と小文字を区別し、一致しないメール アドレスで検出された変換されたユーザー (user1@example.com および User1@example.com など) を削除します。 変換されたユーザーが削除されると、Webex アプリのスペースはすべて失われます。 |
4 |
次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしでディレクトリ コネクタをオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリ ユーザー アカウント
Webex アプリのスペースに別のユーザーを招待すると、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボーディング」)。既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリ同期を実行した後で、ユーザー名は の形式で表示されます。
このユーザー名は、Active Directory の displayName
属性がこのように設定されている場合に表示されます。属性がクラウドの displayName
にマッピングされると、Control Hub で名前が の形式で表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性 givenName sn
(または sn givenName
) を Cisco Cloud 属性名の displayName
にマッピングします。
または、属性 sn givenName
を displayName
にマッピングします。
独自のカスタム属性式を displayName
にマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。
たとえば、式として givenName + "" + sn
(名、スペース、姓) を入力します。これにより、Active Directory の 2 つの属性がクラウドの displayName
にマッピングされます。
ユーザーが Webex Meetings での表示名の変更を許可する
ユーザーが好みの表示名を編集できるようにする場合は、Directory Connector でクラウドに同期する displayName
属性のマッピングを解除できます。ユーザーは、名と姓の代わりに、Webex ミーティング中に表示する表示名を入力できます。管理者は、Control Hub で手動でユーザーの表示名を変更することもできます。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 |
2 |
[Cisco Cloud 属性名] で [displayName] を選択します。 |
3 |
[この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集することができるようになりました。
Directory Connector のトラブルューティング
最新のソフトウェア リリースへのアップグレード
展開をコンプライアンスに保ち、最新の機能、機能、バグ修正、セキュリティ強化を入手するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件をサポートしていないバージョンを使用しているなど、問題が発生する場合があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。問題を回避するには、常に最新バージョンにアップグレードします。Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェア アップデートの更新を手動でインストールできますが、[自動アップグレードの設定] の手順に従って、アプリがアップグレードを自動的に管理できるようにすることを推奨します。
1 |
Windows タスクバーで通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 |
手順に従ってアップグレードを完了します。 |
3 |
コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
でソフトウェアのバージョン番号を確認します。 |
次に行うこと
Directory Connector の新規インストールについては、 zip ファイルをダウンロード してから、このガイドのインストール手順に従ってください。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 |
Directory Connector から、[構成] に移動し、[全般] をクリックします。 |
2 |
[コネクタ名] フィールドに、コネクタ名を入力します。このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 |
3 |
ドロップダウン メニューからログ レベルを選択します。既定では、ログレベルは「情報」にセットされています。使用可能なログレベルは以下の通りです。
これらの設定は、電子メールで送信される同期レポートに影響します。ログ レベルを [エラー(Error)] に設定した場合、同期レポートでエラーのみが報告されます。エラーが存在しない場合、同期レポートは送信されません。設定を [情報] に変更すると、完全同期後に同期レポートを受信します。(増分同期では、エラーが報告されない場合、レポートは送信されないことに注意してください)。 |
4 |
[優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 |
5 |
自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。この設定にチェックを入れると、ソフトウェアへの自動アップグレードが利用可能になったときにサイレントにインストールされることを推奨します。 |
6 |
[LDAP over SSL] をチェックして、セキュアな LDAP (LDAPS) を接続プロトコルとして使用します。 LDAP over SSL をオンにしない場合、Directory Connector は引き続き LDAP 接続プロトコルを使用します。 LDAP (Lightweight Directory Application Protocol) および Secure LDAP (LDAPS) は、アプリケーションとインフラストラクチャ内のドメイン コントローラの間で使用される接続プロトコルです。LDAPS 通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、削除しきい値トリガー値として 1
を設定します。完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。[しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 |
Directory Connector から、[構成] をクリックし、[ポリシー] を選択します。 |
2 |
しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。削除の回数が定義した値を越えると、同期は失敗します。
|
3 |
自分が行う削除の最大数を入力します。既定では 20 です。 弊社は既定値を上げないことを推奨します。 |
4 |
適用をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。高可用性 (HA) にはフェイルオーバーが使用されます。コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 |
Directory Connector から、[構成] をクリックし、[スケジュール] を選択します。 |
2 |
増分同期インターバルを分に指定します。 既定では、増分同期は 30 分おきに実行するようセットされています。完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 |
レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 |
[完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 |
[フェイルオーバー間隔]を「分」で指定します。 |
6 |
[適用] をクリックします。 |
複数ドメイン シナリオ
複数のドメインはドメインの優先順位に基づいています。異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
-
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
-
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
-
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
-
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、https://admin.webex.comにリストされます。
新しいドメインを同期し既存のドメインを保持する
別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている Windows サーバーのドメイン (B) 同期に Directory Connector をインストールします。最初のセットアップ後、コネクタは新しいドメインをバインドし、ドメイン (A) の下のユーザー情報に影響が出ないままになります。
すべてのドメインには独自のアクティブ コネクタがあります。以下のセットアップについては、2 つのドメインを考慮します: domain A with connectors (ca1) and (ca2) for local high availability (HA); domain B with connector (cb1). (ca1)and (ca2) serve domain A. In this scenario, one connector is active and the other is standby (HA). この設計では、1 つのコネクタが常にアクティブであるため、ドメインは同期されているままになります。そのため、ドメイン A にはすでにアクティブなコネクタがあるため (ca1 または ca2)、cb1 はドメイン B のアクティブ コネクタです
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
開始する前に
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。https://admin.webex.com からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 |
3 |
リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。 ドメインは、上から下まで、優先順位でソートされます。 |
ドメインを切り替える
Cisco Directory Connector を別のドメインに再バインドするには、次の手順を使用します。
開始する前に
-
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
-
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。Control Hub からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 |
警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタの他のドメインは登録解除され、そのコンピューターのコネクタ情報は削除されます。 |
4 |
Cisco Directory Connector に再度サインインし、ドメインを再バインドします。 |
ディレクトリ同期を無効にする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、次のいずれかを選択します。
|
2 |
指示を読んだ後、[オフにする] をクリックします。 同期は、Directory Connector から再有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。属性マッピングを削除すると、属性値はクラウドから削除され、Webex に同期されなくなります。これらの値は、手動で編集できます。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[属性名] リストから削除するマッピングを選択します。 |
4 |
[影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 |
[適用] をクリックします。 |
プロファイル画像の管理
Directory Connector を使用して、ユーザー プロファイルの写真を更新するか、空白のユーザー プロファイルの写真を削除します。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[アクション] で次のいずれかを選択します。
|
4 |
[適用] をクリックします。 |
Directory Connector をアンインストールして非アクティブ化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
-
ディレクトリ同期化をこれ以上使いたくなくなった。
-
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
-
ドメインを変更して、別のコネクタをインストールしたい。
開始する前に
-
高可用性 (HA) または複数のドメインの同期のために、Directory Connector の複数のインスタンスがセットアップされている場合があります。唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
-
Directory Connector をアンインストールする前に、重要な作業を保存して閉じてください。
1 |
Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 |
プログラムリストから、[Directory Connector] をクリックし、[アンインストール] を選択し、プロンプトに従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、[詳細] |
4 |
指示を読んだ後、[非アクティブ化] をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールの実行
組み込みの診断ツールを使用して、Directory Connector 展開のトラブルシューティングを行うことができます。このツールは Directory Connector 3.4 以降の一部としてインストールされます。
同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Ciso Directory Connector の問題をトラブルシューティング
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する場合があります。また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題を記載したメール レポートを送信する場合があります。発生する可能性のある問題、考えられる原因、およびサポートに連絡する前に試すことができる解決策については、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が動作していないことを知らせる警告メールを受信しました。
-
Directory Connector が正しくインストールされていない可能性があります。
-
Directory Connector が実行されていない可能性があります。
-
ネットワークは使用できない可能性があります。
以下の作業を行います。
-
を開きます。Directory Connector を検索します。存在しない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
-
[サービス] を開き、Cisco DirSync Service を見つけます。ステータスが [開始] として表示されていることを確認します。サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
-
Directory Connector をインストールしたサーバーにインターネットへのアクセス権があることを確認してください。
再インストールエラー
問題: 古いコネクタをアンインストールした後、すぐに新しいコネクタをインストールすると、エラー メッセージが表示される場合があります。
考えられる原因: Windows Server 2012 では、アンインストールクライアントはサービス リストからサービス アカウントを削除するのに時間を必要とします。
解決策: 時間が経過したら、もう一度インストールをお試しください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュ
問題
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュする場合があります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
-
ドメイン コントローラに移動し、グループ ポリシー管理 (gpedit.msc) を開きます。
-
特定の OU またはドメインを右クリックし、[このドメインで GPO を作成] を選択し、[ここにリンク...
-
ポリシーに名前を付けて、右クリックして [編集] を選択します。
マシン レベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
変更は、gpupdate /force
を実行した後、マシンが再起動した後 (マシン変更の場合)、またはユーザーが再びサインインした後 (ユーザー変更の場合)、有効になります。
Cisco DirSync Service Connector を登録できませんでした
問題
サインインに失敗すると、「Cisco DirSync Service Connector が登録できませんでした」というメッセージが表示されます。
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題
Directory Connector を開くと、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
-
Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に移動します。Chrome や Firefox などの他のブラウザでリンクをお試しください。
-
Internet Explorer がリンクにアクセスできないが、他のブラウザがアクセスできない場合は、Internet Explorer の設定をチェックし、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする 手順を使用します。)
サインインプロンプトが表示されます
問題
ユーザ名とパスワードを入力して認証を渡すように要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインイン アカウントで NTLM セキュリティ認証をサイレントに完了します。認証に失敗した場合、ダイアログがポップアップして、認証ユーザ名とパスワードを要求します。
対処方法
サインイン ポップアップ ウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題
通常の操作中に、「リモートサーバーに接続できません」というエラーメッセージが表示されます。
考えられる原因
プロキシの問題を解決する必要がある問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービス アカウント サインインの問題をトラブルシューティング 」を参照してください。
コネクタを登録できません
問題
「コネクタを登録できません。一般的な例外が発生しました」。
考えられる原因
ほとんどの場合、問題は、Directory Connector が LDAP ルートコンテキストに接続する権限を持っていないためです。
対処方法
以下の作業を行います。
-
コマンド プロンプト (cmd) を実行し、ldp.exe を入力します。
-
[現在ログインしているユーザーとしてバインド] を選択し、[OK] をクリックします。
をクリックし、 -
[OK] をクリックします。
をクリックし、BaseDN として [DC=arbonneintl,DC=ad] を入力し、 -
問題が継続する場合、サポートでケースを開きます。
同期
アバターが同期されていません
問題
Cisco Directory Connector がユーザー AD データを Webex クラウドに同期しました。ただし、正常に同期されたアバター データはありません。
考えられる原因
既存のアバター サーバを再使用し、ユーザ アバターがすでに同期されている場合、ローカル キャッシュによりキャプチャされ、再送信が回避され、帯域幅が節約されます。
対処方法
次の手順に従って、ローカル キャッシュを削除します。
-
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\ に移動します。
-
DirSyncPluginAvatar.dll-cache.bin を削除します。
-
Cisco Directory Connector からアバターの同期を再実行します。
競合するユーザー メール アカウント
問題
同期結果に競合するユーザー メール アカウントが表示される場合があります。
-
ユーザーが Webex アプリの無料バージョンを試した場合、メール アドレスは無料コンシューマー組織内に存在します。
-
ユーザーのメールが別の組織で同期されたことがない場合。
-
ユーザーのメールが組織に属する複数のドメインに存在する場合。
対処方法
以下の作業を行います。
-
ユーザーを要求する場合は、次の手順に従います。
-
Control Hub でドメインを確認済みしていることを確認します。
-
Cisco Directory Connector を一時的に無効にします。
-
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在する可能性があるアカウントを申請します。詳細については、「ユーザーを組織に要求する (ユーザーの変換) 」を参照してください。
-
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再度有効にします
-
-
最後のケースでは、Active Directory ソースのユーザー データをダブルチェックします。
非アクティブとしてマークされた変換ユーザー
問題
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、そのユーザーはセキュリティ コンプライアンス メジャーとして 30 日間非アクティブ ステータスとしてマークされます。この期間中は、ユーザーは Webex アプリにサインインできず、30 日間の期間終了時に削除対象としてマークされます。この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除しない場合は、アクションを実行する必要があります。この問題を解決するには、変換された無料ユーザー アカウントに対応するオンプレミスの Active Directory でユーザー アカウントを作成します。次に、Cisco Directory Connector から同期を実行します。その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期が失敗する
問題
増分同期に失敗しました。
この問題は、次の条件で Windows Server 2008 R2 で発生する場合があります。
-
増分値の更新をサポートします。
-
使用するフィルタは、リンクされた値属性を参照します。
-
その属性の結果値は、前回完全な同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されました。Windows Server を少なくとも 2012 R2 にアップグレードすることを推奨します。
属性の値が無効です
問題
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com の場合、属性 [電話番号] には次の無効な値があります。+ この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。警告メッセージの記述に従ってこの値を修正してください。再度同期を行います。
削除される一致したユーザー
問題
一致したユーザーは削除対象としてマークされます。
ドライ ラン同期を実行して Active Directory とクラウド間のデータを確認する場合、両方に同じメール アドレスが表示される場合があります。ただし、ユーザーは削除するオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
-
ユーザーを削除してライセンスを再実行しても問題ない場合は、修正のために Directory Connector を使用できます。同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
-
ユーザー アカウントを削除して再作成できない場合は、サポートでケースを開きます。
属性がありません
問題
オンプレミスのエントリ [user dn (distinguished name)] を追加する場合に必要な属性 [attribute_name]。すべての必須属性に値が設定されるまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加すると、すべての必須属性が値になるまで、エントリは Control Hub で作成されません。
対処方法
ユーザー [user_email_address] に必要な属性の 1 つがありません。そのユーザーに必要な値を提供してください。
ネストされたグループが同期されません
問題
ネストされた Active Directory グループのユーザーは、クラウドに適切に同期されません。
考えられる原因
子グループと親グループの両方を含むフィルタが使用され、サポートされていません。たとえば、次のようなものです。(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。たとえば、次のようなものです。|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザー名の競合
問題
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。[user email address]、およびユーザータイプ [user_type]。
考えられる原因
そのメール アドレスを使用するユーザーはすでに Control Hub に存在しています。
対処方法
Control Hub を通じて登録したアカウントと同じメール アドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub でユーザー リストが見つかりません
問題
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
検索機能を使用してユーザーアカウントを検索できます。Control Hub で、[ユーザー] に移動し、検索 をクリックし、検索条件を入力して特定のユーザーを見つけます。
グループは Control Hub に同期されません
問題
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは Active Directory で isCriticalSystemObject
としてタグ付けされません。
対処方法
Active Directory で属性 isCriticalSystemObject
が TRUE
に設定されていることを確認してください。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
ログ ファイル: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
|
2 |
サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 |
3 |
Directory Connector で、[ダッシュボード] をクリックします。 |
4 |
[アクション] に移動し、 をクリックします。 |
5 |
トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 |
6 |
ログ ファイルを確認します。ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。 ログ フォルダーは過去 3 日間のファイルのみを保存します。ログ ファイルのコンテンツは、システムへのイベント ログ出力と一致しています。 |
7 |
必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 |
8 |
完了後は、トラブルシューティング機能を無効にしてください。 |
イベントビュアーを開始
完全もしくは増加同期中に発生したイベントを確認するには、イベントビューを開始します。管理イベントとエラーログの概要が表示されます。
1 |
Directory Connector から [ダッシュボード] に移動し、 をクリックします。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 |
イベント ビューアから、 に移動します。 |
3 |
[アクション] の下で、[すべてのイベントに名前を付けて保存] をクリックして、すべてのログを 1 つの Events ファイル (*.evtx)、または xml や csv などの別の形式としてエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明し、ケースに Events ファイルを添付してください。
イベント ログではユーザー アクションをキャプチャします。ネットワーク トラフィックの管理については、コネクタでトラブルシューティングを有効にします。
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えると、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
-
サービスへのログオンでエラーが発生しました
-
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 |
Internet Explorer を開き、[ツール] を選択します。今すぐ有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じて、再度開きます |
2 |
[インターネット オプション] をクリックし、[詳細] に進み、[セキュリティ] までスクロールします。 |
3 |
[TLS 1.1 を使用する] および [TLS 1.2 を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 |
変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco Directory Connector にサインインできない、または同期を実行できない場合は、サポートに連絡する前に、これらの手順を使用して問題を解決してください。
1 |
ウェブ ブラウザーの https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に行きます。 |
2 |
結果によりますが、1 つを選択します。
|
3 |
少なくとも、Cisco DirSync サービス(Windows サービスで確認できる)に設定されたアカウントに、アバター データと AD データにアクセスできる特権レベルがあることを確認してください。デフォルトでは、サービスは Windows ログイン アカウントの資格情報と認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
Cisco Directory Connector の概要
ディレクトリ コネクタの概要
Directory Connector は、クラウドへの ID 同期のためのオンプレミス アプリケーションです。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、ユーザー アカウントとデータを Active Directory に保存できるため、Active Directory が信頼できる唯一の情報源となります。オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、利点を参照します。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードは、同期スケジュールの概要と、同期の状況、Directory Connector のステータスを提供します。サインインしていつでもダッシュボードを表示できます。 |
クラウドに同期する前にドライ ランを行う | クラウドに実装する前に、ディレクトリへの変更のドライ ランを実行します。レポートを実行し、望む変更が期待するものであるか確認します。 |
完全および増加同期 | ディレクトリ全体を同期します。または増加変更のみを同期し、処理電源に保存して、同期時間を短くします。 |
複数のドメイン (単一フォレストまたは複数のフォレスト) を同期します |
Directory Connector は、単一のフォレスト、または複数のフォレスト (AD LDS を必要としない) のどちらかで複数のドメインをサポートします。複数の Active Directory ドメインを持つ企業の場合、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドし、各ユーザー ベースを Webex に同期できます。Control Hub は、複数の Directory Connector の同期状態を表示することで、ステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を非アクティブ化できます。 |
スケジュールされた同期 | 日、時間、分で同期のスケジュールを設定できます。 |
Lightweight フィルター Access Protocol (LDAP) フィルター | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory の属性を対応する Webex クラウド属性にマッピングします。Active Directory の設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソースの SIP アドレス、その他のユーザー連絡先カード データ (役職、部署、マネージャなど) など、クラウド内のさまざまなデータをフォームします。 |
オンプレミスの会議室リソースと Webex ライセンスのない Cisco Webex Calling (Cloud PSTN) ユーザーおよびエンタープライズの連絡先の企業ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの会議室デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューアー | イベント ビューアーを使用して、同期に問題があるか確認します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、Active Directory への接続をテストします。 Directory Connector でトラブルシューティングを有効にすると、ログが書き込まれてテクニカル サポートに送信されます。 |
自動アップグレード | Directory Connector をインストールした後、新しいソフトウェアのバージョンが利用可能になると通知が送信されます。新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用できるように自動アップグレードを設定できます。 |
高可用性 | メインのコネクタやマシンのホスティングがダウンした場合のために、バックアップを作成するため、複数のコネクタを構成します。 |
Directory Connector は、三つの領域に分けられます:
-
Control Hub は、Webex 組織のあらゆる面を管理できる単一のインターフェイスです。ユーザーがエンタープライズ ID プロバイダを通して認証し、Webex アプリの招待メールを送信しない場合は、ユーザーを表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO) の設定 を行います。
-
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。複数のアクティブ ディレクトリ ドメインについて、同期する各ドメインにソフトウェアのインスタントを 1 つインストールできます。ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持ち込み、同期ステータスを表示および監視し、Directory Connector サービスを設定することができます。
-
ディレクトリ同期サービス は、Active Directory をクエリして、同期するユーザーとグループをコネクタサービスと Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、次の図を参照してください。
Directory Connector のための環境の準備
Directory Connector の要件
Windows および Active Directory の要件
次のサポートされている Windows サーバーに Directory Connector をインストールできます。
-
Windows サーバー 2022
-
Windows Server 2019
-
Windows Server 2016
Cookie の問題を解決するには、ドメインコントローラを Windows Server 2012 R2 または 2016 という修正を含むリリースにアップグレードすることを推奨します。
Directory Connector は、次の Active Directory サービスでサポートされています。
-
Active Directory 2016 年
(Directory Connector は、Windows Server 2019 で最新バージョンの Active Directory を使用する場合にサポートされます)
-
Active Directory 2012 年
-
Active Directory 2008 R2
-
Active Directory 2008 年
次の追加要件に注意してください。
-
Directory Connector には TLS1.2 が必要です。以下をインストールする必要があります。
-
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。問題が発生した場合は、「 ロールと機能の追加ウィザードを使用して .NET Framework 3.5 を有効にする」の手順を使用します。)
-
.NET Framework v.4.5 (TLS1.2 に必要)
-
-
アクティブ ディレクトリ forest 機能レベル 2 (Windows Server 2003) またはそれ以降が必要です。(詳細については、「アクティブ ディレクトリの機能レベルとは?」を参照してください。)
ハードウェアの要件
次の最小ハードウェア要件を持つコンピュータに Directory Connector をインストールする必要があります。
-
8 GB の RAM
-
50 GB のストレージ
-
CPU の最低条件はありません
ネットワーク要件
ネットワークがファイアウォールの背後にある場合は、システムでインターネットへの HTTPS (ポート 443) アクセスがあることを確認してください。
Webex 組織の要件
-
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
-
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにする場合は、次の操作を行うことを推奨します。
-
クラウドに同期するユーザーのメールアドレスを含むドメインの追加、検証、およびオプションで要求 します。
-
ID プロバイダー (IdP) と Webex 組織のシングル サインオン (SSO) インテグレーション を行います。
-
自動招待メールを抑制することで、新規ユーザーが自動招待メールを受信しなくなり、独自のメールキャンペーンを行うことができます。(この機能は SSO インテグレーションが必要です。)
-
詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。
インストール要件
-
複数のドメイン環境 (単一フォレストまたは複数のフォレストのいずれか) については、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている別の Windows サーバーを持ち、ドメイン (B) 同期に Directory Connector をインストールします。
-
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシン上の権限を持っている必要があります。マシンログイン アカウントは、ローカル マシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。(この情報は、仮想マシンのログインにも適用されます)。
-
コネクタにサインインする際に、サインイン アカウントは Control Hub のフル管理者アカウントと同じである必要があります。デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。ただし、Windows サービスを使用して、Active Directory にアクセスするための別のアカウントを設定することができます。(この情報は、仮想マシンのログインにも適用されます)。
-
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)検索モードが有効になっていることを確認します。Windows レジストリで SafeDllSearchMode を確認します。
-
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector および Active Directory ドメイン サービス/Active Directory ライトウェイト ディレクトリ サービス(AD DS/AD LDS)を別のマシンにインストールすることを推奨します。
複数のドメインの要件
Cisco Directory Connector 展開タスク フローのタスクに従う前に、複数のドメインから Active Directory 情報をクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
-
各ドメインには、Directory Connector の個別のインスタンスが必要です。
-
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホスト上で実行する必要があります。
-
Control Hub でドメインを確認または要求することをおすすめします。(「ドメインの追加、検証、要求」を参照してください。)
-
50 を超えるドメインを同期する場合は、組織を大規模な組織リストに移動させるために、チケットを開く 必要があります。
-
必要に応じて、ルーム リソース情報をユーザー アカウントと同期できます。(「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください)。
自動ライセンス割り当てに関する Active Directory グループの推奨事項
Active Directory グループは、ユーザーアカウント、コンピュータアカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。個々のユーザーとするのではなく、グループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。
Active Directory には 2 種類のグループがあります。
-
配信グループ: メール配信リストを作成するために使用されます。
-
セキュリティ グループ: 共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する際には、次のガイドラインを考慮してください。
-
各役割、部署、サービス (セールス、マーケティング、マネージャー、会計士、Webex ライセンスなど) に対してグローバルグループを作成します。
-
組織全体の標準命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。グループ名には、アクセス レベル、リソース タイプ、セキュリティ レベル、グループ スコープ、メール機能など、グループに関する詳細を含めることができます。 たとえば、グループ名「GSG_Webex_Licensing_EMEAR」は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
-
地理や管理階層など、わかりやすい方法でグループを整理します。グループの説明を使用して、グループの目的を完全に説明します。
-
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの自動ライセンス グループ テンプレートを Control Hub で定義します。詳細については、「自動ライセンス割り当てテンプレートを設定する 」を参照してください。
サイズ情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウドの間のブリッジとして機能します。そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限はありません。プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられます。
同期の速度に影響を与える要因はいくつかあります。
-
Active Directory オブジェクトの合計数。(5000 人のユーザー同期ジョブは 50,000 件までかかります。)
-
ネットワーク速度と帯域幅。
-
システムのワークロードと仕様。
50,000 人を超えるユーザを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強く推奨します。
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間の特定の時間値を提供できません。
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織で透過ウェブ プロキシを使用している場合、認証はサポートされません。コネクタはユーザーを正常に接続し、同期します。
以下のいずれか 1 つのアプローチを選択することができます。
-
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を引き継ぎます)
-
.pac ファイルを介した明示的なウェブ プロキシ (コネクタはエンタープライズ固有のプロキシ設定を継承します)
-
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するようにディレクトリ コネクタを設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 |
Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 |
2 |
コネクタがウェブ プロキシにインストールされている Windows インスタンスを指します。コネクタはこれらの Web プロキシ設定を継承します。 |
3 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
4 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。このファイルは、Web プロキシ アドレスとポート情報を提供します。Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 |
コネクタが正常に接続し、ユーザー情報を Webex クラウドに同期するには、コネクタがインストールされているホストの .pac ファイル構成で |
2 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
3 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
NTLM プロキシ
Directory Connector は NT LAN Manager (NTLM) をサポートします。NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLM デザイン
ほとんどの場合、ユーザは、クライアント PC を通じて別のワークステーションのリソースにアクセスすることを希望します。これは、安全な方法で実行するのが難しい場合があります。
一般的に、NTLM の技術的な設計は、チャレンジ
と応答
のメカニズムに基づいています。
-
ユーザは Windows アカウントとパスワードを使用してクライアント PC にサインインします。パスワードはローカルに保存されません。プレーン テキスト パスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。ユーザがパスワードを通じてクライアントにサインインすると、Windows OS は入力パスワードから保存されたハッシュ値とハッシュ値を比較します。両方が同じ場合、認証はパスされます。
ユーザが別のサーバのリソースにアクセスする場合、クライアントはアカウント名でプレーンテキストで要求を送信します。
-
サーバがリクエストを受信すると、サーバは 16 ビットランダムキーを生成します。キーは Challenge(または Nonce)と呼ばれます。サーバがクライアントに戻す前に、チャレンジはサーバに保存されます。その後、サーバーはプレーンテキストでクライアントにチャレンジを送信します。
-
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値でチャレンジを暗号化します。暗号化後、値はサーバに返されます。
-
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにドメイン コントローラに送信します。リクエストには次のものが含まれます。アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
-
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。そして、ドメインコントローラは、元のチャレンジで暗号化できます。次に、ドマンコントローラーは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。同じ場合、検証は成功します。
Windows はオペレーティング システムにセキュリティ認証を組み込み、アプリケーションがセキュリティ認証をサポートしやすくします。結果として、さらに設定を完了する必要はありません。
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 |
コネクタがユーザに接続して同期できるように、透過プロキシを展開します。 |
2 |
プロキシが成功したことを確認します。コネクタの起動時にブラウザ認証ポップアップ ウィンドウが期待されます。 |
プロキシ認証の設定
アクセス コントロール リストを作成して、許可リストに URL cloudconnector.webex.com
を追加します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 |
DNS 検索が有効になっていない場合、有効にします。 |
2 |
この接続の推定帯域幅を決定します (コネクタでは約 2 mb/秒以下)。この限りでは無いことがあります。 |
3 |
アクセス コントロール リストを作成してコネクタ ホストに適用し、許可リストに追加するターゲットとして たとえば、次のようなものです。 access-list 2000 acl-inside extended permit TCP [コネクタの IP] cloudconnector.webex.com eq https |
4 |
この ACL を、この単一コネクタ ホストにのみ適用可能な適切なファイアウォール インターフェイスに適用します。 |
5 |
所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Directory Connector を展開する
Cisco Directory Connector の展開タスク フロー
1 |
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。 Directory Connector の新規インストールについては、常に Control Hub (https://admin.webex.com) に移動してソフトウェアの最新バージョンを入手し、最新の機能とバグ修正を使用できるようにしてください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
2 |
Webex 管理者資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。 この手順を使用して、ソフトウェアが利用可能になったときにサイレントにインストールされるようにすることを推奨します。 |
4 |
同期する Active Directory オブジェクトの選択 デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。 |
5 |
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid です。 |
6 |
次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期することで、各ユーザーのアバターがアプリケーションにサインインしたときに表示されます。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 |
オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、Webex Room デバイスまたは Cisco Webex Board などのクラウド登録された会議室デバイスで検索可能なエントリとして表示されます。 |
8 |
Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この手順に従って、Webex アプリアカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降のために、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。
同期する各 Active Directory ドメインに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、単一のドメインにのみサービスを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバを通じて認証する場合は、次のプロキシ クレデンシャルがあることを確認します。
-
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後でユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシ設定も必要です。ブラウザから Web プロキシを使用するを参照してください。
-
プロキシ NTLM の場合、初めてコネクタを開くと、エラーが発生する場合があります。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
Control Hub で、 に移動し、[次へ] を選択します。 |
2 |
[ダウンロードとインストール] リンクをクリックして、コネクタのインストール .zip ファイルの最新バージョンを VMware または Windows サーバーに保存します。 .zip ファイルをこのリンクから直接取得できますが、このソフトウェアが機能するには、Control Hub 組織への完全な管理アクセス権が必要です。 新しいインストールについては、最新の機能とバグ修正を使用できるように、ソフトウェアの最新バージョンを取得してください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
3 |
VMware または Windows サーバーで、セットアップ フォルダで .msi ファイルを解凍して実行し、セットアップ ウィザードを起動します。 |
4 |
[次へ] をクリックし、ボックスにチェックを入れてライセンス契約に同意し、アカウントタイプの画面が表示されるまで [次へ] をクリックします。 |
5 |
使用するサービス アカウントのタイプを選択し、管理者アカウントでインストールを実行します。
エラーを回避するために、次の権限が設定されていることを確認してください。
|
6 |
[インストール] をクリックします。 ネットワーク テストの実行後、プロンプトが表示されたら、プロキシ基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバを再起動することをお勧めします。 ドライ ラン レポートは、データがリリースされていないときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector にサインイン
始める前に
プロキシの資格情報を持っていることを確認します。
-
プロキシ基本認証の場合、初めてコネクタを開いた後でユーザー名とパスワードを入力します。
-
プロキシ NTLM の場合は、Internet Explorer を開き、歯車アイコンをクリックし、[インターネットオプション] > [接続] > [LAN 設定] に進み、プロキシ サーバー情報が追加されていることを確認し、[OK] をクリックします。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
コネクタを開き、プロンプトが表示されたら、 |
2 |
プロンプトが表示されたら、プロキシ認証資格情報でサインインし、管理アカウントを使用して Webex にサインインし、[次へ] をクリックします。 |
3 |
組織とドメインを確認します。
|
4 |
[組織の確認] 画面が表示されたら、[確認] をクリックします。 すでに AD DS/AD LDS にバインドしている場合は、[組織の確認] 画面が表示されます。 |
5 |
[確認] をクリックします。 |
6 |
Directory Connector にバインドする Active Directory ドメインの数に応じて、1 つを選択します。
|
次に行うこと
サインインすると、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector ダッシュボード
Directory Connector に初めてサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティの概要の表示、クラウド統計の表示、ドライラン同期の実行、完全または増分同期を開始し、エラー情報を表示するためにイベント ビューを起動できます。
これらのタスクは、[アクション] ツールバーまたは [アクション] メニューから簡単に実行できます。
コンポーネント |
説明 |
---|---|
現在の同期 |
現在進行中の同期に関するステータス情報を表示します。 同期が実行されていない場合、ステータスの表示はアイドル状態になります。 |
次の同期 |
次にスケジュールされた完全同期と増分同期を表示します。 スケジュールが設定されていない場合、[スケジュールされていません] が表示されます。 |
最後の同期 |
最後に実行された 2 つの同期のステータスを表示します。 |
現在の同期ステータス |
同期の全体的なステータスを表示します。 |
コネクタ |
クラウドで使用可能な現在のオンプレミス コネクタを表示します。 |
クラウド統計 |
同期の全体的なステータスを表示します。 |
同期スケジュール |
増分同期と完全同期のための同期スケジュールを表示します。 |
設定の概要 |
設定で変更した設定が一覧表示されます。 たとえば、概要には以下が含まれる場合があります。
|
アクション | 説明 |
---|---|
増分同期を開始 |
増分同期を手動で開始 このアクションは、同期を一時停止または無効にする場合、完全な同期が完了していない場合、または同期が進行中の場合に無効になります。 |
ドライランの同期 |
ドライ ラン同期を実行します。 |
イベント ビューアを起動 |
Microsoft イベント ビューアを起動します。 |
更新 |
Cisco Directory Connector ダッシュボードを更新 |
アクション |
説明 |
---|---|
今すぐ同期 |
完全な同期をすぐに開始します。 |
同期モード |
増分同期モードまたは完全同期モードを選択します。 |
コネクタ シークレットをリセット |
Cisco Directory Connector とコネクタ サービス間の会話を確立します。 このアクションを選択すると、クラウド内の秘密がリセットされ、秘密がローカルに保存されます。 |
ドライ ラン |
同期プロセスのテストを実行します。 完全同期を行う前に、ドライ ランを実行する必要があります。 |
トラブルシューティング |
トラブルシューティングをオンまたはオフにします。 |
更新 |
Cisco Directory Connector のメイン画面を更新します。 |
終了 |
Cisco Directory Connector を終了します。 |
キーの組み合わせ |
アクション |
---|---|
Alt + A |
[アクション] メニューを表示する |
|
今すぐ同期 |
|
コネクタ シークレットをリセット |
|
ドライ ラン |
|
増分同期 |
|
完全同期 |
|
[ヘルプ] メニューを表示 |
|
ヘルプ |
|
バージョン情報 |
|
よくある質問 |
自動アップグレードの設定
1 |
Directory Connector から、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] をオンにします。 に進み、 |
2 |
[適用] をクリックして変更を保存します。 |
コネクタの新しいバージョンは利用可能になったら自動的にインストールされます。
必要に応じて、アップグレードを手動で管理できます。 詳細については、「最新のソフトウェア リリースへのアップグレード」を参照してください。
同期する Active Directory オブジェクトの選択
デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期した Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex は新規ユーザーのユーザー メンバーシップと自動ライセンス テンプレート マッピングを確認します。
LDAP フィルタを使用して、関連するグループをクラウドに同期することのみを推奨します。 たとえば、フィルタを次のように設定できます。
(&(cn=例)(objectclass=グループ))*
このフィルタは、ベースの DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、パイロットユーザーのトライアル グループを設定するためにハイブリッド データ セキュリティを使用している場合は、[グループ] をオンにする必要があります。 詳細については、「ハイブリッド データ セキュリティの展開ガイド」を参照してください。 この Directory Connector の設定は、クラウドへの他のユーザーの同期には影響しません。
1 |
Directory Connector から、[構成] に移動し、[オブジェクトの選択] をクリックします。 |
2 |
[オブジェクトタイプ] セクションで、[ユーザー] にチェックを入れ、ユーザーの検索可能なコンテナーの数を制限することを検討してください。 たとえば、特定のグループ内のユーザーのみを同期する場合は、[ユーザー] の LDAP フィルタフィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のようなフィルターを使用します。
|
3 |
[会議室の識別] にチェックを入れ、会議室データをユーザー データから分離します。 ユーザー データを会議室データとして識別するための追加の属性を設定する場合は、[カスタマイズ] をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された会議室デバイスで検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください。 |
4 |
Active Directory ユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザ同期の LDAP フィルタを追加しないでください。 グループ データ自体をクラウドに同期するには、[グループ(Groups)] フィールドのみを使用してください。 デフォルトでは、グループは新しい顧客に対して同期されません。 グループ同期を有効にする必要があります。 セキュリティ グループも同期する必要があります。 |
5 |
ユーザーの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。 Directory Connector は、コネクタによって同期された連絡先のみを管理します。 Control Hub にすでに連絡先がある場合は、同期によって連絡先は削除されません。 同期範囲から連絡先が削除された場合、ユーザーの連絡先情報も Control Hub で削除されます。 |
6 |
LDAP フィルタを設定します。 有効な LDAP フィルタを提供することにより、拡張フィルタを追加できます。 LDAP フィルタの設定の詳細については、この記事を参照してください。 |
7 |
[選択] をクリックして、[同期するオンプレミス ベース DN] を指定して、Active Directory のツリー構造を確認します。 ここから、検索するコンテナーを選択または選択解除できます。 |
8 |
この構成に追加するオブジェクトを確認し、[選択] をクリックします。 同期に使用する個別または親コンテナーを選択できます。 親コンテナーを選択して、すべての子コンテナーを有効にします。 子コンテナーを選択した場合、親コンテナーには、子コンテナーがチェックされたことを示すグレーのチェックマークが表示されます。 次に、[選択] をクリックして、チェックした Active Directory コンテナーを受け入れることができます。 組織ですべてのユーザーとグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 組織が組織単位に分割されている場合は、必ず [OU] を選択してください。 |
9 |
[適用] をクリックします。 オプションを選択します。
ドライ ランの詳細については、「Active Directory ユーザーでドライ ラン同期を行う」を参照してください。 グループ同期では、完全同期を行う必要があります。 クラウドに Active Directory ユーザーの完全な同期を行います。 |
ユーザー属性をマッピング
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid で、クラウド アイデンティティ サービスの各ユーザー アカウントの一意の識別子です。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、Active Directory で firstName lastName をマッピングしたり、クラウドで displayName にカスタム属性式をマッピングしたりできます。
Active Directory のアカウントにはメール アドレスが必要です。既定では、uid はメールの ad
フィールドにマッピングされます (sAMAccountName
ではありません)。
Active Directory から優先言語を選択した場合、Active Directory は真実の唯一のソースとなります。 ユーザーは Webex 設定で言語設定を変更できず、管理者は Control Hub の設定を変更できません。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 このページには Active Directory (左) と Webex クラウド (右) の属性名が表示されます。 必須の属性はすべて赤いアスタリスクでマークされます。 |
2 |
[Active Directory 属性名] の一番下までスクロールし、これらの Active Directory 属性の 1 つを選択して、クラウド属性 uid にマッピングします。
他の Active Directory 属性のいずれか uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 Active Directory のどの属性がクラウドで一致するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。 同期を動作させるには、選択する Active Directory 属性が電子メール形式であることを確認する必要があります。 推奨属性の 1 つを選択しない場合は、Directory Connector にポップアップが表示されます。 |
3 |
事前に定義された Active Directory 属性が展開で機能しない場合、属性ドロップダウンをクリックし、下部までスクロールして、[属性をカスタマイズ] を選択して、属性表現を定義できるウィンドウを開きます。 [ヘルプ] をクリックして、式に関する詳細を確認し、式がどのように動作するかを確認してください。 詳細については、「カスタマイズされた属性の式」を参照してください。 この例では、Active Directory 属性 Directory Connector は、アイデンティティ サービスの uid の属性値を検証し、現在のユーザー フィルター オプションで 3 人の使用可能なユーザーを取得します。 これらの 3 人のユーザーのすべてに有効なメール形式がある場合、Cisco Directory Connector には次のメッセージが表示されます。 属性が確認できない場合、次の警告が表示され、Active Directory に戻り、ユーザー データを確認および修正できます。 |
4 |
(オプション) Webex アプリのユーザーの連絡先カードにモバイル番号と職場の番号を表示する場合は、モバイルとtelephoneNumber のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号のデータが Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) の通話展開ガイド」(管理者) を参照してください。 |
5 |
追加のマッピングを選択して、連絡先カードに表示されるデータを追加します。
属性がマッピングされると、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡しようとしている相手を確認する」を参照してください。 これらの属性を各ユーザー アカウントに同期した後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーは、プロファイルでより多くの情報を共有し、お互いについて詳しく知ることができます。 機能と有効にする方法の詳細については、「Control Hub の Webex、Jabber、Webex Meetings、および Webex Events (新) の People Insights プロファイル」を参照してください。 |
6 |
選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 対応するメール アドレスが Active Directory にないユーザーは削除されます。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
Active Directory とクラウドの属性
[ユーザー属性マッピング] タブを使用して、ローカルの Active Directory からクラウド内の対応する属性に属性をマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較したものです。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンで異なる属性を選択し、どのオンプレミス属性がどのクラウド属性と同期するかを決定できます。
ドロップダウン属性は、プリセットとして考えてください。 Active Directory 行の値の代わりに、Active Directory でカスタマイズされた属性(複数の属性を持つ式)を指定して、対応する行内の単一のクラウド属性にマッピングすることもできます。 このようにして、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory の従業員名、指定された名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする Active Directory 属性のいずれかを指定することもできます。 ただし、オンプレミスの属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、ユーザーのメール アドレスがカレンダーを管理するために使用されている場合、代替のメールアドレスを使用することもできます。 この場合、別のメール アドレスを emails;type-work 属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。
Active Directory の属性名 |
Webex クラウドの属性名 |
メモ |
---|---|---|
— |
ビル名 |
— |
C |
C |
この属性は、ユーザーの国の略称を指定します。 |
部門番号 |
部門番号 |
この属性は、連絡先カードとPeople Insights に表示されるユーザーの部署番号に使用されます。 |
表示名 |
表示名 |
この属性は、Control Hub に表示されるユーザー アカウントの表示名、連絡先カード、People Insights に使用されます。 |
ユーザアカウント制御 |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl 属性が ds-pwp-account-disabled にマッピングされているか、ユーザーが適切に同期されないことを確認してください。 |
従業員番号 |
従業員番号 |
— |
ファクシミリ電話 |
ファクシミリ電話 |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス(XMPP タイプ)に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性は、ユーザの市区町村を指定します。 |
— |
ロケール |
— |
マネージャー |
マネージャー |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
モバイル |
モバイル |
この属性は、連絡先カードからユーザーに電話をかけるために表示される携帯電話番号として使用されます。 |
O |
O |
この属性は、会社または組織の名前を指定し、連絡先カードに表示されます。 |
または |
または |
この属性は、組織単位の名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性は、ユーザーのオフィス ロケーションを指定します。 |
郵便番号 |
郵便番号 |
この属性は、物理的なメール配信のためのユーザーの郵便番号または郵便番号を指定します。 |
優先言語 |
優先言語 |
この属性は、ユーザーの優先言語を設定し、次の形式がサポートされます。 xx_YY または xx-YY。 いくつかの例を以下に示します。 en_US, en_GB, fr-CA. サポートされていない言語または無効な形式を使用する場合、ユーザーの優先言語は組織の言語設定に変更されます。 |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
snさん |
snさん |
この属性は、Control Hub に表示されるユーザー アカウントの姓、連絡先カード、People Insights に使用されます。 |
セント |
セント |
この属性は、ユーザの都道府県を指定します。 |
番地 |
番地 |
この属性は、物理的なメール配信のためのユーザの番地を指定します。 |
電話番号 |
電話番号 |
この属性では、連絡先カードからユーザーに電話をかけるために使用されるユーザーのプライマリ (職場) 電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性は、ユーザーのタイムゾーンを指定します。 |
タイトル |
タイトル |
この属性では、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
企業 |
— |
*メール *userPrincipalName |
UID (uid) |
必須の属性マッピング。 各ユーザー アカウントについて、Active Directory の値はクラウドの一意の UID にマッピングされます。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 ユーザーは、正しい SAML 属性マッピングが設定されている限り、これらのメール アドレスを使用してサインインできます。 代替メール アドレスをマッピングする方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName *メール <カスタム属性> |
メール; タイプワーク |
このマッピングはオプションです。代替のメール アドレスを使用する場合に使用してください。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。 |
<Azure ユーザー objectId の新しい属性> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザー objectId を保持し、既存の属性と衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームを自動的に作成することを確認します。 |
代替メール アドレスのマッピング
カスタマイズされた属性の式
演算子 |
説明と例 |
---|---|
% |
matches が指定された場合、検索結果が代入されます。
|
- |
指定された文字列の末尾から入力文字列の背面を取り去ります。
|
+ |
入力文字列や式を連結します。
|
| |
空の文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 この手順を使用して、Active Directory 属性から生のアバター データを同期します。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[AD 属性] を選択し、クラウドに同期する未加工アバターデータを含む [アバター属性] を選択します。 |
3 |
アバターが正しくアクセスされていることを確認するには、ユーザーのメール アドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターが右側に表示されます。 |
4 |
アバターが正しく表示されたことを確認したら、[適用] をクリックして変更を保存します。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
リソース サーバーからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
-
この手順の URI パターンと変数値は例を示します。 ディレクトリ アバターが配置されている実際の URL を使用する必要があります。
-
アバター URI パターンとアバターが存在するサーバは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像への http または https アクセスを必要としますが、画像がインターネットで公的にアクセスされる必要はありません。
-
アバター データの同期は、Active Directory ユーザー プロファイルから分離されます。 プロキシを実行する場合、アバター データが NTLM 認証または基本認証によってアクセスできることを確認する必要があります。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[リソース サーバー] を選択し、[アバター URI パターン] を入力します。たとえば、 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 |
(オプション) リソース サーバーで資格情報が必要な場合は、[アバターにユーザー クレデンシャルを設定する] にチェックを入れ、[現在のサービス ログオン ユーザーを使用] または [このユーザーを使用] を選択し、パスワードを入力します。 |
4 |
変数の値を入力します。例: |
5 |
[テスト] をクリックして、アバター URI パターンが正しく機能していることを確認します。 この例では、1 つの AD エントリのメール値が |
6 |
URI 情報が確認され、正しく表示されたら、[適用] をクリックします。 正規表現の使用の詳細については、「Microsoft 正規表現言語クイックリファレンス」を参照してください。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
2 |
[会議室情報をクラウドに同期] をチェックして、同期中に会議室データをユーザー データから分離します。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 |
3 |
[属性マッピング] に移動し、クラウド属性 sipAddresses;type=enterprise の属性マッピングを変更します。 値検証を使用するには、SIP アドレスの値は Pattern.compile("^([^@])(.*)@(.*)$") である必要があります。
|
4 |
Exchange で会議室リソースメールボックスを作成します。 これは、コネクタがルームを識別するために使用する msExchResourceMetaData;ResourceType:Room 属性を追加します。 |
5 |
Active Directory のユーザーとコンピュータから、会議室のプロパティに移動して編集します。 次の sip のプレフィックスを持つ完全修飾の SIP URI を追加します。 |
6 |
ドライランの同期を実行してから、コネクタで完全実行の同期を実行します。 新しい会議室オブジェクトは [追加されたオブジェクト] にリストされ、一致した会議室オブジェクトは、ドライ ラン レポートの [一致したオブジェクト] に表示されます。 削除にフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライ ランの結果には、一致したルームリソースが表示されます。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザー データから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計には、クラウドに同期された会議室データが表示されます。 |
次に行うこと
これらの手順が完了しました。Webex クラウドに登録されたデバイスで検索すると、SIP アドレスで設定された同期された会議室エントリが表示されます。 エントリの Webex デバイスからコールを発信すると、ルームに設定された SIP アドレスにコールが発信されます。
Control Hub から、ディレクトリから会議室を自動的にインポートし、ワークスペースを作成できます。
エンドポイントでは、Webex アプリにコールバックできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスの SIP URI として、または Webex アプリ以外のどこかで登録されている必要があります。 検索する Active Directory 会議室システムが Webex に登録されており、同じメールアドレスが Webex Room デバイス、デスク デバイス、またはカレンダー サービス用の Webex Board にある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。
ディレクトリ同期結果でのメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取る人をカスタマイズできます。
1 |
Directory Connector から、[構成] をクリックし、[通知] を選択します。 |
2 |
Directory Connector から、[設定] をクリックし、[メール受信者] の隣の [レポートの同期を有効にする] をオンに切り替えます。 |
3 |
デフォルトの通知動作をオーバーライドし、1 人以上のメール受信者を追加する場合は、[通知を有効にする] をオンにします。 |
4 |
[追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 |
[メールの追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 |
入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 |
すべての有効なメールアドレスを追加したら、[適用] をクリックします。 |
8 |
すべての有効なメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メール アドレスを削除することを決定した場合、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メール アドレスを削除することを決定した場合、特定のメール アドレス エントリの隣の [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニング
これらの手順に従って、Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成します。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開(単一フォレストまたは複数のフォレストを含む)からユーザをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。
1 |
Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。 |
2 |
クラウドへの Active Directory ユーザーの完全な同期を行う 完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 |
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザーの同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップすることを推奨します。 この最初のステップの後で、個々の変更を行うこともできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。
異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector の目標は、Active Directory と Webex クラウドの間で完全に一致することです。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメインにインストールした Cisco Directory Connector インスタンスでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、すでに Control Hub に一部の Webex アプリ ユーザーがいる場合があります。 クラウド内のユーザーの中には、オンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスが割り当てられる場合があります。 ただし、同期中に削除するテストユーザーもいる場合があります。 Active Directory と Control Hub の間で完全一致を作成する必要があります。
1 |
次のいずれかを選択します。
ドライ ランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトの一致についての情報が含まれます。
ドライ ランでは、ドメイン ユーザと比較してユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属している場合、ユーザを識別できます。 次のステップでは、オブジェクトを削除するか、または保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在しているが、オンプレミスの Active Directory には存在していないとして識別されます。 |
2 |
ドライ ランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じて、オプションを選択します。
|
3 |
[ドライ ランの確認] プロンプトで、[はい] をクリックしてドライ ランの同期を再実行し、ダッシュボードを表示して結果を表示します。 ドライ ランで正常に同期されたアカウントは、[一致したオブジェクト] の下に表示されます。 クラウド内のユーザーが Active Directory に同じメールを持つ対応するユーザーを持っていない場合、エントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するために、同じメールアドレスで Active Directory にユーザーを追加できます。 同期された項目の詳細を表示するには、特定の項目または [一致したオブジェクト] の対応するタブをクリックします。 概要情報を保存するには、[結果をファイルに保存] をクリックします。 |
4 |
結果が予想される場合は、[今すぐ有効にする] をクリックして手動同期を実行し、この時点で手動モードにします。 に移動し、複数ドメイン展開で最後の Active Directory ドメインで同期を行った後、Directory Connector の自動モードを有効にする必要があります。 自動モードを有効にできるのは、オブジェクトが Webex クラウドとすべてのオンプレミスのアクティブ ディレクトリの間で完全に一致している場合のみです。 |
次に行うこと
-
保持した不一致のユーザー オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、それらを Active Directory に追加する必要があります。
-
同期タイプを選択:
-
新しいユーザーを最初にクラウドに同期するときに、クラウドに Active Directory ユーザーの完全な同期を行う。 から行い、現在のドメインのユーザーが同期されます。
-
デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。 増分同期は、最初に完全同期を実行するまで実行されません。
-
-
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意事項
-
完全な同期を有効にする前に、または同期パラメータを変更する場合は、ドライ ランを実行します。 ドライ ランが設定変更によって開始された場合は、ドライ ランの完了後に設定を保存できます。 すでにユーザーを手動で追加している場合、Active Directory の同期を実行すると前に追加したユーザーが削除されます。 クラウドに完全に同期する前に、Directory Connector のドライ ラン レポートを確認して、すべてのユーザーが存在することを確認できます。
-
一致するユーザーが削除するようにマークされ、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」でトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
クラウドへの Active Directory ユーザーの完全な同期を行う
完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合は、各 Active Directory ドメインにインストールした Directory Connector インスタンスでこの手順を実行する必要があります。
Directory Connector はユーザーアカウントの状態を同期します。Active Directory では、無効とマークされているすべてのユーザーもクラウドで非アクティブとして表示されます。
始める前に
-
完全同期後、およびユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにするには、次の手順を実行してメール検証をバイパスする必要があります。
-
シングル サインオンを Webex 組織と統合します。 参照
Cisco Webex サービスと組織の ID プロバイダーによるシングル サインオン
を参照してください。 -
Control Hub を使用して、メール アドレスに含まれるドメインを確認し、必要に応じて要求します。 参照
ドメインの追加、検証、要求
. -
自動招待メールを抑制して、新規ユーザーが Webex アプリへの自動招待メールを受信しないようにします。(独自のメール キャンペーンを実行できます。)
サインインしていないアクティベート済みユーザーは、Control Hub で [確認済み] ステータスで表示されます。 サインインすると、[アクティブ] として表示されます。 ユーザー ステータスの詳細については、「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
-
-
同期を有効にすると、Directory Connector が最初にドライ ランを実行するように求めます。 潜在的なエラーをキャッチするために、完全同期の前にドライ ランを実行することを推奨します。
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 無料アカウントを持つユーザーと同じ無料機能を使用できます。
1 |
次のいずれかを選択します。
|
2 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
3 |
同期を開始したことを確認します。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。 次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
|
4 |
同期のステータスを更新する場合は、[更新] をクリックします。 (同期された項目は [クラウド統計] の下に表示されます。) |
5 |
エラーに関する情報については、[イベント ビューアの起動] を [アクション] ツールバーから選択してエラーログを表示します。 |
6 |
クラウドへの継続的な増分同期のための同期スケジュールを設定するには、「コネクタ スケジュールを設定する」および「増分同期を実行する」を参照してください。 |
-
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [運用] にディレクトリ同期のステータスが更新されます。
-
すべてのデータがオンプレミスとクラウドの間で照合されると、Directory Connector は手動モードから自動同期モードに変更されます。
-
シングル サインオンを統合、ドメインの確認、オプションで同期したメール アカウントのドメインの要求、および自動メールを抑制しない限り、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは未確認の状態のままになります。 アクティブ ユーザーとしてアカウントを同期する方法については、「開始する前に」のセクションを参照してください。
-
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
-
シングル サインオンを Webex と統合し、抑制されたメール通知がある場合、招待メールは新しく同期されたユーザーに送信されません。
-
Directory Connector を有効にした後は、Control Hub でユーザーを手動で追加できません。 有効にすると、ユーザー管理は Cisco Directory Connector から実行され、Active Directory が信頼できる唯一の情報源となります。
-
同期したグループが Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
-
Active Directory からユーザーを削除すると、そのユーザーは次の同期後にソフトで削除されます。 ユーザーは [非アクティブ] になりますが、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にします)。
Active Directory で [アカウントが無効になっています] にチェックを入れると、次の同期後、ユーザーは [非アクティブ] になります。 ユーザーを再度有効にする場合は、クラウド ID プロファイルは 7 日後に削除されません。
-
これらの例外を増加同期に注意してください (代わりに上記の完全同期手順に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルタ、アバター設定での設定変更には完全同期が必要です。
-
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる
Cisco Directory Connector から Control Hub へのフルユーザーの同期が完了したら、Control Hub を使用して同じ Webex サービス ライセンスをすべてのユーザーに一度に割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合、新規ユーザーにライセンスを追加したりできます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Directory Connector から Control Hub への完全なユーザーの同期が完了したら、Control Hub のメソッドを使用して、Webex サービス ライセンスをすべてのユーザー、個々のユーザー、一括 CSV テンプレートを通じてグローバルに割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合は新規ユーザーに自動的に割り当てることができます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Webex アプリユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 メールは Control Hub の通知サービスから送信されます。 シングル サインオン (SSO) を Webex 組織と統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制することもできます。
始める前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
-
Active Directory ユーザーでドライランの同期を行います。
-
ドライ ランの結果を確認した後、Active Directory ユーザーで完全同期を行います。
完全同期の時点で、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されない場合、CSV インポート、ユーザーの手動更新、自動割り当て完了など、Control Hub の標準的なユーザー管理方法によってユーザーにサービスを割り当てると、新規ユーザーはアクティベーション メールを受け取ります。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ユーザーの管理] をクリックし、[すべての同期済みユーザーを変更] を選択し、[次へ] をクリックします。 |
2 |
オプションを選択します。 |
次に行うこと
-
メールが抑制されない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
-
すべてのユーザーに対して同じ Webex サービスを選択した場合、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
-
2012 R2 以前の Windows Server バージョンには、Directory Connector に影響するクッキーの問題があります。 この問題は、バージョン 2012 R2 および 2016 で修正されています。
-
Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
-
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索して発信すると、この時点でコールは無制限に鳴ります。
Webex アプリのユーザーの管理
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。そして、それら変更をまとめて、コネクター サービスに送信します変更には、ユーザー属性の変更と、ユーザーが追加または削除された場合が含まれます。
この同期では、サーバーに負荷がかかるわけではなく、完全同期ほど時間がかかります。最初の完全同期を行った後、その後の同期に増分オプションを推奨します。
開始する前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップ する必要があります。
-
増分同期がサポートされていないこれらの例外に注意してください (代わりに、「クラウドに Active Directory ユーザーの完全な同期を行う 」に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルター、アバター設定の新しい構成変更の場合、増分同期は機能せず、完全同期が必要です。
-
1 |
Directory Connector から [ダッシュボード] をクリックします。 同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 |
2 |
[アクション] から、まだ有効になっていない場合は、[同期モード] > [同期を有効にする] をクリックします。 デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。増分同期は、最初に完全同期を実行するまで実行されません。新しい増分時間間隔が終了すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 |
3 |
[アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
|
4 |
エラーに関する情報については、[アクション] ツールバーから [イベント ビューアの起動] をクリックして、エラー ログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーを復元する
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。ソフト削除機能は、これらの事故から回復し、Control Hub でユーザー アカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織で有効になっています。たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しないため、クラウドでユーザーが削除されると、ユーザーは復元できます。一致しないオブジェクトが通知されたり、ユーザーが削除されたことに気づいた場合、迅速に行動すると復元できる場合があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。バックグラウンド クラウド サービスは、ユーザーを最大 7 日間保持します。この期間中も、Cisco Directory Connector を使用してユーザーを復元できます。これらのユーザーをできるだけ早く復元することをお勧めします。
Active Directory で無効になっているユーザーは、Control Hub で非アクティブとしてマークされますが、ユーザー アカウントは 7 日後に削除されません。
1 | |
2 |
[ユーザー] に移動し、特定のユーザー アカウントが非アクティブ状態であるか、非公開であるかを確認します。 詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。 |
3 |
ユーザーが Control Hub で削除された場合、または非アクティブ状態のユーザーが見つかった場合は、Active Directory に移動し、欠落しているユーザーアカウントを追加してから、Directory Connector でドライラン同期を実行します。 Directory Connector の目標は、Active Directory とクラウドのユーザー情報間で完全一致を作成することです。 |
4 |
完全同期を実行して、一時的に削除されたユーザー アカウントを Control Hub に再同期します。 ユーザーは復元され、アカウント ステータスとサービスの割り当てを含む元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
に進み、以前に削除されたユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザを完全に削除
ドライ ランを実行した後、次の同期でソフトで削除されたユーザを完全に削除できます。
1 |
ドライ ランが完了したら、[ソフト削除済みオブジェクト] を選択します。 |
2 |
削除するユーザの横にあるチェックボックスをオンにします。 |
3 |
[完了] を選択します。 |
次に行うこと
次の同期で、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合、Active Directory でそれらのメール アドレスを変更します。この手順では、単一ドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
メールまたは一部の値を 1 人のユーザーに対してのみ変更する場合は、Active Directory からユーザーを削除してから、同じメールで新しいユーザーを再作成しないでください。クラウドはこのアクションを新しいユーザー アカウントとして解釈すると、ユーザーのスペースとクラウド内のその他のデータは失われます。
Directory Connector はメール ドメインの変更を制限しません。ただし、ユーザーがクラウドに再同期すると、ユーザーの状態は、組織で新しいドメインが検証されているかどうかによって異なります。組織でドメインが確認されていない場合、フル同期後にユーザーのステータスは [保留中] に変更されます。詳細については、「ドメインを管理する」を参照してください。
組織が Directory Connector を使用していない場合、アカウント設定ページからWebex アプリのメール アドレスを変更できます。ユーザーがメールを変更するための手順については、「アカウントのメール アドレスを変更する 」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。クラウド内のアイデンティティ サービスと同期します。
1 |
新規 Active Directory (AD) ドメインをセットアップします。 |
2 |
すべてのコネクタで同期を無効にします。 |
3 |
すべてのコネクタをアンインストールします。 |
4 |
送信する場合は、ドメイン設定と組織内のすべての同期属性の削除をリクエストしてください。 ドメインを変更するためにケースを開く前に、実行中の同期がないことを確認してください。ケースが解決されるまで、Active Directory のユーザー メール アドレスを変更しないでください。 |
5 |
本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメインの要求は、組織のメール ドメインを要求し、サイドボーディングされたアカウントが無料の消費者組織ではなく、有料顧客組織で作成されるように、組織のメール ドメインを要求する場合に発生します。ドメイン要求は、サポート ケースを通じてのみ行えます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織内で作成されません。Active Directory から組織のアカウントをプロビジョニングできるのは、Directory Connector のみです。Active Directory に保存された情報はオリジナルソースです。アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、最初に Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織で無料の Webex アプリ ユーザーを変換する
一意のメール アドレスは Webex アプリ ディレクトリでのみ使用できます。ユーザーが無料バージョンの Webex アプリにサインアップしている場合、そのアカウントは無料消費者組織に存在しています。Directory Connector を使用してこの組織のユーザーを管理するには、Directory Connector をオンにする前に、顧客組織にユーザーを移行 (変換) します。次に、ユーザーを正確なメールアドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ 変換できませんでした
が表示されます。この問題を回避するには、以下の手順を回避策として使用することができます。
一部の要求されたユーザーは、ドライ ランの実行時に movedfrom
属性が表示される場合があります。これらのユーザーは MismatchedObject
の代わりに [削除済みオブジェクト]
リストに表示されます。組織に移動する場合は、これらのユーザーを AD リストに追加する必要があります。
これらのユーザーを追加しない場合、クラウドに同期する隣にあるすべてのユーザーが削除されます。
1 |
Directory Connector からのディレクトリ同期を無効化する。 |
2 |
「Control Hub でライセンスなしのユーザーを変換する」 手順に従って、無料のコンシューマー組織からエンタープライズ組織にユーザーを変換します。 この手順により、ユーザーを組織に追加し、アカウントが Control Hub に表示されます。Directory Connector は、Active Directory をユーザー アカウントの信頼できる唯一の情報源にします。目標は、Active Directory と Control Hub を正確に一致させることです。同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 |
3 |
Directory Connector で、ドライラン同期を実行します。ドライランの完了後、[オブジェクトの追加] タブを確認します。自分が変換したユーザーが削除されていないか確認する。 同期を再有効化する前にドライランを実行して、変換されたユーザーアカウントが Active Directory に表示されるようにする必要があります。同期をオンにし、アカウントが Control Hub にのみ存在する場合、Directory Connector は大文字と小文字を区別し、一致しないメール アドレスで検出された変換されたユーザー (user1@example.com および User1@example.com など) を削除します。 変換されたユーザーが削除されると、Webex アプリのスペースはすべて失われます。 |
4 |
次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしでディレクトリ コネクタをオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリ ユーザー アカウント
Webex アプリのスペースに別のユーザーを招待すると、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボーディング」)。既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリ同期を実行した後で、ユーザー名は の形式で表示されます。
このユーザー名は、Active Directory の displayName
属性がこのように設定されている場合に表示されます。属性がクラウドの displayName
にマッピングされると、Control Hub で名前が の形式で表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性 givenName sn
(または sn givenName
) を Cisco Cloud 属性名の displayName
にマッピングします。
または、属性 sn givenName
を displayName
にマッピングします。
独自のカスタム属性式を displayName
にマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。
たとえば、式として givenName + "" + sn
(名、スペース、姓) を入力します。これにより、Active Directory の 2 つの属性がクラウドの displayName
にマッピングされます。
ユーザーが Webex Meetings での表示名の変更を許可する
ユーザーが好みの表示名を編集できるようにする場合は、Directory Connector でクラウドに同期する displayName
属性のマッピングを解除できます。ユーザーは、名と姓の代わりに、Webex ミーティング中に表示する表示名を入力できます。管理者は、Control Hub で手動でユーザーの表示名を変更することもできます。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 |
2 |
[Cisco Cloud 属性名] で [displayName] を選択します。 |
3 |
[この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集することができるようになりました。
Directory Connector のトラブルューティング
最新のソフトウェア リリースへのアップグレード
展開をコンプライアンスに保ち、最新の機能、機能、バグ修正、セキュリティ強化を入手するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件をサポートしていないバージョンを使用しているなど、問題が発生する場合があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。問題を回避するには、常に最新バージョンにアップグレードします。Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェア アップデートの更新を手動でインストールできますが、[自動アップグレードの設定] の手順に従って、アプリがアップグレードを自動的に管理できるようにすることを推奨します。
1 |
Windows タスクバーで通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 |
手順に従ってアップグレードを完了します。 |
3 |
コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
でソフトウェアのバージョン番号を確認します。 |
次に行うこと
Directory Connector の新規インストールについては、 zip ファイルをダウンロード してから、このガイドのインストール手順に従ってください。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 |
Directory Connector から、[構成] に移動し、[全般] をクリックします。 |
2 |
[コネクタ名] フィールドに、コネクタ名を入力します。このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 |
3 |
ドロップダウン メニューからログ レベルを選択します。既定では、ログレベルは「情報」にセットされています。使用可能なログレベルは以下の通りです。
これらの設定は、電子メールで送信される同期レポートに影響します。ログ レベルを [エラー(Error)] に設定した場合、同期レポートでエラーのみが報告されます。エラーが存在しない場合、同期レポートは送信されません。設定を [情報] に変更すると、完全同期後に同期レポートを受信します。(増分同期では、エラーが報告されない場合、レポートは送信されないことに注意してください)。 |
4 |
[優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 |
5 |
自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。この設定にチェックを入れると、ソフトウェアへの自動アップグレードが利用可能になったときにサイレントにインストールされることを推奨します。 |
6 |
[LDAP over SSL] をチェックして、セキュアな LDAP (LDAPS) を接続プロトコルとして使用します。 LDAP over SSL をオンにしない場合、Directory Connector は引き続き LDAP 接続プロトコルを使用します。 LDAP (Lightweight Directory Application Protocol) および Secure LDAP (LDAPS) は、アプリケーションとインフラストラクチャ内のドメイン コントローラの間で使用される接続プロトコルです。LDAPS 通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、削除しきい値トリガー値として 1
を設定します。完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。[しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 |
Directory Connector から、[構成] をクリックし、[ポリシー] を選択します。 |
2 |
しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。削除の回数が定義した値を越えると、同期は失敗します。
|
3 |
自分が行う削除の最大数を入力します。既定では 20 です。 弊社は既定値を上げないことを推奨します。 |
4 |
適用をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。高可用性 (HA) にはフェイルオーバーが使用されます。コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 |
Directory Connector から、[構成] をクリックし、[スケジュール] を選択します。 |
2 |
増分同期インターバルを分に指定します。 既定では、増分同期は 30 分おきに実行するようセットされています。完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 |
レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 |
[完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 |
[フェイルオーバー間隔]を「分」で指定します。 |
6 |
[適用] をクリックします。 |
複数ドメイン シナリオ
複数のドメインはドメインの優先順位に基づいています。異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
-
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
-
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
-
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
-
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、https://admin.webex.comにリストされます。
新しいドメインを同期し既存のドメインを保持する
別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている Windows サーバーのドメイン (B) 同期に Directory Connector をインストールします。最初のセットアップ後、コネクタは新しいドメインをバインドし、ドメイン (A) の下のユーザー情報に影響が出ないままになります。
すべてのドメインには独自のアクティブ コネクタがあります。以下のセットアップについては、2 つのドメインを考慮します: domain A with connectors (ca1) and (ca2) for local high availability (HA); domain B with connector (cb1). (ca1)and (ca2) serve domain A. In this scenario, one connector is active and the other is standby (HA). この設計では、1 つのコネクタが常にアクティブであるため、ドメインは同期されているままになります。そのため、ドメイン A にはすでにアクティブなコネクタがあるため (ca1 または ca2)、cb1 はドメイン B のアクティブ コネクタです
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
開始する前に
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。https://admin.webex.com からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 |
3 |
リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。 ドメインは、上から下まで、優先順位でソートされます。 |
ドメインを切り替える
Cisco Directory Connector を別のドメインに再バインドするには、次の手順を使用します。
開始する前に
-
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
-
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。Control Hub からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 |
警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタの他のドメインは登録解除され、そのコンピューターのコネクタ情報は削除されます。 |
4 |
Cisco Directory Connector に再度サインインし、ドメインを再バインドします。 |
ディレクトリ同期を無効にする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、次のいずれかを選択します。
|
2 |
指示を読んだ後、[オフにする] をクリックします。 同期は、Directory Connector から再有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。属性マッピングを削除すると、属性値はクラウドから削除され、Webex に同期されなくなります。これらの値は、手動で編集できます。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[属性名] リストから削除するマッピングを選択します。 |
4 |
[影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 |
[適用] をクリックします。 |
プロファイル画像の管理
Directory Connector を使用して、ユーザー プロファイルの写真を更新するか、空白のユーザー プロファイルの写真を削除します。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[アクション] で次のいずれかを選択します。
|
4 |
[適用] をクリックします。 |
Directory Connector をアンインストールして非アクティブ化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
-
ディレクトリ同期化をこれ以上使いたくなくなった。
-
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
-
ドメインを変更して、別のコネクタをインストールしたい。
開始する前に
-
高可用性 (HA) または複数のドメインの同期のために、Directory Connector の複数のインスタンスがセットアップされている場合があります。唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
-
Directory Connector をアンインストールする前に、重要な作業を保存して閉じてください。
1 |
Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 |
プログラムリストから、[Directory Connector] をクリックし、[アンインストール] を選択し、プロンプトに従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、[詳細] |
4 |
指示を読んだ後、[非アクティブ化] をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールの実行
組み込みの診断ツールを使用して、Directory Connector 展開のトラブルシューティングを行うことができます。このツールは Directory Connector 3.4 以降の一部としてインストールされます。
同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Ciso Directory Connector の問題をトラブルシューティング
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する場合があります。また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題を記載したメール レポートを送信する場合があります。発生する可能性のある問題、考えられる原因、およびサポートに連絡する前に試すことができる解決策については、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が動作していないことを知らせる警告メールを受信しました。
-
Directory Connector が正しくインストールされていない可能性があります。
-
Directory Connector が実行されていない可能性があります。
-
ネットワークは使用できない可能性があります。
以下の作業を行います。
-
を開きます。Directory Connector を検索します。存在しない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
-
[サービス] を開き、Cisco DirSync Service を見つけます。ステータスが [開始] として表示されていることを確認します。サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
-
Directory Connector をインストールしたサーバーにインターネットへのアクセス権があることを確認してください。
再インストールエラー
問題: 古いコネクタをアンインストールした後、すぐに新しいコネクタをインストールすると、エラー メッセージが表示される場合があります。
考えられる原因: Windows Server 2012 では、アンインストールクライアントはサービス リストからサービス アカウントを削除するのに時間を必要とします。
解決策: 時間が経過したら、もう一度インストールをお試しください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュ
問題
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュする場合があります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
-
ドメイン コントローラに移動し、グループ ポリシー管理 (gpedit.msc) を開きます。
-
特定の OU またはドメインを右クリックし、[このドメインで GPO を作成] を選択し、[ここにリンク...
-
ポリシーに名前を付けて、右クリックして [編集] を選択します。
マシン レベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
変更は、gpupdate /force
を実行した後、マシンが再起動した後 (マシン変更の場合)、またはユーザーが再びサインインした後 (ユーザー変更の場合)、有効になります。
Cisco DirSync Service Connector を登録できませんでした
問題
サインインに失敗すると、「Cisco DirSync Service Connector が登録できませんでした」というメッセージが表示されます。
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題
Directory Connector を開くと、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
-
Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に移動します。Chrome や Firefox などの他のブラウザでリンクをお試しください。
-
Internet Explorer がリンクにアクセスできないが、他のブラウザがアクセスできない場合は、Internet Explorer の設定をチェックし、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする 手順を使用します。)
サインインプロンプトが表示されます
問題
ユーザ名とパスワードを入力して認証を渡すように要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインイン アカウントで NTLM セキュリティ認証をサイレントに完了します。認証に失敗した場合、ダイアログがポップアップして、認証ユーザ名とパスワードを要求します。
対処方法
サインイン ポップアップ ウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題
通常の操作中に、「リモートサーバーに接続できません」というエラーメッセージが表示されます。
考えられる原因
プロキシの問題を解決する必要がある問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービス アカウント サインインの問題をトラブルシューティング 」を参照してください。
コネクタを登録できません
問題
「コネクタを登録できません。一般的な例外が発生しました」。
考えられる原因
ほとんどの場合、問題は、Directory Connector が LDAP ルートコンテキストに接続する権限を持っていないためです。
対処方法
以下の作業を行います。
-
コマンド プロンプト (cmd) を実行し、ldp.exe を入力します。
-
[現在ログインしているユーザーとしてバインド] を選択し、[OK] をクリックします。
をクリックし、 -
[OK] をクリックします。
をクリックし、BaseDN として [DC=arbonneintl,DC=ad] を入力し、 -
問題が継続する場合、サポートでケースを開きます。
同期
アバターが同期されていません
問題
Cisco Directory Connector がユーザー AD データを Webex クラウドに同期しました。ただし、正常に同期されたアバター データはありません。
考えられる原因
既存のアバター サーバを再使用し、ユーザ アバターがすでに同期されている場合、ローカル キャッシュによりキャプチャされ、再送信が回避され、帯域幅が節約されます。
対処方法
次の手順に従って、ローカル キャッシュを削除します。
-
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\ に移動します。
-
DirSyncPluginAvatar.dll-cache.bin を削除します。
-
Cisco Directory Connector からアバターの同期を再実行します。
競合するユーザー メール アカウント
問題
同期結果に競合するユーザー メール アカウントが表示される場合があります。
-
ユーザーが Webex アプリの無料バージョンを試した場合、メール アドレスは無料コンシューマー組織内に存在します。
-
ユーザーのメールが別の組織で同期されたことがない場合。
-
ユーザーのメールが組織に属する複数のドメインに存在する場合。
対処方法
以下の作業を行います。
-
ユーザーを要求する場合は、次の手順に従います。
-
Control Hub でドメインを確認済みしていることを確認します。
-
Cisco Directory Connector を一時的に無効にします。
-
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在する可能性があるアカウントを申請します。詳細については、「ユーザーを組織に要求する (ユーザーの変換) 」を参照してください。
-
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再度有効にします
-
-
最後のケースでは、Active Directory ソースのユーザー データをダブルチェックします。
非アクティブとしてマークされた変換ユーザー
問題
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、そのユーザーはセキュリティ コンプライアンス メジャーとして 30 日間非アクティブ ステータスとしてマークされます。この期間中は、ユーザーは Webex アプリにサインインできず、30 日間の期間終了時に削除対象としてマークされます。この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除しない場合は、アクションを実行する必要があります。この問題を解決するには、変換された無料ユーザー アカウントに対応するオンプレミスの Active Directory でユーザー アカウントを作成します。次に、Cisco Directory Connector から同期を実行します。その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期が失敗する
問題
増分同期に失敗しました。
この問題は、次の条件で Windows Server 2008 R2 で発生する場合があります。
-
増分値の更新をサポートします。
-
使用するフィルタは、リンクされた値属性を参照します。
-
その属性の結果値は、前回完全な同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されました。Windows Server を少なくとも 2012 R2 にアップグレードすることを推奨します。
属性の値が無効です
問題
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com の場合、属性 [電話番号] には次の無効な値があります。+ この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。警告メッセージの記述に従ってこの値を修正してください。再度同期を行います。
削除される一致したユーザー
問題
一致したユーザーは削除対象としてマークされます。
ドライ ラン同期を実行して Active Directory とクラウド間のデータを確認する場合、両方に同じメール アドレスが表示される場合があります。ただし、ユーザーは削除するオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
-
ユーザーを削除してライセンスを再実行しても問題ない場合は、修正のために Directory Connector を使用できます。同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
-
ユーザー アカウントを削除して再作成できない場合は、サポートでケースを開きます。
属性がありません
問題
オンプレミスのエントリ [user dn (distinguished name)] を追加する場合に必要な属性 [attribute_name]。すべての必須属性に値が設定されるまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加すると、すべての必須属性が値になるまで、エントリは Control Hub で作成されません。
対処方法
ユーザー [user_email_address] に必要な属性の 1 つがありません。そのユーザーに必要な値を提供してください。
ネストされたグループが同期されません
問題
ネストされた Active Directory グループのユーザーは、クラウドに適切に同期されません。
考えられる原因
子グループと親グループの両方を含むフィルタが使用され、サポートされていません。たとえば、次のようなものです。(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。たとえば、次のようなものです。|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザー名の競合
問題
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。[user email address]、およびユーザータイプ [user_type]。
考えられる原因
そのメール アドレスを使用するユーザーはすでに Control Hub に存在しています。
対処方法
Control Hub を通じて登録したアカウントと同じメール アドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub でユーザー リストが見つかりません
問題
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
検索機能を使用してユーザーアカウントを検索できます。Control Hub で、[ユーザー] に移動し、検索 をクリックし、検索条件を入力して特定のユーザーを見つけます。
グループは Control Hub に同期されません
問題
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは Active Directory で isCriticalSystemObject
としてタグ付けされません。
対処方法
Active Directory で属性 isCriticalSystemObject
が TRUE
に設定されていることを確認してください。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
ログ ファイル: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
|
2 |
サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 |
3 |
Directory Connector で、[ダッシュボード] をクリックします。 |
4 |
[アクション] に移動し、 をクリックします。 |
5 |
トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 |
6 |
ログ ファイルを確認します。ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。 ログ フォルダーは過去 3 日間のファイルのみを保存します。ログ ファイルのコンテンツは、システムへのイベント ログ出力と一致しています。 |
7 |
必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 |
8 |
完了後は、トラブルシューティング機能を無効にしてください。 |
イベントビュアーを開始
完全もしくは増加同期中に発生したイベントを確認するには、イベントビューを開始します。管理イベントとエラーログの概要が表示されます。
1 |
Directory Connector から [ダッシュボード] に移動し、 をクリックします。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 |
イベント ビューアから、 に移動します。 |
3 |
[アクション] の下で、[すべてのイベントに名前を付けて保存] をクリックして、すべてのログを 1 つの Events ファイル (*.evtx)、または xml や csv などの別の形式としてエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明し、ケースに Events ファイルを添付してください。
イベント ログではユーザー アクションをキャプチャします。ネットワーク トラフィックの管理については、コネクタでトラブルシューティングを有効にします。
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えると、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
-
サービスへのログオンでエラーが発生しました
-
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 |
Internet Explorer を開き、[ツール] を選択します。今すぐ有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じて、再度開きます |
2 |
[インターネット オプション] をクリックし、[詳細] に進み、[セキュリティ] までスクロールします。 |
3 |
[TLS 1.1 を使用する] および [TLS 1.2 を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 |
変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco Directory Connector にサインインできない、または同期を実行できない場合は、サポートに連絡する前に、これらの手順を使用して問題を解決してください。
1 |
ウェブ ブラウザーの https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に行きます。 |
2 |
結果によりますが、1 つを選択します。
|
3 |
少なくとも、Cisco DirSync サービス(Windows サービスで確認できる)に設定されたアカウントに、アバター データと AD データにアクセスできる特権レベルがあることを確認してください。デフォルトでは、サービスは Windows ログイン アカウントの資格情報と認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
Cisco Directory Connector の概要
ディレクトリ コネクタの概要
Directory Connector は、クラウドへの ID 同期のためのオンプレミス アプリケーションです。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、ユーザー アカウントとデータを Active Directory に保存できるため、Active Directory が信頼できる唯一の情報源となります。オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、利点を参照します。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードは、同期スケジュールの概要と、同期の状況、Directory Connector のステータスを提供します。サインインしていつでもダッシュボードを表示できます。 |
クラウドに同期する前にドライ ランを行う | クラウドに実装する前に、ディレクトリへの変更のドライ ランを実行します。レポートを実行し、望む変更が期待するものであるか確認します。 |
完全および増加同期 | ディレクトリ全体を同期します。または増加変更のみを同期し、処理電源に保存して、同期時間を短くします。 |
複数のドメイン (単一フォレストまたは複数のフォレスト) を同期します |
Directory Connector は、単一のフォレスト、または複数のフォレスト (AD LDS を必要としない) のどちらかで複数のドメインをサポートします。複数の Active Directory ドメインを持つ企業の場合、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドし、各ユーザー ベースを Webex に同期できます。Control Hub は、複数の Directory Connector の同期状態を表示することで、ステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を非アクティブ化できます。 |
スケジュールされた同期 | 日、時間、分で同期のスケジュールを設定できます。 |
Lightweight フィルター Access Protocol (LDAP) フィルター | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory の属性を対応する Webex クラウド属性にマッピングします。Active Directory の設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソースの SIP アドレス、その他のユーザー連絡先カード データ (役職、部署、マネージャなど) など、クラウド内のさまざまなデータをフォームします。 |
オンプレミスの会議室リソースと Webex ライセンスのない Cisco Webex Calling (Cloud PSTN) ユーザーおよびエンタープライズの連絡先の企業ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの会議室デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューアー | イベント ビューアーを使用して、同期に問題があるか確認します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、Active Directory への接続をテストします。 Directory Connector でトラブルシューティングを有効にすると、ログが書き込まれてテクニカル サポートに送信されます。 |
自動アップグレード | Directory Connector をインストールした後、新しいソフトウェアのバージョンが利用可能になると通知が送信されます。新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用できるように自動アップグレードを設定できます。 |
高可用性 | メインのコネクタやマシンのホスティングがダウンした場合のために、バックアップを作成するため、複数のコネクタを構成します。 |
Directory Connector は、三つの領域に分けられます:
-
Control Hub は、Webex 組織のあらゆる面を管理できる単一のインターフェイスです。ユーザーがエンタープライズ ID プロバイダを通して認証し、Webex アプリの招待メールを送信しない場合は、ユーザーを表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO) の設定 を行います。
-
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。複数のアクティブ ディレクトリ ドメインについて、同期する各ドメインにソフトウェアのインスタントを 1 つインストールできます。ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持ち込み、同期ステータスを表示および監視し、Directory Connector サービスを設定することができます。
-
ディレクトリ同期サービス は、Active Directory をクエリして、同期するユーザーとグループをコネクタサービスと Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、次の図を参照してください。
Directory Connector のための環境の準備
Directory Connector の要件
Windows および Active Directory の要件
次のサポートされている Windows サーバーに Directory Connector をインストールできます。
-
Windows サーバー 2022
-
Windows Server 2019
-
Windows Server 2016
Cookie の問題を解決するには、ドメインコントローラを Windows Server 2012 R2 または 2016 という修正を含むリリースにアップグレードすることを推奨します。
Directory Connector は、次の Active Directory サービスでサポートされています。
-
Active Directory 2016 年
(Directory Connector は、Windows Server 2019 で最新バージョンの Active Directory を使用する場合にサポートされます)
-
Active Directory 2012 年
-
Active Directory 2008 R2
-
Active Directory 2008 年
次の追加要件に注意してください。
-
Directory Connector には TLS1.2 が必要です。以下をインストールする必要があります。
-
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。問題が発生した場合は、「 ロールと機能の追加ウィザードを使用して .NET Framework 3.5 を有効にする」の手順を使用します。)
-
.NET Framework v.4.5 (TLS1.2 に必要)
-
-
アクティブ ディレクトリ forest 機能レベル 2 (Windows Server 2003) またはそれ以降が必要です。(詳細については、「アクティブ ディレクトリの機能レベルとは?」を参照してください。)
ハードウェアの要件
次の最小ハードウェア要件を持つコンピュータに Directory Connector をインストールする必要があります。
-
8 GB の RAM
-
50 GB のストレージ
-
CPU の最低条件はありません
ネットワーク要件
ネットワークがファイアウォールの背後にある場合は、システムでインターネットへの HTTPS (ポート 443) アクセスがあることを確認してください。
Webex 組織の要件
-
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
-
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにする場合は、次の操作を行うことを推奨します。
-
クラウドに同期するユーザーのメールアドレスを含むドメインの追加、検証、およびオプションで要求 します。
-
ID プロバイダー (IdP) と Webex 組織のシングル サインオン (SSO) インテグレーション を行います。
-
自動招待メールを抑制することで、新規ユーザーが自動招待メールを受信しなくなり、独自のメールキャンペーンを行うことができます。(この機能は SSO インテグレーションが必要です。)
-
詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。
インストール要件
-
複数のドメイン環境 (単一フォレストまたは複数のフォレストのいずれか) については、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている別の Windows サーバーを持ち、ドメイン (B) 同期に Directory Connector をインストールします。
-
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシン上の権限を持っている必要があります。マシンログイン アカウントは、ローカル マシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。(この情報は、仮想マシンのログインにも適用されます)。
-
コネクタにサインインする際に、サインイン アカウントは Control Hub のフル管理者アカウントと同じである必要があります。デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。ただし、Windows サービスを使用して、Active Directory にアクセスするための別のアカウントを設定することができます。(この情報は、仮想マシンのログインにも適用されます)。
-
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)検索モードが有効になっていることを確認します。Windows レジストリで SafeDllSearchMode を確認します。
-
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector および Active Directory ドメイン サービス/Active Directory ライトウェイト ディレクトリ サービス(AD DS/AD LDS)を別のマシンにインストールすることを推奨します。
複数のドメインの要件
Cisco Directory Connector 展開タスク フローのタスクに従う前に、複数のドメインから Active Directory 情報をクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
-
各ドメインには、Directory Connector の個別のインスタンスが必要です。
-
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホスト上で実行する必要があります。
-
Control Hub でドメインを確認または要求することをおすすめします。(「ドメインの追加、検証、要求」を参照してください。)
-
50 を超えるドメインを同期する場合は、組織を大規模な組織リストに移動させるために、チケットを開く 必要があります。
-
必要に応じて、ルーム リソース情報をユーザー アカウントと同期できます。(「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください)。
自動ライセンス割り当てに関する Active Directory グループの推奨事項
Active Directory グループは、ユーザーアカウント、コンピュータアカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。個々のユーザーとするのではなく、グループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。
Active Directory には 2 種類のグループがあります。
-
配信グループ: メール配信リストを作成するために使用されます。
-
セキュリティ グループ: 共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する際には、次のガイドラインを考慮してください。
-
各役割、部署、サービス (セールス、マーケティング、マネージャー、会計士、Webex ライセンスなど) に対してグローバルグループを作成します。
-
組織全体の標準命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。グループ名には、アクセス レベル、リソース タイプ、セキュリティ レベル、グループ スコープ、メール機能など、グループに関する詳細を含めることができます。 たとえば、グループ名「GSG_Webex_Licensing_EMEAR」は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
-
地理や管理階層など、わかりやすい方法でグループを整理します。グループの説明を使用して、グループの目的を完全に説明します。
-
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの自動ライセンス グループ テンプレートを Control Hub で定義します。詳細については、「自動ライセンス割り当てテンプレートを設定する 」を参照してください。
サイズ情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウドの間のブリッジとして機能します。そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限はありません。プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられます。
同期の速度に影響を与える要因はいくつかあります。
-
Active Directory オブジェクトの合計数。(5000 人のユーザー同期ジョブは 50,000 件までかかります。)
-
ネットワーク速度と帯域幅。
-
システムのワークロードと仕様。
50,000 人を超えるユーザを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強く推奨します。
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間の特定の時間値を提供できません。
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織で透過ウェブ プロキシを使用している場合、認証はサポートされません。コネクタはユーザーを正常に接続し、同期します。
以下のいずれか 1 つのアプローチを選択することができます。
-
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を引き継ぎます)
-
.pac ファイルを介した明示的なウェブ プロキシ (コネクタはエンタープライズ固有のプロキシ設定を継承します)
-
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するようにディレクトリ コネクタを設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 |
Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 |
2 |
コネクタがウェブ プロキシにインストールされている Windows インスタンスを指します。コネクタはこれらの Web プロキシ設定を継承します。 |
3 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
4 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。このファイルは、Web プロキシ アドレスとポート情報を提供します。Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 |
コネクタが正常に接続し、ユーザー情報を Webex クラウドに同期するには、コネクタがインストールされているホストの .pac ファイル構成で |
2 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
3 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
NTLM プロキシ
Directory Connector は NT LAN Manager (NTLM) をサポートします。NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLM デザイン
ほとんどの場合、ユーザは、クライアント PC を通じて別のワークステーションのリソースにアクセスすることを希望します。これは、安全な方法で実行するのが難しい場合があります。
一般的に、NTLM の技術的な設計は、チャレンジ
と応答
のメカニズムに基づいています。
-
ユーザは Windows アカウントとパスワードを使用してクライアント PC にサインインします。パスワードはローカルに保存されません。プレーン テキスト パスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。ユーザがパスワードを通じてクライアントにサインインすると、Windows OS は入力パスワードから保存されたハッシュ値とハッシュ値を比較します。両方が同じ場合、認証はパスされます。
ユーザが別のサーバのリソースにアクセスする場合、クライアントはアカウント名でプレーンテキストで要求を送信します。
-
サーバがリクエストを受信すると、サーバは 16 ビットランダムキーを生成します。キーは Challenge(または Nonce)と呼ばれます。サーバがクライアントに戻す前に、チャレンジはサーバに保存されます。その後、サーバーはプレーンテキストでクライアントにチャレンジを送信します。
-
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値でチャレンジを暗号化します。暗号化後、値はサーバに返されます。
-
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにドメイン コントローラに送信します。リクエストには次のものが含まれます。アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
-
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。そして、ドメインコントローラは、元のチャレンジで暗号化できます。次に、ドマンコントローラーは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。同じ場合、検証は成功します。
Windows はオペレーティング システムにセキュリティ認証を組み込み、アプリケーションがセキュリティ認証をサポートしやすくします。結果として、さらに設定を完了する必要はありません。
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 |
コネクタがユーザに接続して同期できるように、透過プロキシを展開します。 |
2 |
プロキシが成功したことを確認します。コネクタの起動時にブラウザ認証ポップアップ ウィンドウが期待されます。 |
プロキシ認証の設定
アクセス コントロール リストを作成して、許可リストに URL cloudconnector.webex.com
を追加します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 |
DNS 検索が有効になっていない場合、有効にします。 |
2 |
この接続の推定帯域幅を決定します (コネクタでは約 2 mb/秒以下)。この限りでは無いことがあります。 |
3 |
アクセス コントロール リストを作成してコネクタ ホストに適用し、許可リストに追加するターゲットとして たとえば、次のようなものです。 access-list 2000 acl-inside extended permit TCP [コネクタの IP] cloudconnector.webex.com eq https |
4 |
この ACL を、この単一コネクタ ホストにのみ適用可能な適切なファイアウォール インターフェイスに適用します。 |
5 |
所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Directory Connector を展開する
Cisco Directory Connector の展開タスク フロー
1 |
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。 Directory Connector の新規インストールについては、常に Control Hub (https://admin.webex.com) に移動してソフトウェアの最新バージョンを入手し、最新の機能とバグ修正を使用できるようにしてください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
2 |
Webex 管理者資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。 この手順を使用して、ソフトウェアが利用可能になったときにサイレントにインストールされるようにすることを推奨します。 |
4 |
同期する Active Directory オブジェクトの選択 デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。 |
5 |
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid です。 |
6 |
次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期することで、各ユーザーのアバターがアプリケーションにサインインしたときに表示されます。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 |
オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、Webex Room デバイスまたは Cisco Webex Board などのクラウド登録された会議室デバイスで検索可能なエントリとして表示されます。 |
8 |
Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この手順に従って、Webex アプリアカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降のために、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。
同期する各 Active Directory ドメインに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、単一のドメインにのみサービスを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバを通じて認証する場合は、次のプロキシ クレデンシャルがあることを確認します。
-
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後でユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシ設定も必要です。ブラウザから Web プロキシを使用するを参照してください。
-
プロキシ NTLM の場合、初めてコネクタを開くと、エラーが発生する場合があります。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
Control Hub で、 に移動し、[次へ] を選択します。 |
2 |
[ダウンロードとインストール] リンクをクリックして、コネクタのインストール .zip ファイルの最新バージョンを VMware または Windows サーバーに保存します。 .zip ファイルをこのリンクから直接取得できますが、このソフトウェアが機能するには、Control Hub 組織への完全な管理アクセス権が必要です。 新しいインストールについては、最新の機能とバグ修正を使用できるように、ソフトウェアの最新バージョンを取得してください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
3 |
VMware または Windows サーバーで、セットアップ フォルダで .msi ファイルを解凍して実行し、セットアップ ウィザードを起動します。 |
4 |
[次へ] をクリックし、ボックスにチェックを入れてライセンス契約に同意し、アカウントタイプの画面が表示されるまで [次へ] をクリックします。 |
5 |
使用するサービス アカウントのタイプを選択し、管理者アカウントでインストールを実行します。
エラーを回避するために、次の権限が設定されていることを確認してください。
|
6 |
[インストール] をクリックします。 ネットワーク テストの実行後、プロンプトが表示されたら、プロキシ基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバを再起動することをお勧めします。 ドライ ラン レポートは、データがリリースされていないときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector にサインイン
始める前に
プロキシの資格情報を持っていることを確認します。
-
プロキシ基本認証の場合、初めてコネクタを開いた後でユーザー名とパスワードを入力します。
-
プロキシ NTLM の場合は、Internet Explorer を開き、歯車アイコンをクリックし、[インターネットオプション] > [接続] > [LAN 設定] に進み、プロキシ サーバー情報が追加されていることを確認し、[OK] をクリックします。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
コネクタを開き、プロンプトが表示されたら、 |
2 |
プロンプトが表示されたら、プロキシ認証資格情報でサインインし、管理アカウントを使用して Webex にサインインし、[次へ] をクリックします。 |
3 |
組織とドメインを確認します。
|
4 |
[組織の確認] 画面が表示されたら、[確認] をクリックします。 すでに AD DS/AD LDS にバインドしている場合は、[組織の確認] 画面が表示されます。 |
5 |
[確認] をクリックします。 |
6 |
Directory Connector にバインドする Active Directory ドメインの数に応じて、1 つを選択します。
|
次に行うこと
サインインすると、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector ダッシュボード
Directory Connector に初めてサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティの概要の表示、クラウド統計の表示、ドライラン同期の実行、完全または増分同期を開始し、エラー情報を表示するためにイベント ビューを起動できます。
これらのタスクは、[アクション] ツールバーまたは [アクション] メニューから簡単に実行できます。
コンポーネント |
説明 |
---|---|
現在の同期 |
現在進行中の同期に関するステータス情報を表示します。 同期が実行されていない場合、ステータスの表示はアイドル状態になります。 |
次の同期 |
次にスケジュールされた完全同期と増分同期を表示します。 スケジュールが設定されていない場合、[スケジュールされていません] が表示されます。 |
最後の同期 |
最後に実行された 2 つの同期のステータスを表示します。 |
現在の同期ステータス |
同期の全体的なステータスを表示します。 |
コネクタ |
クラウドで使用可能な現在のオンプレミス コネクタを表示します。 |
クラウド統計 |
同期の全体的なステータスを表示します。 |
同期スケジュール |
増分同期と完全同期のための同期スケジュールを表示します。 |
設定の概要 |
設定で変更した設定が一覧表示されます。 たとえば、概要には以下が含まれる場合があります。
|
アクション | 説明 |
---|---|
増分同期を開始 |
増分同期を手動で開始 このアクションは、同期を一時停止または無効にする場合、完全な同期が完了していない場合、または同期が進行中の場合に無効になります。 |
ドライランの同期 |
ドライ ラン同期を実行します。 |
イベント ビューアを起動 |
Microsoft イベント ビューアを起動します。 |
更新 |
Cisco Directory Connector ダッシュボードを更新 |
アクション |
説明 |
---|---|
今すぐ同期 |
完全な同期をすぐに開始します。 |
同期モード |
増分同期モードまたは完全同期モードを選択します。 |
コネクタ シークレットをリセット |
Cisco Directory Connector とコネクタ サービス間の会話を確立します。 このアクションを選択すると、クラウド内の秘密がリセットされ、秘密がローカルに保存されます。 |
ドライ ラン |
同期プロセスのテストを実行します。 完全同期を行う前に、ドライ ランを実行する必要があります。 |
トラブルシューティング |
トラブルシューティングをオンまたはオフにします。 |
更新 |
Cisco Directory Connector のメイン画面を更新します。 |
終了 |
Cisco Directory Connector を終了します。 |
キーの組み合わせ |
アクション |
---|---|
Alt + A |
[アクション] メニューを表示する |
|
今すぐ同期 |
|
コネクタ シークレットをリセット |
|
ドライ ラン |
|
増分同期 |
|
完全同期 |
|
[ヘルプ] メニューを表示 |
|
ヘルプ |
|
バージョン情報 |
|
よくある質問 |
自動アップグレードの設定
1 |
Directory Connector から、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] をオンにします。 に進み、 |
2 |
[適用] をクリックして変更を保存します。 |
コネクタの新しいバージョンは利用可能になったら自動的にインストールされます。
必要に応じて、アップグレードを手動で管理できます。 詳細については、「最新のソフトウェア リリースへのアップグレード」を参照してください。
同期する Active Directory オブジェクトの選択
デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期した Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex は新規ユーザーのユーザー メンバーシップと自動ライセンス テンプレート マッピングを確認します。
LDAP フィルタを使用して、関連するグループをクラウドに同期することのみを推奨します。 たとえば、フィルタを次のように設定できます。
(&(cn=例)(objectclass=グループ))*
このフィルタは、ベースの DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、パイロットユーザーのトライアル グループを設定するためにハイブリッド データ セキュリティを使用している場合は、[グループ] をオンにする必要があります。 詳細については、「ハイブリッド データ セキュリティの展開ガイド」を参照してください。 この Directory Connector の設定は、クラウドへの他のユーザーの同期には影響しません。
1 |
Directory Connector から、[構成] に移動し、[オブジェクトの選択] をクリックします。 |
2 |
[オブジェクトタイプ] セクションで、[ユーザー] にチェックを入れ、ユーザーの検索可能なコンテナーの数を制限することを検討してください。 たとえば、特定のグループ内のユーザーのみを同期する場合は、[ユーザー] の LDAP フィルタフィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のようなフィルターを使用します。
|
3 |
[会議室の識別] にチェックを入れ、会議室データをユーザー データから分離します。 ユーザー データを会議室データとして識別するための追加の属性を設定する場合は、[カスタマイズ] をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された会議室デバイスで検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください。 |
4 |
Active Directory ユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザ同期の LDAP フィルタを追加しないでください。 グループ データ自体をクラウドに同期するには、[グループ(Groups)] フィールドのみを使用してください。 デフォルトでは、グループは新しい顧客に対して同期されません。 グループ同期を有効にする必要があります。 セキュリティ グループも同期する必要があります。 |
5 |
ユーザーの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。 Directory Connector は、コネクタによって同期された連絡先のみを管理します。 Control Hub にすでに連絡先がある場合は、同期によって連絡先は削除されません。 同期範囲から連絡先が削除された場合、ユーザーの連絡先情報も Control Hub で削除されます。 |
6 |
LDAP フィルタを設定します。 有効な LDAP フィルタを提供することにより、拡張フィルタを追加できます。 LDAP フィルタの設定の詳細については、この記事を参照してください。 |
7 |
[選択] をクリックして、[同期するオンプレミス ベース DN] を指定して、Active Directory のツリー構造を確認します。 ここから、検索するコンテナーを選択または選択解除できます。 |
8 |
この構成に追加するオブジェクトを確認し、[選択] をクリックします。 同期に使用する個別または親コンテナーを選択できます。 親コンテナーを選択して、すべての子コンテナーを有効にします。 子コンテナーを選択した場合、親コンテナーには、子コンテナーがチェックされたことを示すグレーのチェックマークが表示されます。 次に、[選択] をクリックして、チェックした Active Directory コンテナーを受け入れることができます。 組織ですべてのユーザーとグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 組織が組織単位に分割されている場合は、必ず [OU] を選択してください。 |
9 |
[適用] をクリックします。 オプションを選択します。
ドライ ランの詳細については、「Active Directory ユーザーでドライ ラン同期を行う」を参照してください。 グループ同期では、完全同期を行う必要があります。 クラウドに Active Directory ユーザーの完全な同期を行います。 |
ユーザー属性をマッピング
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid で、クラウド アイデンティティ サービスの各ユーザー アカウントの一意の識別子です。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、Active Directory で firstName lastName をマッピングしたり、クラウドで displayName にカスタム属性式をマッピングしたりできます。
Active Directory のアカウントにはメール アドレスが必要です。既定では、uid はメールの ad
フィールドにマッピングされます (sAMAccountName
ではありません)。
Active Directory から優先言語を選択した場合、Active Directory は真実の唯一のソースとなります。 ユーザーは Webex 設定で言語設定を変更できず、管理者は Control Hub の設定を変更できません。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 このページには Active Directory (左) と Webex クラウド (右) の属性名が表示されます。 必須の属性はすべて赤いアスタリスクでマークされます。 |
2 |
[Active Directory 属性名] の一番下までスクロールし、これらの Active Directory 属性の 1 つを選択して、クラウド属性 uid にマッピングします。
他の Active Directory 属性のいずれか uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 Active Directory のどの属性がクラウドで一致するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。 同期を動作させるには、選択する Active Directory 属性が電子メール形式であることを確認する必要があります。 推奨属性の 1 つを選択しない場合は、Directory Connector にポップアップが表示されます。 |
3 |
事前に定義された Active Directory 属性が展開で機能しない場合、属性ドロップダウンをクリックし、下部までスクロールして、[属性をカスタマイズ] を選択して、属性表現を定義できるウィンドウを開きます。 [ヘルプ] をクリックして、式に関する詳細を確認し、式がどのように動作するかを確認してください。 詳細については、「カスタマイズされた属性の式」を参照してください。 この例では、Active Directory 属性 Directory Connector は、アイデンティティ サービスの uid の属性値を検証し、現在のユーザー フィルター オプションで 3 人の使用可能なユーザーを取得します。 これらの 3 人のユーザーのすべてに有効なメール形式がある場合、Cisco Directory Connector には次のメッセージが表示されます。 属性が確認できない場合、次の警告が表示され、Active Directory に戻り、ユーザー データを確認および修正できます。 |
4 |
(オプション) Webex アプリのユーザーの連絡先カードにモバイル番号と職場の番号を表示する場合は、モバイルとtelephoneNumber のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号のデータが Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) の通話展開ガイド」(管理者) を参照してください。 |
5 |
追加のマッピングを選択して、連絡先カードに表示されるデータを追加します。
属性がマッピングされると、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡しようとしている相手を確認する」を参照してください。 これらの属性を各ユーザー アカウントに同期した後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーは、プロファイルでより多くの情報を共有し、お互いについて詳しく知ることができます。 機能と有効にする方法の詳細については、「Control Hub の Webex、Jabber、Webex Meetings、および Webex Events (新) の People Insights プロファイル」を参照してください。 |
6 |
選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 対応するメール アドレスが Active Directory にないユーザーは削除されます。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
Active Directory とクラウドの属性
[ユーザー属性マッピング] タブを使用して、ローカルの Active Directory からクラウド内の対応する属性に属性をマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較したものです。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンで異なる属性を選択し、どのオンプレミス属性がどのクラウド属性と同期するかを決定できます。
ドロップダウン属性は、プリセットとして考えてください。 Active Directory 行の値の代わりに、Active Directory でカスタマイズされた属性(複数の属性を持つ式)を指定して、対応する行内の単一のクラウド属性にマッピングすることもできます。 このようにして、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory の従業員名、指定された名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする Active Directory 属性のいずれかを指定することもできます。 ただし、オンプレミスの属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、ユーザーのメール アドレスがカレンダーを管理するために使用されている場合、代替のメールアドレスを使用することもできます。 この場合、別のメール アドレスを emails;type-work 属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。
Active Directory の属性名 |
Webex クラウドの属性名 |
メモ |
---|---|---|
— |
ビル名 |
— |
C |
C |
この属性は、ユーザーの国の略称を指定します。 |
部門番号 |
部門番号 |
この属性は、連絡先カードとPeople Insights に表示されるユーザーの部署番号に使用されます。 |
表示名 |
表示名 |
この属性は、Control Hub に表示されるユーザー アカウントの表示名、連絡先カード、People Insights に使用されます。 |
ユーザアカウント制御 |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl 属性が ds-pwp-account-disabled にマッピングされているか、ユーザーが適切に同期されないことを確認してください。 |
従業員番号 |
従業員番号 |
— |
ファクシミリ電話 |
ファクシミリ電話 |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス(XMPP タイプ)に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性は、ユーザの市区町村を指定します。 |
— |
ロケール |
— |
マネージャー |
マネージャー |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
モバイル |
モバイル |
この属性は、連絡先カードからユーザーに電話をかけるために表示される携帯電話番号として使用されます。 |
O |
O |
この属性は、会社または組織の名前を指定し、連絡先カードに表示されます。 |
または |
または |
この属性は、組織単位の名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性は、ユーザーのオフィス ロケーションを指定します。 |
郵便番号 |
郵便番号 |
この属性は、物理的なメール配信のためのユーザーの郵便番号または郵便番号を指定します。 |
優先言語 |
優先言語 |
この属性は、ユーザーの優先言語を設定し、次の形式がサポートされます。 xx_YY または xx-YY。 いくつかの例を以下に示します。 en_US, en_GB, fr-CA. サポートされていない言語または無効な形式を使用する場合、ユーザーの優先言語は組織の言語設定に変更されます。 |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
snさん |
snさん |
この属性は、Control Hub に表示されるユーザー アカウントの姓、連絡先カード、People Insights に使用されます。 |
セント |
セント |
この属性は、ユーザの都道府県を指定します。 |
番地 |
番地 |
この属性は、物理的なメール配信のためのユーザの番地を指定します。 |
電話番号 |
電話番号 |
この属性では、連絡先カードからユーザーに電話をかけるために使用されるユーザーのプライマリ (職場) 電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性は、ユーザーのタイムゾーンを指定します。 |
タイトル |
タイトル |
この属性では、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
企業 |
— |
*メール *userPrincipalName |
UID (uid) |
必須の属性マッピング。 各ユーザー アカウントについて、Active Directory の値はクラウドの一意の UID にマッピングされます。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 ユーザーは、正しい SAML 属性マッピングが設定されている限り、これらのメール アドレスを使用してサインインできます。 代替メール アドレスをマッピングする方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName *メール <カスタム属性> |
メール; タイプワーク |
このマッピングはオプションです。代替のメール アドレスを使用する場合に使用してください。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。 |
<Azure ユーザー objectId の新しい属性> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザー objectId を保持し、既存の属性と衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームを自動的に作成することを確認します。 |
代替メール アドレスのマッピング
カスタマイズされた属性の式
演算子 |
説明と例 |
---|---|
% |
matches が指定された場合、検索結果が代入されます。
|
- |
指定された文字列の末尾から入力文字列の背面を取り去ります。
|
+ |
入力文字列や式を連結します。
|
| |
空の文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 この手順を使用して、Active Directory 属性から生のアバター データを同期します。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[AD 属性] を選択し、クラウドに同期する未加工アバターデータを含む [アバター属性] を選択します。 |
3 |
アバターが正しくアクセスされていることを確認するには、ユーザーのメール アドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターが右側に表示されます。 |
4 |
アバターが正しく表示されたことを確認したら、[適用] をクリックして変更を保存します。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
リソース サーバーからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
-
この手順の URI パターンと変数値は例を示します。 ディレクトリ アバターが配置されている実際の URL を使用する必要があります。
-
アバター URI パターンとアバターが存在するサーバは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像への http または https アクセスを必要としますが、画像がインターネットで公的にアクセスされる必要はありません。
-
アバター データの同期は、Active Directory ユーザー プロファイルから分離されます。 プロキシを実行する場合、アバター データが NTLM 認証または基本認証によってアクセスできることを確認する必要があります。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[リソース サーバー] を選択し、[アバター URI パターン] を入力します。たとえば、 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 |
(オプション) リソース サーバーで資格情報が必要な場合は、[アバターにユーザー クレデンシャルを設定する] にチェックを入れ、[現在のサービス ログオン ユーザーを使用] または [このユーザーを使用] を選択し、パスワードを入力します。 |
4 |
変数の値を入力します。例: |
5 |
[テスト] をクリックして、アバター URI パターンが正しく機能していることを確認します。 この例では、1 つの AD エントリのメール値が |
6 |
URI 情報が確認され、正しく表示されたら、[適用] をクリックします。 正規表現の使用の詳細については、「Microsoft 正規表現言語クイックリファレンス」を参照してください。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
2 |
[会議室情報をクラウドに同期] をチェックして、同期中に会議室データをユーザー データから分離します。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 |
3 |
[属性マッピング] に移動し、クラウド属性 sipAddresses;type=enterprise の属性マッピングを変更します。 値検証を使用するには、SIP アドレスの値は Pattern.compile("^([^@])(.*)@(.*)$") である必要があります。
|
4 |
Exchange で会議室リソースメールボックスを作成します。 これは、コネクタがルームを識別するために使用する msExchResourceMetaData;ResourceType:Room 属性を追加します。 |
5 |
Active Directory のユーザーとコンピュータから、会議室のプロパティに移動して編集します。 次の sip のプレフィックスを持つ完全修飾の SIP URI を追加します。 |
6 |
ドライランの同期を実行してから、コネクタで完全実行の同期を実行します。 新しい会議室オブジェクトは [追加されたオブジェクト] にリストされ、一致した会議室オブジェクトは、ドライ ラン レポートの [一致したオブジェクト] に表示されます。 削除にフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライ ランの結果には、一致したルームリソースが表示されます。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザー データから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計には、クラウドに同期された会議室データが表示されます。 |
次に行うこと
これらの手順が完了しました。Webex クラウドに登録されたデバイスで検索すると、SIP アドレスで設定された同期された会議室エントリが表示されます。 エントリの Webex デバイスからコールを発信すると、ルームに設定された SIP アドレスにコールが発信されます。
Control Hub から、ディレクトリから会議室を自動的にインポートし、ワークスペースを作成できます。
エンドポイントでは、Webex アプリにコールバックできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスの SIP URI として、または Webex アプリ以外のどこかで登録されている必要があります。 検索する Active Directory 会議室システムが Webex に登録されており、同じメールアドレスが Webex Room デバイス、デスク デバイス、またはカレンダー サービス用の Webex Board にある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。
ディレクトリ同期結果でのメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取る人をカスタマイズできます。
1 |
Directory Connector から、[構成] をクリックし、[通知] を選択します。 |
2 |
Directory Connector から、[設定] をクリックし、[メール受信者] の隣の [レポートの同期を有効にする] をオンに切り替えます。 |
3 |
デフォルトの通知動作をオーバーライドし、1 人以上のメール受信者を追加する場合は、[通知を有効にする] をオンにします。 |
4 |
[追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 |
[メールの追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 |
入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 |
すべての有効なメールアドレスを追加したら、[適用] をクリックします。 |
8 |
すべての有効なメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メール アドレスを削除することを決定した場合、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メール アドレスを削除することを決定した場合、特定のメール アドレス エントリの隣の [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニング
これらの手順に従って、Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成します。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開(単一フォレストまたは複数のフォレストを含む)からユーザをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。
1 |
Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。 |
2 |
クラウドへの Active Directory ユーザーの完全な同期を行う 完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 |
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザーの同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップすることを推奨します。 この最初のステップの後で、個々の変更を行うこともできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。
異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector の目標は、Active Directory と Webex クラウドの間で完全に一致することです。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメインにインストールした Cisco Directory Connector インスタンスでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、すでに Control Hub に一部の Webex アプリ ユーザーがいる場合があります。 クラウド内のユーザーの中には、オンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスが割り当てられる場合があります。 ただし、同期中に削除するテストユーザーもいる場合があります。 Active Directory と Control Hub の間で完全一致を作成する必要があります。
1 |
次のいずれかを選択します。
ドライ ランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトの一致についての情報が含まれます。
ドライ ランでは、ドメイン ユーザと比較してユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属している場合、ユーザを識別できます。 次のステップでは、オブジェクトを削除するか、または保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在しているが、オンプレミスの Active Directory には存在していないとして識別されます。 |
2 |
ドライ ランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じて、オプションを選択します。
|
3 |
[ドライ ランの確認] プロンプトで、[はい] をクリックしてドライ ランの同期を再実行し、ダッシュボードを表示して結果を表示します。 ドライ ランで正常に同期されたアカウントは、[一致したオブジェクト] の下に表示されます。 クラウド内のユーザーが Active Directory に同じメールを持つ対応するユーザーを持っていない場合、エントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するために、同じメールアドレスで Active Directory にユーザーを追加できます。 同期された項目の詳細を表示するには、特定の項目または [一致したオブジェクト] の対応するタブをクリックします。 概要情報を保存するには、[結果をファイルに保存] をクリックします。 |
4 |
結果が予想される場合は、[今すぐ有効にする] をクリックして手動同期を実行し、この時点で手動モードにします。 に移動し、複数ドメイン展開で最後の Active Directory ドメインで同期を行った後、Directory Connector の自動モードを有効にする必要があります。 自動モードを有効にできるのは、オブジェクトが Webex クラウドとすべてのオンプレミスのアクティブ ディレクトリの間で完全に一致している場合のみです。 |
次に行うこと
-
保持した不一致のユーザー オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、それらを Active Directory に追加する必要があります。
-
同期タイプを選択:
-
新しいユーザーを最初にクラウドに同期するときに、クラウドに Active Directory ユーザーの完全な同期を行う。 から行い、現在のドメインのユーザーが同期されます。
-
デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。 増分同期は、最初に完全同期を実行するまで実行されません。
-
-
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意事項
-
完全な同期を有効にする前に、または同期パラメータを変更する場合は、ドライ ランを実行します。 ドライ ランが設定変更によって開始された場合は、ドライ ランの完了後に設定を保存できます。 すでにユーザーを手動で追加している場合、Active Directory の同期を実行すると前に追加したユーザーが削除されます。 クラウドに完全に同期する前に、Directory Connector のドライ ラン レポートを確認して、すべてのユーザーが存在することを確認できます。
-
一致するユーザーが削除するようにマークされ、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」でトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
クラウドへの Active Directory ユーザーの完全な同期を行う
完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合は、各 Active Directory ドメインにインストールした Directory Connector インスタンスでこの手順を実行する必要があります。
Directory Connector はユーザーアカウントの状態を同期します。Active Directory では、無効とマークされているすべてのユーザーもクラウドで非アクティブとして表示されます。
始める前に
-
完全同期後、およびユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにするには、次の手順を実行してメール検証をバイパスする必要があります。
-
シングル サインオンを Webex 組織と統合します。 参照
Cisco Webex サービスと組織の ID プロバイダーによるシングル サインオン
を参照してください。 -
Control Hub を使用して、メール アドレスに含まれるドメインを確認し、必要に応じて要求します。 参照
ドメインの追加、検証、要求
. -
自動招待メールを抑制して、新規ユーザーが Webex アプリへの自動招待メールを受信しないようにします。(独自のメール キャンペーンを実行できます。)
サインインしていないアクティベート済みユーザーは、Control Hub で [確認済み] ステータスで表示されます。 サインインすると、[アクティブ] として表示されます。 ユーザー ステータスの詳細については、「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
-
-
同期を有効にすると、Directory Connector が最初にドライ ランを実行するように求めます。 潜在的なエラーをキャッチするために、完全同期の前にドライ ランを実行することを推奨します。
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 無料アカウントを持つユーザーと同じ無料機能を使用できます。
1 |
次のいずれかを選択します。
|
2 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
3 |
同期を開始したことを確認します。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。 次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
|
4 |
同期のステータスを更新する場合は、[更新] をクリックします。 (同期された項目は [クラウド統計] の下に表示されます。) |
5 |
エラーに関する情報については、[イベント ビューアの起動] を [アクション] ツールバーから選択してエラーログを表示します。 |
6 |
クラウドへの継続的な増分同期のための同期スケジュールを設定するには、「コネクタ スケジュールを設定する」および「増分同期を実行する」を参照してください。 |
-
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [運用] にディレクトリ同期のステータスが更新されます。
-
すべてのデータがオンプレミスとクラウドの間で照合されると、Directory Connector は手動モードから自動同期モードに変更されます。
-
シングル サインオンを統合、ドメインの確認、オプションで同期したメール アカウントのドメインの要求、および自動メールを抑制しない限り、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは未確認の状態のままになります。 アクティブ ユーザーとしてアカウントを同期する方法については、「開始する前に」のセクションを参照してください。
-
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
-
シングル サインオンを Webex と統合し、抑制されたメール通知がある場合、招待メールは新しく同期されたユーザーに送信されません。
-
Directory Connector を有効にした後は、Control Hub でユーザーを手動で追加できません。 有効にすると、ユーザー管理は Cisco Directory Connector から実行され、Active Directory が信頼できる唯一の情報源となります。
-
同期したグループが Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
-
Active Directory からユーザーを削除すると、そのユーザーは次の同期後にソフトで削除されます。 ユーザーは [非アクティブ] になりますが、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にします)。
Active Directory で [アカウントが無効になっています] にチェックを入れると、次の同期後、ユーザーは [非アクティブ] になります。 ユーザーを再度有効にする場合は、クラウド ID プロファイルは 7 日後に削除されません。
-
これらの例外を増加同期に注意してください (代わりに上記の完全同期手順に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルタ、アバター設定での設定変更には完全同期が必要です。
-
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる
Cisco Directory Connector から Control Hub へのフルユーザーの同期が完了したら、Control Hub を使用して同じ Webex サービス ライセンスをすべてのユーザーに一度に割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合、新規ユーザーにライセンスを追加したりできます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Directory Connector から Control Hub への完全なユーザーの同期が完了したら、Control Hub のメソッドを使用して、Webex サービス ライセンスをすべてのユーザー、個々のユーザー、一括 CSV テンプレートを通じてグローバルに割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合は新規ユーザーに自動的に割り当てることができます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Webex アプリユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 メールは Control Hub の通知サービスから送信されます。 シングル サインオン (SSO) を Webex 組織と統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制することもできます。
始める前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
-
Active Directory ユーザーでドライランの同期を行います。
-
ドライ ランの結果を確認した後、Active Directory ユーザーで完全同期を行います。
完全同期の時点で、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されない場合、CSV インポート、ユーザーの手動更新、自動割り当て完了など、Control Hub の標準的なユーザー管理方法によってユーザーにサービスを割り当てると、新規ユーザーはアクティベーション メールを受け取ります。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ユーザーの管理] をクリックし、[すべての同期済みユーザーを変更] を選択し、[次へ] をクリックします。 |
2 |
オプションを選択します。 |
次に行うこと
-
メールが抑制されない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
-
すべてのユーザーに対して同じ Webex サービスを選択した場合、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
-
2012 R2 以前の Windows Server バージョンには、Directory Connector に影響するクッキーの問題があります。 この問題は、バージョン 2012 R2 および 2016 で修正されています。
-
Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
-
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索して発信すると、この時点でコールは無制限に鳴ります。
Webex アプリのユーザーの管理
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。そして、それら変更をまとめて、コネクター サービスに送信します変更には、ユーザー属性の変更と、ユーザーが追加または削除された場合が含まれます。
この同期では、サーバーに負荷がかかるわけではなく、完全同期ほど時間がかかります。最初の完全同期を行った後、その後の同期に増分オプションを推奨します。
開始する前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップ する必要があります。
-
増分同期がサポートされていないこれらの例外に注意してください (代わりに、「クラウドに Active Directory ユーザーの完全な同期を行う 」に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルター、アバター設定の新しい構成変更の場合、増分同期は機能せず、完全同期が必要です。
-
1 |
Directory Connector から [ダッシュボード] をクリックします。 同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 |
2 |
[アクション] から、まだ有効になっていない場合は、[同期モード] > [同期を有効にする] をクリックします。 デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。増分同期は、最初に完全同期を実行するまで実行されません。新しい増分時間間隔が終了すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 |
3 |
[アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
|
4 |
エラーに関する情報については、[アクション] ツールバーから [イベント ビューアの起動] をクリックして、エラー ログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーを復元する
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。ソフト削除機能は、これらの事故から回復し、Control Hub でユーザー アカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織で有効になっています。たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しないため、クラウドでユーザーが削除されると、ユーザーは復元できます。一致しないオブジェクトが通知されたり、ユーザーが削除されたことに気づいた場合、迅速に行動すると復元できる場合があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。バックグラウンド クラウド サービスは、ユーザーを最大 7 日間保持します。この期間中も、Cisco Directory Connector を使用してユーザーを復元できます。これらのユーザーをできるだけ早く復元することをお勧めします。
Active Directory で無効になっているユーザーは、Control Hub で非アクティブとしてマークされますが、ユーザー アカウントは 7 日後に削除されません。
1 | |
2 |
[ユーザー] に移動し、特定のユーザー アカウントが非アクティブ状態であるか、非公開であるかを確認します。 詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。 |
3 |
ユーザーが Control Hub で削除された場合、または非アクティブ状態のユーザーが見つかった場合は、Active Directory に移動し、欠落しているユーザーアカウントを追加してから、Directory Connector でドライラン同期を実行します。 Directory Connector の目標は、Active Directory とクラウドのユーザー情報間で完全一致を作成することです。 |
4 |
完全同期を実行して、一時的に削除されたユーザー アカウントを Control Hub に再同期します。 ユーザーは復元され、アカウント ステータスとサービスの割り当てを含む元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
に進み、以前に削除されたユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザを完全に削除
ドライ ランを実行した後、次の同期でソフトで削除されたユーザを完全に削除できます。
1 |
ドライ ランが完了したら、[ソフト削除済みオブジェクト] を選択します。 |
2 |
削除するユーザの横にあるチェックボックスをオンにします。 |
3 |
[完了] を選択します。 |
次に行うこと
次の同期で、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合、Active Directory でそれらのメール アドレスを変更します。この手順では、単一ドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
メールまたは一部の値を 1 人のユーザーに対してのみ変更する場合は、Active Directory からユーザーを削除してから、同じメールで新しいユーザーを再作成しないでください。クラウドはこのアクションを新しいユーザー アカウントとして解釈すると、ユーザーのスペースとクラウド内のその他のデータは失われます。
Directory Connector はメール ドメインの変更を制限しません。ただし、ユーザーがクラウドに再同期すると、ユーザーの状態は、組織で新しいドメインが検証されているかどうかによって異なります。組織でドメインが確認されていない場合、フル同期後にユーザーのステータスは [保留中] に変更されます。詳細については、「ドメインを管理する」を参照してください。
組織が Directory Connector を使用していない場合、アカウント設定ページからWebex アプリのメール アドレスを変更できます。ユーザーがメールを変更するための手順については、「アカウントのメール アドレスを変更する 」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。クラウド内のアイデンティティ サービスと同期します。
1 |
新規 Active Directory (AD) ドメインをセットアップします。 |
2 |
すべてのコネクタで同期を無効にします。 |
3 |
すべてのコネクタをアンインストールします。 |
4 |
送信する場合は、ドメイン設定と組織内のすべての同期属性の削除をリクエストしてください。 ドメインを変更するためにケースを開く前に、実行中の同期がないことを確認してください。ケースが解決されるまで、Active Directory のユーザー メール アドレスを変更しないでください。 |
5 |
本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメインの要求は、組織のメール ドメインを要求し、サイドボーディングされたアカウントが無料の消費者組織ではなく、有料顧客組織で作成されるように、組織のメール ドメインを要求する場合に発生します。ドメイン要求は、サポート ケースを通じてのみ行えます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織内で作成されません。Active Directory から組織のアカウントをプロビジョニングできるのは、Directory Connector のみです。Active Directory に保存された情報はオリジナルソースです。アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、最初に Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織で無料の Webex アプリ ユーザーを変換する
一意のメール アドレスは Webex アプリ ディレクトリでのみ使用できます。ユーザーが無料バージョンの Webex アプリにサインアップしている場合、そのアカウントは無料消費者組織に存在しています。Directory Connector を使用してこの組織のユーザーを管理するには、Directory Connector をオンにする前に、顧客組織にユーザーを移行 (変換) します。次に、ユーザーを正確なメールアドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ 変換できませんでした
が表示されます。この問題を回避するには、以下の手順を回避策として使用することができます。
一部の要求されたユーザーは、ドライ ランの実行時に movedfrom
属性が表示される場合があります。これらのユーザーは MismatchedObject
の代わりに [削除済みオブジェクト]
リストに表示されます。組織に移動する場合は、これらのユーザーを AD リストに追加する必要があります。
これらのユーザーを追加しない場合、クラウドに同期する隣にあるすべてのユーザーが削除されます。
1 |
Directory Connector からのディレクトリ同期を無効化する。 |
2 |
「Control Hub でライセンスなしのユーザーを変換する」 手順に従って、無料のコンシューマー組織からエンタープライズ組織にユーザーを変換します。 この手順により、ユーザーを組織に追加し、アカウントが Control Hub に表示されます。Directory Connector は、Active Directory をユーザー アカウントの信頼できる唯一の情報源にします。目標は、Active Directory と Control Hub を正確に一致させることです。同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 |
3 |
Directory Connector で、ドライラン同期を実行します。ドライランの完了後、[オブジェクトの追加] タブを確認します。自分が変換したユーザーが削除されていないか確認する。 同期を再有効化する前にドライランを実行して、変換されたユーザーアカウントが Active Directory に表示されるようにする必要があります。同期をオンにし、アカウントが Control Hub にのみ存在する場合、Directory Connector は大文字と小文字を区別し、一致しないメール アドレスで検出された変換されたユーザー (user1@example.com および User1@example.com など) を削除します。 変換されたユーザーが削除されると、Webex アプリのスペースはすべて失われます。 |
4 |
次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしでディレクトリ コネクタをオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリ ユーザー アカウント
Webex アプリのスペースに別のユーザーを招待すると、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボーディング」)。既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリ同期を実行した後で、ユーザー名は の形式で表示されます。
このユーザー名は、Active Directory の displayName
属性がこのように設定されている場合に表示されます。属性がクラウドの displayName
にマッピングされると、Control Hub で名前が の形式で表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性 givenName sn
(または sn givenName
) を Cisco Cloud 属性名の displayName
にマッピングします。
または、属性 sn givenName
を displayName
にマッピングします。
独自のカスタム属性式を displayName
にマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。
たとえば、式として givenName + "" + sn
(名、スペース、姓) を入力します。これにより、Active Directory の 2 つの属性がクラウドの displayName
にマッピングされます。
ユーザーが Webex Meetings での表示名の変更を許可する
ユーザーが好みの表示名を編集できるようにする場合は、Directory Connector でクラウドに同期する displayName
属性のマッピングを解除できます。ユーザーは、名と姓の代わりに、Webex ミーティング中に表示する表示名を入力できます。管理者は、Control Hub で手動でユーザーの表示名を変更することもできます。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 |
2 |
[Cisco Cloud 属性名] で [displayName] を選択します。 |
3 |
[この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集することができるようになりました。
Directory Connector のトラブルューティング
最新のソフトウェア リリースへのアップグレード
展開をコンプライアンスに保ち、最新の機能、機能、バグ修正、セキュリティ強化を入手するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件をサポートしていないバージョンを使用しているなど、問題が発生する場合があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。問題を回避するには、常に最新バージョンにアップグレードします。Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェア アップデートの更新を手動でインストールできますが、[自動アップグレードの設定] の手順に従って、アプリがアップグレードを自動的に管理できるようにすることを推奨します。
1 |
Windows タスクバーで通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 |
手順に従ってアップグレードを完了します。 |
3 |
コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
でソフトウェアのバージョン番号を確認します。 |
次に行うこと
Directory Connector の新規インストールについては、 zip ファイルをダウンロード してから、このガイドのインストール手順に従ってください。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 |
Directory Connector から、[構成] に移動し、[全般] をクリックします。 |
2 |
[コネクタ名] フィールドに、コネクタ名を入力します。このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 |
3 |
ドロップダウン メニューからログ レベルを選択します。既定では、ログレベルは「情報」にセットされています。使用可能なログレベルは以下の通りです。
これらの設定は、電子メールで送信される同期レポートに影響します。ログ レベルを [エラー(Error)] に設定した場合、同期レポートでエラーのみが報告されます。エラーが存在しない場合、同期レポートは送信されません。設定を [情報] に変更すると、完全同期後に同期レポートを受信します。(増分同期では、エラーが報告されない場合、レポートは送信されないことに注意してください)。 |
4 |
[優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 |
5 |
自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。この設定にチェックを入れると、ソフトウェアへの自動アップグレードが利用可能になったときにサイレントにインストールされることを推奨します。 |
6 |
[LDAP over SSL] をチェックして、セキュアな LDAP (LDAPS) を接続プロトコルとして使用します。 LDAP over SSL をオンにしない場合、Directory Connector は引き続き LDAP 接続プロトコルを使用します。 LDAP (Lightweight Directory Application Protocol) および Secure LDAP (LDAPS) は、アプリケーションとインフラストラクチャ内のドメイン コントローラの間で使用される接続プロトコルです。LDAPS 通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、削除しきい値トリガー値として 1
を設定します。完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。[しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 |
Directory Connector から、[構成] をクリックし、[ポリシー] を選択します。 |
2 |
しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。削除の回数が定義した値を越えると、同期は失敗します。
|
3 |
自分が行う削除の最大数を入力します。既定では 20 です。 弊社は既定値を上げないことを推奨します。 |
4 |
適用をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。高可用性 (HA) にはフェイルオーバーが使用されます。コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 |
Directory Connector から、[構成] をクリックし、[スケジュール] を選択します。 |
2 |
増分同期インターバルを分に指定します。 既定では、増分同期は 30 分おきに実行するようセットされています。完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 |
レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 |
[完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 |
[フェイルオーバー間隔]を「分」で指定します。 |
6 |
[適用] をクリックします。 |
複数ドメイン シナリオ
複数のドメインはドメインの優先順位に基づいています。異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
-
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
-
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
-
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
-
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、https://admin.webex.comにリストされます。
新しいドメインを同期し既存のドメインを保持する
別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている Windows サーバーのドメイン (B) 同期に Directory Connector をインストールします。最初のセットアップ後、コネクタは新しいドメインをバインドし、ドメイン (A) の下のユーザー情報に影響が出ないままになります。
すべてのドメインには独自のアクティブ コネクタがあります。以下のセットアップについては、2 つのドメインを考慮します: domain A with connectors (ca1) and (ca2) for local high availability (HA); domain B with connector (cb1). (ca1)and (ca2) serve domain A. In this scenario, one connector is active and the other is standby (HA). この設計では、1 つのコネクタが常にアクティブであるため、ドメインは同期されているままになります。そのため、ドメイン A にはすでにアクティブなコネクタがあるため (ca1 または ca2)、cb1 はドメイン B のアクティブ コネクタです
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
開始する前に
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。https://admin.webex.com からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 |
3 |
リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。 ドメインは、上から下まで、優先順位でソートされます。 |
ドメインを切り替える
Cisco Directory Connector を別のドメインに再バインドするには、次の手順を使用します。
開始する前に
-
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
-
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。Control Hub からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 |
警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタの他のドメインは登録解除され、そのコンピューターのコネクタ情報は削除されます。 |
4 |
Cisco Directory Connector に再度サインインし、ドメインを再バインドします。 |
ディレクトリ同期を無効にする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、次のいずれかを選択します。
|
2 |
指示を読んだ後、[オフにする] をクリックします。 同期は、Directory Connector から再有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。属性マッピングを削除すると、属性値はクラウドから削除され、Webex に同期されなくなります。これらの値は、手動で編集できます。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[属性名] リストから削除するマッピングを選択します。 |
4 |
[影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 |
[適用] をクリックします。 |
プロファイル画像の管理
Directory Connector を使用して、ユーザー プロファイルの写真を更新するか、空白のユーザー プロファイルの写真を削除します。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[アクション] で次のいずれかを選択します。
|
4 |
[適用] をクリックします。 |
Directory Connector をアンインストールして非アクティブ化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
-
ディレクトリ同期化をこれ以上使いたくなくなった。
-
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
-
ドメインを変更して、別のコネクタをインストールしたい。
開始する前に
-
高可用性 (HA) または複数のドメインの同期のために、Directory Connector の複数のインスタンスがセットアップされている場合があります。唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
-
Directory Connector をアンインストールする前に、重要な作業を保存して閉じてください。
1 |
Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 |
プログラムリストから、[Directory Connector] をクリックし、[アンインストール] を選択し、プロンプトに従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、[詳細] |
4 |
指示を読んだ後、[非アクティブ化] をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールの実行
組み込みの診断ツールを使用して、Directory Connector 展開のトラブルシューティングを行うことができます。このツールは Directory Connector 3.4 以降の一部としてインストールされます。
同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Ciso Directory Connector の問題をトラブルシューティング
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する場合があります。また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題を記載したメール レポートを送信する場合があります。発生する可能性のある問題、考えられる原因、およびサポートに連絡する前に試すことができる解決策については、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が動作していないことを知らせる警告メールを受信しました。
-
Directory Connector が正しくインストールされていない可能性があります。
-
Directory Connector が実行されていない可能性があります。
-
ネットワークは使用できない可能性があります。
以下の作業を行います。
-
を開きます。Directory Connector を検索します。存在しない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
-
[サービス] を開き、Cisco DirSync Service を見つけます。ステータスが [開始] として表示されていることを確認します。サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
-
Directory Connector をインストールしたサーバーにインターネットへのアクセス権があることを確認してください。
再インストールエラー
問題: 古いコネクタをアンインストールした後、すぐに新しいコネクタをインストールすると、エラー メッセージが表示される場合があります。
考えられる原因: Windows Server 2012 では、アンインストールクライアントはサービス リストからサービス アカウントを削除するのに時間を必要とします。
解決策: 時間が経過したら、もう一度インストールをお試しください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュ
問題
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュする場合があります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
-
ドメイン コントローラに移動し、グループ ポリシー管理 (gpedit.msc) を開きます。
-
特定の OU またはドメインを右クリックし、[このドメインで GPO を作成] を選択し、[ここにリンク...
-
ポリシーに名前を付けて、右クリックして [編集] を選択します。
マシン レベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
変更は、gpupdate /force
を実行した後、マシンが再起動した後 (マシン変更の場合)、またはユーザーが再びサインインした後 (ユーザー変更の場合)、有効になります。
Cisco DirSync Service Connector を登録できませんでした
問題
サインインに失敗すると、「Cisco DirSync Service Connector が登録できませんでした」というメッセージが表示されます。
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題
Directory Connector を開くと、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
-
Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に移動します。Chrome や Firefox などの他のブラウザでリンクをお試しください。
-
Internet Explorer がリンクにアクセスできないが、他のブラウザがアクセスできない場合は、Internet Explorer の設定をチェックし、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする 手順を使用します。)
サインインプロンプトが表示されます
問題
ユーザ名とパスワードを入力して認証を渡すように要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインイン アカウントで NTLM セキュリティ認証をサイレントに完了します。認証に失敗した場合、ダイアログがポップアップして、認証ユーザ名とパスワードを要求します。
対処方法
サインイン ポップアップ ウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題
通常の操作中に、「リモートサーバーに接続できません」というエラーメッセージが表示されます。
考えられる原因
プロキシの問題を解決する必要がある問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービス アカウント サインインの問題をトラブルシューティング 」を参照してください。
コネクタを登録できません
問題
「コネクタを登録できません。一般的な例外が発生しました」。
考えられる原因
ほとんどの場合、問題は、Directory Connector が LDAP ルートコンテキストに接続する権限を持っていないためです。
対処方法
以下の作業を行います。
-
コマンド プロンプト (cmd) を実行し、ldp.exe を入力します。
-
[現在ログインしているユーザーとしてバインド] を選択し、[OK] をクリックします。
をクリックし、 -
[OK] をクリックします。
をクリックし、BaseDN として [DC=arbonneintl,DC=ad] を入力し、 -
問題が継続する場合、サポートでケースを開きます。
同期
アバターが同期されていません
問題
Cisco Directory Connector がユーザー AD データを Webex クラウドに同期しました。ただし、正常に同期されたアバター データはありません。
考えられる原因
既存のアバター サーバを再使用し、ユーザ アバターがすでに同期されている場合、ローカル キャッシュによりキャプチャされ、再送信が回避され、帯域幅が節約されます。
対処方法
次の手順に従って、ローカル キャッシュを削除します。
-
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\ に移動します。
-
DirSyncPluginAvatar.dll-cache.bin を削除します。
-
Cisco Directory Connector からアバターの同期を再実行します。
競合するユーザー メール アカウント
問題
同期結果に競合するユーザー メール アカウントが表示される場合があります。
-
ユーザーが Webex アプリの無料バージョンを試した場合、メール アドレスは無料コンシューマー組織内に存在します。
-
ユーザーのメールが別の組織で同期されたことがない場合。
-
ユーザーのメールが組織に属する複数のドメインに存在する場合。
対処方法
以下の作業を行います。
-
ユーザーを要求する場合は、次の手順に従います。
-
Control Hub でドメインを確認済みしていることを確認します。
-
Cisco Directory Connector を一時的に無効にします。
-
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在する可能性があるアカウントを申請します。詳細については、「ユーザーを組織に要求する (ユーザーの変換) 」を参照してください。
-
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再度有効にします
-
-
最後のケースでは、Active Directory ソースのユーザー データをダブルチェックします。
非アクティブとしてマークされた変換ユーザー
問題
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、そのユーザーはセキュリティ コンプライアンス メジャーとして 30 日間非アクティブ ステータスとしてマークされます。この期間中は、ユーザーは Webex アプリにサインインできず、30 日間の期間終了時に削除対象としてマークされます。この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除しない場合は、アクションを実行する必要があります。この問題を解決するには、変換された無料ユーザー アカウントに対応するオンプレミスの Active Directory でユーザー アカウントを作成します。次に、Cisco Directory Connector から同期を実行します。その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期が失敗する
問題
増分同期に失敗しました。
この問題は、次の条件で Windows Server 2008 R2 で発生する場合があります。
-
増分値の更新をサポートします。
-
使用するフィルタは、リンクされた値属性を参照します。
-
その属性の結果値は、前回完全な同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されました。Windows Server を少なくとも 2012 R2 にアップグレードすることを推奨します。
属性の値が無効です
問題
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com の場合、属性 [電話番号] には次の無効な値があります。+ この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。警告メッセージの記述に従ってこの値を修正してください。再度同期を行います。
削除される一致したユーザー
問題
一致したユーザーは削除対象としてマークされます。
ドライ ラン同期を実行して Active Directory とクラウド間のデータを確認する場合、両方に同じメール アドレスが表示される場合があります。ただし、ユーザーは削除するオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
-
ユーザーを削除してライセンスを再実行しても問題ない場合は、修正のために Directory Connector を使用できます。同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
-
ユーザー アカウントを削除して再作成できない場合は、サポートでケースを開きます。
属性がありません
問題
オンプレミスのエントリ [user dn (distinguished name)] を追加する場合に必要な属性 [attribute_name]。すべての必須属性に値が設定されるまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加すると、すべての必須属性が値になるまで、エントリは Control Hub で作成されません。
対処方法
ユーザー [user_email_address] に必要な属性の 1 つがありません。そのユーザーに必要な値を提供してください。
ネストされたグループが同期されません
問題
ネストされた Active Directory グループのユーザーは、クラウドに適切に同期されません。
考えられる原因
子グループと親グループの両方を含むフィルタが使用され、サポートされていません。たとえば、次のようなものです。(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。たとえば、次のようなものです。|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザー名の競合
問題
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。[user email address]、およびユーザータイプ [user_type]。
考えられる原因
そのメール アドレスを使用するユーザーはすでに Control Hub に存在しています。
対処方法
Control Hub を通じて登録したアカウントと同じメール アドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub でユーザー リストが見つかりません
問題
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
検索機能を使用してユーザーアカウントを検索できます。Control Hub で、[ユーザー] に移動し、検索 をクリックし、検索条件を入力して特定のユーザーを見つけます。
グループは Control Hub に同期されません
問題
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは Active Directory で isCriticalSystemObject
としてタグ付けされません。
対処方法
Active Directory で属性 isCriticalSystemObject
が TRUE
に設定されていることを確認してください。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
ログ ファイル: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
|
2 |
サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 |
3 |
Directory Connector で、[ダッシュボード] をクリックします。 |
4 |
[アクション] に移動し、 をクリックします。 |
5 |
トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 |
6 |
ログ ファイルを確認します。ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。 ログ フォルダーは過去 3 日間のファイルのみを保存します。ログ ファイルのコンテンツは、システムへのイベント ログ出力と一致しています。 |
7 |
必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 |
8 |
完了後は、トラブルシューティング機能を無効にしてください。 |
イベントビュアーを開始
完全もしくは増加同期中に発生したイベントを確認するには、イベントビューを開始します。管理イベントとエラーログの概要が表示されます。
1 |
Directory Connector から [ダッシュボード] に移動し、 をクリックします。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 |
イベント ビューアから、 に移動します。 |
3 |
[アクション] の下で、[すべてのイベントに名前を付けて保存] をクリックして、すべてのログを 1 つの Events ファイル (*.evtx)、または xml や csv などの別の形式としてエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明し、ケースに Events ファイルを添付してください。
イベント ログではユーザー アクションをキャプチャします。ネットワーク トラフィックの管理については、コネクタでトラブルシューティングを有効にします。
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えると、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
-
サービスへのログオンでエラーが発生しました
-
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 |
Internet Explorer を開き、[ツール] を選択します。今すぐ有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じて、再度開きます |
2 |
[インターネット オプション] をクリックし、[詳細] に進み、[セキュリティ] までスクロールします。 |
3 |
[TLS 1.1 を使用する] および [TLS 1.2 を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 |
変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco Directory Connector にサインインできない、または同期を実行できない場合は、サポートに連絡する前に、これらの手順を使用して問題を解決してください。
1 |
ウェブ ブラウザーの https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に行きます。 |
2 |
結果によりますが、1 つを選択します。
|
3 |
少なくとも、Cisco DirSync サービス(Windows サービスで確認できる)に設定されたアカウントに、アバター データと AD データにアクセスできる特権レベルがあることを確認してください。デフォルトでは、サービスは Windows ログイン アカウントの資格情報と認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
Cisco Directory Connector の概要
ディレクトリ コネクタの概要
Directory Connector は、クラウドへの ID 同期のためのオンプレミス アプリケーションです。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、ユーザー アカウントとデータを Active Directory に保存できるため、Active Directory が信頼できる唯一の情報源となります。オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、利点を参照します。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードは、同期スケジュールの概要と、同期の状況、Directory Connector のステータスを提供します。サインインしていつでもダッシュボードを表示できます。 |
クラウドに同期する前にドライ ランを行う | クラウドに実装する前に、ディレクトリへの変更のドライ ランを実行します。レポートを実行し、望む変更が期待するものであるか確認します。 |
完全および増加同期 | ディレクトリ全体を同期します。または増加変更のみを同期し、処理電源に保存して、同期時間を短くします。 |
複数のドメイン (単一フォレストまたは複数のフォレスト) を同期します |
Directory Connector は、単一のフォレスト、または複数のフォレスト (AD LDS を必要としない) のどちらかで複数のドメインをサポートします。複数の Active Directory ドメインを持つ企業の場合、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドし、各ユーザー ベースを Webex に同期できます。Control Hub は、複数の Directory Connector の同期状態を表示することで、ステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を非アクティブ化できます。 |
スケジュールされた同期 | 日、時間、分で同期のスケジュールを設定できます。 |
Lightweight フィルター Access Protocol (LDAP) フィルター | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory の属性を対応する Webex クラウド属性にマッピングします。Active Directory の設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソースの SIP アドレス、その他のユーザー連絡先カード データ (役職、部署、マネージャなど) など、クラウド内のさまざまなデータをフォームします。 |
オンプレミスの会議室リソースと Webex ライセンスのない Cisco Webex Calling (Cloud PSTN) ユーザーおよびエンタープライズの連絡先の企業ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの会議室デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューアー | イベント ビューアーを使用して、同期に問題があるか確認します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、Active Directory への接続をテストします。 Directory Connector でトラブルシューティングを有効にすると、ログが書き込まれてテクニカル サポートに送信されます。 |
自動アップグレード | Directory Connector をインストールした後、新しいソフトウェアのバージョンが利用可能になると通知が送信されます。新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用できるように自動アップグレードを設定できます。 |
高可用性 | メインのコネクタやマシンのホスティングがダウンした場合のために、バックアップを作成するため、複数のコネクタを構成します。 |
Directory Connector は、三つの領域に分けられます:
-
Control Hub は、Webex 組織のあらゆる面を管理できる単一のインターフェイスです。ユーザーがエンタープライズ ID プロバイダを通して認証し、Webex アプリの招待メールを送信しない場合は、ユーザーを表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO) の設定 を行います。
-
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。複数のアクティブ ディレクトリ ドメインについて、同期する各ドメインにソフトウェアのインスタントを 1 つインストールできます。ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持ち込み、同期ステータスを表示および監視し、Directory Connector サービスを設定することができます。
-
ディレクトリ同期サービス は、Active Directory をクエリして、同期するユーザーとグループをコネクタサービスと Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、次の図を参照してください。
Directory Connector のための環境の準備
Directory Connector の要件
Windows および Active Directory の要件
次のサポートされている Windows サーバーに Directory Connector をインストールできます。
-
Windows サーバー 2022
-
Windows Server 2019
-
Windows Server 2016
Cookie の問題を解決するには、ドメインコントローラを Windows Server 2012 R2 または 2016 という修正を含むリリースにアップグレードすることを推奨します。
Directory Connector は、次の Active Directory サービスでサポートされています。
-
Active Directory 2016 年
(Directory Connector は、Windows Server 2019 で最新バージョンの Active Directory を使用する場合にサポートされます)
-
Active Directory 2012 年
-
Active Directory 2008 R2
-
Active Directory 2008 年
次の追加要件に注意してください。
-
Directory Connector には TLS1.2 が必要です。以下をインストールする必要があります。
-
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。問題が発生した場合は、「 ロールと機能の追加ウィザードを使用して .NET Framework 3.5 を有効にする」の手順を使用します。)
-
.NET Framework v.4.5 (TLS1.2 に必要)
-
-
アクティブ ディレクトリ forest 機能レベル 2 (Windows Server 2003) またはそれ以降が必要です。(詳細については、「アクティブ ディレクトリの機能レベルとは?」を参照してください。)
ハードウェアの要件
次の最小ハードウェア要件を持つコンピュータに Directory Connector をインストールする必要があります。
-
8 GB の RAM
-
50 GB のストレージ
-
CPU の最低条件はありません
ネットワーク要件
ネットワークがファイアウォールの背後にある場合は、システムでインターネットへの HTTPS (ポート 443) アクセスがあることを確認してください。
Webex 組織の要件
-
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
-
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにする場合は、次の操作を行うことを推奨します。
-
クラウドに同期するユーザーのメールアドレスを含むドメインの追加、検証、およびオプションで要求 します。
-
ID プロバイダー (IdP) と Webex 組織のシングル サインオン (SSO) インテグレーション を行います。
-
自動招待メールを抑制することで、新規ユーザーが自動招待メールを受信しなくなり、独自のメールキャンペーンを行うことができます。(この機能は SSO インテグレーションが必要です。)
-
詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。
インストール要件
-
複数のドメイン環境 (単一フォレストまたは複数のフォレストのいずれか) については、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている別の Windows サーバーを持ち、ドメイン (B) 同期に Directory Connector をインストールします。
-
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシン上の権限を持っている必要があります。マシンログイン アカウントは、ローカル マシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。(この情報は、仮想マシンのログインにも適用されます)。
-
コネクタにサインインする際に、サインイン アカウントは Control Hub のフル管理者アカウントと同じである必要があります。デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。ただし、Windows サービスを使用して、Active Directory にアクセスするための別のアカウントを設定することができます。(この情報は、仮想マシンのログインにも適用されます)。
-
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)検索モードが有効になっていることを確認します。Windows レジストリで SafeDllSearchMode を確認します。
-
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector および Active Directory ドメイン サービス/Active Directory ライトウェイト ディレクトリ サービス(AD DS/AD LDS)を別のマシンにインストールすることを推奨します。
複数のドメインの要件
Cisco Directory Connector 展開タスク フローのタスクに従う前に、複数のドメインから Active Directory 情報をクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
-
各ドメインには、Directory Connector の個別のインスタンスが必要です。
-
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホスト上で実行する必要があります。
-
Control Hub でドメインを確認または要求することをおすすめします。(「ドメインの追加、検証、要求」を参照してください。)
-
50 を超えるドメインを同期する場合は、組織を大規模な組織リストに移動させるために、チケットを開く 必要があります。
-
必要に応じて、ルーム リソース情報をユーザー アカウントと同期できます。(「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください)。
自動ライセンス割り当てに関する Active Directory グループの推奨事項
Active Directory グループは、ユーザーアカウント、コンピュータアカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。個々のユーザーとするのではなく、グループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。
Active Directory には 2 種類のグループがあります。
-
配信グループ: メール配信リストを作成するために使用されます。
-
セキュリティ グループ: 共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する際には、次のガイドラインを考慮してください。
-
各役割、部署、サービス (セールス、マーケティング、マネージャー、会計士、Webex ライセンスなど) に対してグローバルグループを作成します。
-
組織全体の標準命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。グループ名には、アクセス レベル、リソース タイプ、セキュリティ レベル、グループ スコープ、メール機能など、グループに関する詳細を含めることができます。 たとえば、グループ名「GSG_Webex_Licensing_EMEAR」は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
-
地理や管理階層など、わかりやすい方法でグループを整理します。グループの説明を使用して、グループの目的を完全に説明します。
-
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの自動ライセンス グループ テンプレートを Control Hub で定義します。詳細については、「自動ライセンス割り当てテンプレートを設定する 」を参照してください。
サイズ情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウドの間のブリッジとして機能します。そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限はありません。プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられます。
同期の速度に影響を与える要因はいくつかあります。
-
Active Directory オブジェクトの合計数。(5000 人のユーザー同期ジョブは 50,000 件までかかります。)
-
ネットワーク速度と帯域幅。
-
システムのワークロードと仕様。
50,000 人を超えるユーザを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強く推奨します。
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間の特定の時間値を提供できません。
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織で透過ウェブ プロキシを使用している場合、認証はサポートされません。コネクタはユーザーを正常に接続し、同期します。
以下のいずれか 1 つのアプローチを選択することができます。
-
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を引き継ぎます)
-
.pac ファイルを介した明示的なウェブ プロキシ (コネクタはエンタープライズ固有のプロキシ設定を継承します)
-
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するようにディレクトリ コネクタを設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 |
Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 |
2 |
コネクタがウェブ プロキシにインストールされている Windows インスタンスを指します。コネクタはこれらの Web プロキシ設定を継承します。 |
3 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
4 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。このファイルは、Web プロキシ アドレスとポート情報を提供します。Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 |
コネクタが正常に接続し、ユーザー情報を Webex クラウドに同期するには、コネクタがインストールされているホストの .pac ファイル構成で |
2 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
3 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
NTLM プロキシ
Directory Connector は NT LAN Manager (NTLM) をサポートします。NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLM デザイン
ほとんどの場合、ユーザは、クライアント PC を通じて別のワークステーションのリソースにアクセスすることを希望します。これは、安全な方法で実行するのが難しい場合があります。
一般的に、NTLM の技術的な設計は、チャレンジ
と応答
のメカニズムに基づいています。
-
ユーザは Windows アカウントとパスワードを使用してクライアント PC にサインインします。パスワードはローカルに保存されません。プレーン テキスト パスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。ユーザがパスワードを通じてクライアントにサインインすると、Windows OS は入力パスワードから保存されたハッシュ値とハッシュ値を比較します。両方が同じ場合、認証はパスされます。
ユーザが別のサーバのリソースにアクセスする場合、クライアントはアカウント名でプレーンテキストで要求を送信します。
-
サーバがリクエストを受信すると、サーバは 16 ビットランダムキーを生成します。キーは Challenge(または Nonce)と呼ばれます。サーバがクライアントに戻す前に、チャレンジはサーバに保存されます。その後、サーバーはプレーンテキストでクライアントにチャレンジを送信します。
-
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値でチャレンジを暗号化します。暗号化後、値はサーバに返されます。
-
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにドメイン コントローラに送信します。リクエストには次のものが含まれます。アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
-
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。そして、ドメインコントローラは、元のチャレンジで暗号化できます。次に、ドマンコントローラーは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。同じ場合、検証は成功します。
Windows はオペレーティング システムにセキュリティ認証を組み込み、アプリケーションがセキュリティ認証をサポートしやすくします。結果として、さらに設定を完了する必要はありません。
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 |
コネクタがユーザに接続して同期できるように、透過プロキシを展開します。 |
2 |
プロキシが成功したことを確認します。コネクタの起動時にブラウザ認証ポップアップ ウィンドウが期待されます。 |
プロキシ認証の設定
アクセス コントロール リストを作成して、許可リストに URL cloudconnector.webex.com
を追加します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 |
DNS 検索が有効になっていない場合、有効にします。 |
2 |
この接続の推定帯域幅を決定します (コネクタでは約 2 mb/秒以下)。この限りでは無いことがあります。 |
3 |
アクセス コントロール リストを作成してコネクタ ホストに適用し、許可リストに追加するターゲットとして たとえば、次のようなものです。 access-list 2000 acl-inside extended permit TCP [コネクタの IP] cloudconnector.webex.com eq https |
4 |
この ACL を、この単一コネクタ ホストにのみ適用可能な適切なファイアウォール インターフェイスに適用します。 |
5 |
所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Directory Connector を展開する
Cisco Directory Connector の展開タスク フロー
1 |
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。 Directory Connector の新規インストールについては、常に Control Hub (https://admin.webex.com) に移動してソフトウェアの最新バージョンを入手し、最新の機能とバグ修正を使用できるようにしてください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
2 |
Webex 管理者資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。 この手順を使用して、ソフトウェアが利用可能になったときにサイレントにインストールされるようにすることを推奨します。 |
4 |
同期する Active Directory オブジェクトの選択 デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。 |
5 |
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid です。 |
6 |
次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期することで、各ユーザーのアバターがアプリケーションにサインインしたときに表示されます。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 |
オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、Webex Room デバイスまたは Cisco Webex Board などのクラウド登録された会議室デバイスで検索可能なエントリとして表示されます。 |
8 |
Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この手順に従って、Webex アプリアカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降のために、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。
同期する各 Active Directory ドメインに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、単一のドメインにのみサービスを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバを通じて認証する場合は、次のプロキシ クレデンシャルがあることを確認します。
-
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後でユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシ設定も必要です。ブラウザから Web プロキシを使用するを参照してください。
-
プロキシ NTLM の場合、初めてコネクタを開くと、エラーが発生する場合があります。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
Control Hub で、 に移動し、[次へ] を選択します。 |
2 |
[ダウンロードとインストール] リンクをクリックして、コネクタのインストール .zip ファイルの最新バージョンを VMware または Windows サーバーに保存します。 .zip ファイルをこのリンクから直接取得できますが、このソフトウェアが機能するには、Control Hub 組織への完全な管理アクセス権が必要です。 新しいインストールについては、最新の機能とバグ修正を使用できるように、ソフトウェアの最新バージョンを取得してください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
3 |
VMware または Windows サーバーで、セットアップ フォルダで .msi ファイルを解凍して実行し、セットアップ ウィザードを起動します。 |
4 |
[次へ] をクリックし、ボックスにチェックを入れてライセンス契約に同意し、アカウントタイプの画面が表示されるまで [次へ] をクリックします。 |
5 |
使用するサービス アカウントのタイプを選択し、管理者アカウントでインストールを実行します。
エラーを回避するために、次の権限が設定されていることを確認してください。
|
6 |
[インストール] をクリックします。 ネットワーク テストの実行後、プロンプトが表示されたら、プロキシ基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバを再起動することをお勧めします。 ドライ ラン レポートは、データがリリースされていないときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector にサインイン
始める前に
プロキシの資格情報を持っていることを確認します。
-
プロキシ基本認証の場合、初めてコネクタを開いた後でユーザー名とパスワードを入力します。
-
プロキシ NTLM の場合は、Internet Explorer を開き、歯車アイコンをクリックし、[インターネットオプション] > [接続] > [LAN 設定] に進み、プロキシ サーバー情報が追加されていることを確認し、[OK] をクリックします。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
コネクタを開き、プロンプトが表示されたら、 |
2 |
プロンプトが表示されたら、プロキシ認証資格情報でサインインし、管理アカウントを使用して Webex にサインインし、[次へ] をクリックします。 |
3 |
組織とドメインを確認します。
|
4 |
[組織の確認] 画面が表示されたら、[確認] をクリックします。 すでに AD DS/AD LDS にバインドしている場合は、[組織の確認] 画面が表示されます。 |
5 |
[確認] をクリックします。 |
6 |
Directory Connector にバインドする Active Directory ドメインの数に応じて、1 つを選択します。
|
次に行うこと
サインインすると、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector ダッシュボード
Directory Connector に初めてサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティの概要の表示、クラウド統計の表示、ドライラン同期の実行、完全または増分同期を開始し、エラー情報を表示するためにイベント ビューを起動できます。
これらのタスクは、[アクション] ツールバーまたは [アクション] メニューから簡単に実行できます。
コンポーネント |
説明 |
---|---|
現在の同期 |
現在進行中の同期に関するステータス情報を表示します。 同期が実行されていない場合、ステータスの表示はアイドル状態になります。 |
次の同期 |
次にスケジュールされた完全同期と増分同期を表示します。 スケジュールが設定されていない場合、[スケジュールされていません] が表示されます。 |
最後の同期 |
最後に実行された 2 つの同期のステータスを表示します。 |
現在の同期ステータス |
同期の全体的なステータスを表示します。 |
コネクタ |
クラウドで使用可能な現在のオンプレミス コネクタを表示します。 |
クラウド統計 |
同期の全体的なステータスを表示します。 |
同期スケジュール |
増分同期と完全同期のための同期スケジュールを表示します。 |
設定の概要 |
設定で変更した設定が一覧表示されます。 たとえば、概要には以下が含まれる場合があります。
|
アクション | 説明 |
---|---|
増分同期を開始 |
増分同期を手動で開始 このアクションは、同期を一時停止または無効にする場合、完全な同期が完了していない場合、または同期が進行中の場合に無効になります。 |
ドライランの同期 |
ドライ ラン同期を実行します。 |
イベント ビューアを起動 |
Microsoft イベント ビューアを起動します。 |
更新 |
Cisco Directory Connector ダッシュボードを更新 |
アクション |
説明 |
---|---|
今すぐ同期 |
完全な同期をすぐに開始します。 |
同期モード |
増分同期モードまたは完全同期モードを選択します。 |
コネクタ シークレットをリセット |
Cisco Directory Connector とコネクタ サービス間の会話を確立します。 このアクションを選択すると、クラウド内の秘密がリセットされ、秘密がローカルに保存されます。 |
ドライ ラン |
同期プロセスのテストを実行します。 完全同期を行う前に、ドライ ランを実行する必要があります。 |
トラブルシューティング |
トラブルシューティングをオンまたはオフにします。 |
更新 |
Cisco Directory Connector のメイン画面を更新します。 |
終了 |
Cisco Directory Connector を終了します。 |
キーの組み合わせ |
アクション |
---|---|
Alt + A |
[アクション] メニューを表示する |
|
今すぐ同期 |
|
コネクタ シークレットをリセット |
|
ドライ ラン |
|
増分同期 |
|
完全同期 |
|
[ヘルプ] メニューを表示 |
|
ヘルプ |
|
バージョン情報 |
|
よくある質問 |
自動アップグレードの設定
1 |
Directory Connector から、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] をオンにします。 に進み、 |
2 |
[適用] をクリックして変更を保存します。 |
コネクタの新しいバージョンは利用可能になったら自動的にインストールされます。
必要に応じて、アップグレードを手動で管理できます。 詳細については、「最新のソフトウェア リリースへのアップグレード」を参照してください。
同期する Active Directory オブジェクトの選択
デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期した Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex は新規ユーザーのユーザー メンバーシップと自動ライセンス テンプレート マッピングを確認します。
LDAP フィルタを使用して、関連するグループをクラウドに同期することのみを推奨します。 たとえば、フィルタを次のように設定できます。
(&(cn=例)(objectclass=グループ))*
このフィルタは、ベースの DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、パイロットユーザーのトライアル グループを設定するためにハイブリッド データ セキュリティを使用している場合は、[グループ] をオンにする必要があります。 詳細については、「ハイブリッド データ セキュリティの展開ガイド」を参照してください。 この Directory Connector の設定は、クラウドへの他のユーザーの同期には影響しません。
1 |
Directory Connector から、[構成] に移動し、[オブジェクトの選択] をクリックします。 |
2 |
[オブジェクトタイプ] セクションで、[ユーザー] にチェックを入れ、ユーザーの検索可能なコンテナーの数を制限することを検討してください。 たとえば、特定のグループ内のユーザーのみを同期する場合は、[ユーザー] の LDAP フィルタフィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のようなフィルターを使用します。
|
3 |
[会議室の識別] にチェックを入れ、会議室データをユーザー データから分離します。 ユーザー データを会議室データとして識別するための追加の属性を設定する場合は、[カスタマイズ] をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された会議室デバイスで検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください。 |
4 |
Active Directory ユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザ同期の LDAP フィルタを追加しないでください。 グループ データ自体をクラウドに同期するには、[グループ(Groups)] フィールドのみを使用してください。 デフォルトでは、グループは新しい顧客に対して同期されません。 グループ同期を有効にする必要があります。 セキュリティ グループも同期する必要があります。 |
5 |
ユーザーの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。 Directory Connector は、コネクタによって同期された連絡先のみを管理します。 Control Hub にすでに連絡先がある場合は、同期によって連絡先は削除されません。 同期範囲から連絡先が削除された場合、ユーザーの連絡先情報も Control Hub で削除されます。 |
6 |
LDAP フィルタを設定します。 有効な LDAP フィルタを提供することにより、拡張フィルタを追加できます。 LDAP フィルタの設定の詳細については、この記事を参照してください。 |
7 |
[選択] をクリックして、[同期するオンプレミス ベース DN] を指定して、Active Directory のツリー構造を確認します。 ここから、検索するコンテナーを選択または選択解除できます。 |
8 |
この構成に追加するオブジェクトを確認し、[選択] をクリックします。 同期に使用する個別または親コンテナーを選択できます。 親コンテナーを選択して、すべての子コンテナーを有効にします。 子コンテナーを選択した場合、親コンテナーには、子コンテナーがチェックされたことを示すグレーのチェックマークが表示されます。 次に、[選択] をクリックして、チェックした Active Directory コンテナーを受け入れることができます。 組織ですべてのユーザーとグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 組織が組織単位に分割されている場合は、必ず [OU] を選択してください。 |
9 |
[適用] をクリックします。 オプションを選択します。
ドライ ランの詳細については、「Active Directory ユーザーでドライ ラン同期を行う」を参照してください。 グループ同期では、完全同期を行う必要があります。 クラウドに Active Directory ユーザーの完全な同期を行います。 |
ユーザー属性をマッピング
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid で、クラウド アイデンティティ サービスの各ユーザー アカウントの一意の識別子です。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、Active Directory で firstName lastName をマッピングしたり、クラウドで displayName にカスタム属性式をマッピングしたりできます。
Active Directory のアカウントにはメール アドレスが必要です。既定では、uid はメールの ad
フィールドにマッピングされます (sAMAccountName
ではありません)。
Active Directory から優先言語を選択した場合、Active Directory は真実の唯一のソースとなります。 ユーザーは Webex 設定で言語設定を変更できず、管理者は Control Hub の設定を変更できません。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 このページには Active Directory (左) と Webex クラウド (右) の属性名が表示されます。 必須の属性はすべて赤いアスタリスクでマークされます。 |
2 |
[Active Directory 属性名] の一番下までスクロールし、これらの Active Directory 属性の 1 つを選択して、クラウド属性 uid にマッピングします。
他の Active Directory 属性のいずれか uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 Active Directory のどの属性がクラウドで一致するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。 同期を動作させるには、選択する Active Directory 属性が電子メール形式であることを確認する必要があります。 推奨属性の 1 つを選択しない場合は、Directory Connector にポップアップが表示されます。 |
3 |
事前に定義された Active Directory 属性が展開で機能しない場合、属性ドロップダウンをクリックし、下部までスクロールして、[属性をカスタマイズ] を選択して、属性表現を定義できるウィンドウを開きます。 [ヘルプ] をクリックして、式に関する詳細を確認し、式がどのように動作するかを確認してください。 詳細については、「カスタマイズされた属性の式」を参照してください。 この例では、Active Directory 属性 Directory Connector は、アイデンティティ サービスの uid の属性値を検証し、現在のユーザー フィルター オプションで 3 人の使用可能なユーザーを取得します。 これらの 3 人のユーザーのすべてに有効なメール形式がある場合、Cisco Directory Connector には次のメッセージが表示されます。 属性が確認できない場合、次の警告が表示され、Active Directory に戻り、ユーザー データを確認および修正できます。 |
4 |
(オプション) Webex アプリのユーザーの連絡先カードにモバイル番号と職場の番号を表示する場合は、モバイルとtelephoneNumber のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号のデータが Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) の通話展開ガイド」(管理者) を参照してください。 |
5 |
追加のマッピングを選択して、連絡先カードに表示されるデータを追加します。
属性がマッピングされると、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡しようとしている相手を確認する」を参照してください。 これらの属性を各ユーザー アカウントに同期した後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーは、プロファイルでより多くの情報を共有し、お互いについて詳しく知ることができます。 機能と有効にする方法の詳細については、「Control Hub の Webex、Jabber、Webex Meetings、および Webex Events (新) の People Insights プロファイル」を参照してください。 |
6 |
選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 対応するメール アドレスが Active Directory にないユーザーは削除されます。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
Active Directory とクラウドの属性
[ユーザー属性マッピング] タブを使用して、ローカルの Active Directory からクラウド内の対応する属性に属性をマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較したものです。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンで異なる属性を選択し、どのオンプレミス属性がどのクラウド属性と同期するかを決定できます。
ドロップダウン属性は、プリセットとして考えてください。 Active Directory 行の値の代わりに、Active Directory でカスタマイズされた属性(複数の属性を持つ式)を指定して、対応する行内の単一のクラウド属性にマッピングすることもできます。 このようにして、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory の従業員名、指定された名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする Active Directory 属性のいずれかを指定することもできます。 ただし、オンプレミスの属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、ユーザーのメール アドレスがカレンダーを管理するために使用されている場合、代替のメールアドレスを使用することもできます。 この場合、別のメール アドレスを emails;type-work 属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。
Active Directory の属性名 |
Webex クラウドの属性名 |
メモ |
---|---|---|
— |
ビル名 |
— |
C |
C |
この属性は、ユーザーの国の略称を指定します。 |
部門番号 |
部門番号 |
この属性は、連絡先カードとPeople Insights に表示されるユーザーの部署番号に使用されます。 |
表示名 |
表示名 |
この属性は、Control Hub に表示されるユーザー アカウントの表示名、連絡先カード、People Insights に使用されます。 |
ユーザアカウント制御 |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl 属性が ds-pwp-account-disabled にマッピングされているか、ユーザーが適切に同期されないことを確認してください。 |
従業員番号 |
従業員番号 |
— |
ファクシミリ電話 |
ファクシミリ電話 |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス(XMPP タイプ)に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性は、ユーザの市区町村を指定します。 |
— |
ロケール |
— |
マネージャー |
マネージャー |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
モバイル |
モバイル |
この属性は、連絡先カードからユーザーに電話をかけるために表示される携帯電話番号として使用されます。 |
O |
O |
この属性は、会社または組織の名前を指定し、連絡先カードに表示されます。 |
または |
または |
この属性は、組織単位の名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性は、ユーザーのオフィス ロケーションを指定します。 |
郵便番号 |
郵便番号 |
この属性は、物理的なメール配信のためのユーザーの郵便番号または郵便番号を指定します。 |
優先言語 |
優先言語 |
この属性は、ユーザーの優先言語を設定し、次の形式がサポートされます。 xx_YY または xx-YY。 いくつかの例を以下に示します。 en_US, en_GB, fr-CA. サポートされていない言語または無効な形式を使用する場合、ユーザーの優先言語は組織の言語設定に変更されます。 |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
snさん |
snさん |
この属性は、Control Hub に表示されるユーザー アカウントの姓、連絡先カード、People Insights に使用されます。 |
セント |
セント |
この属性は、ユーザの都道府県を指定します。 |
番地 |
番地 |
この属性は、物理的なメール配信のためのユーザの番地を指定します。 |
電話番号 |
電話番号 |
この属性では、連絡先カードからユーザーに電話をかけるために使用されるユーザーのプライマリ (職場) 電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性は、ユーザーのタイムゾーンを指定します。 |
タイトル |
タイトル |
この属性では、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
企業 |
— |
*メール *userPrincipalName |
UID (uid) |
必須の属性マッピング。 各ユーザー アカウントについて、Active Directory の値はクラウドの一意の UID にマッピングされます。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 ユーザーは、正しい SAML 属性マッピングが設定されている限り、これらのメール アドレスを使用してサインインできます。 代替メール アドレスをマッピングする方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName *メール <カスタム属性> |
メール; タイプワーク |
このマッピングはオプションです。代替のメール アドレスを使用する場合に使用してください。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。 |
<Azure ユーザー objectId の新しい属性> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザー objectId を保持し、既存の属性と衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームを自動的に作成することを確認します。 |
代替メール アドレスのマッピング
カスタマイズされた属性の式
演算子 |
説明と例 |
---|---|
% |
matches が指定された場合、検索結果が代入されます。
|
- |
指定された文字列の末尾から入力文字列の背面を取り去ります。
|
+ |
入力文字列や式を連結します。
|
| |
空の文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 この手順を使用して、Active Directory 属性から生のアバター データを同期します。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[AD 属性] を選択し、クラウドに同期する未加工アバターデータを含む [アバター属性] を選択します。 |
3 |
アバターが正しくアクセスされていることを確認するには、ユーザーのメール アドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターが右側に表示されます。 |
4 |
アバターが正しく表示されたことを確認したら、[適用] をクリックして変更を保存します。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
リソース サーバーからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
-
この手順の URI パターンと変数値は例を示します。 ディレクトリ アバターが配置されている実際の URL を使用する必要があります。
-
アバター URI パターンとアバターが存在するサーバは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像への http または https アクセスを必要としますが、画像がインターネットで公的にアクセスされる必要はありません。
-
アバター データの同期は、Active Directory ユーザー プロファイルから分離されます。 プロキシを実行する場合、アバター データが NTLM 認証または基本認証によってアクセスできることを確認する必要があります。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[リソース サーバー] を選択し、[アバター URI パターン] を入力します。たとえば、 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 |
(オプション) リソース サーバーで資格情報が必要な場合は、[アバターにユーザー クレデンシャルを設定する] にチェックを入れ、[現在のサービス ログオン ユーザーを使用] または [このユーザーを使用] を選択し、パスワードを入力します。 |
4 |
変数の値を入力します。例: |
5 |
[テスト] をクリックして、アバター URI パターンが正しく機能していることを確認します。 この例では、1 つの AD エントリのメール値が |
6 |
URI 情報が確認され、正しく表示されたら、[適用] をクリックします。 正規表現の使用の詳細については、「Microsoft 正規表現言語クイックリファレンス」を参照してください。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
2 |
[会議室情報をクラウドに同期] をチェックして、同期中に会議室データをユーザー データから分離します。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 |
3 |
[属性マッピング] に移動し、クラウド属性 sipAddresses;type=enterprise の属性マッピングを変更します。 値検証を使用するには、SIP アドレスの値は Pattern.compile("^([^@])(.*)@(.*)$") である必要があります。
|
4 |
Exchange で会議室リソースメールボックスを作成します。 これは、コネクタがルームを識別するために使用する msExchResourceMetaData;ResourceType:Room 属性を追加します。 |
5 |
Active Directory のユーザーとコンピュータから、会議室のプロパティに移動して編集します。 次の sip のプレフィックスを持つ完全修飾の SIP URI を追加します。 |
6 |
ドライランの同期を実行してから、コネクタで完全実行の同期を実行します。 新しい会議室オブジェクトは [追加されたオブジェクト] にリストされ、一致した会議室オブジェクトは、ドライ ラン レポートの [一致したオブジェクト] に表示されます。 削除にフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライ ランの結果には、一致したルームリソースが表示されます。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザー データから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計には、クラウドに同期された会議室データが表示されます。 |
次に行うこと
これらの手順が完了しました。Webex クラウドに登録されたデバイスで検索すると、SIP アドレスで設定された同期された会議室エントリが表示されます。 エントリの Webex デバイスからコールを発信すると、ルームに設定された SIP アドレスにコールが発信されます。
Control Hub から、ディレクトリから会議室を自動的にインポートし、ワークスペースを作成できます。
エンドポイントでは、Webex アプリにコールバックできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスの SIP URI として、または Webex アプリ以外のどこかで登録されている必要があります。 検索する Active Directory 会議室システムが Webex に登録されており、同じメールアドレスが Webex Room デバイス、デスク デバイス、またはカレンダー サービス用の Webex Board にある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。
ディレクトリ同期結果でのメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取る人をカスタマイズできます。
1 |
Directory Connector から、[構成] をクリックし、[通知] を選択します。 |
2 |
Directory Connector から、[設定] をクリックし、[メール受信者] の隣の [レポートの同期を有効にする] をオンに切り替えます。 |
3 |
デフォルトの通知動作をオーバーライドし、1 人以上のメール受信者を追加する場合は、[通知を有効にする] をオンにします。 |
4 |
[追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 |
[メールの追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 |
入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 |
すべての有効なメールアドレスを追加したら、[適用] をクリックします。 |
8 |
すべての有効なメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メール アドレスを削除することを決定した場合、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メール アドレスを削除することを決定した場合、特定のメール アドレス エントリの隣の [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニング
これらの手順に従って、Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成します。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開(単一フォレストまたは複数のフォレストを含む)からユーザをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。
1 |
Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。 |
2 |
クラウドへの Active Directory ユーザーの完全な同期を行う 完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 |
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザーの同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップすることを推奨します。 この最初のステップの後で、個々の変更を行うこともできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。
異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector の目標は、Active Directory と Webex クラウドの間で完全に一致することです。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメインにインストールした Cisco Directory Connector インスタンスでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、すでに Control Hub に一部の Webex アプリ ユーザーがいる場合があります。 クラウド内のユーザーの中には、オンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスが割り当てられる場合があります。 ただし、同期中に削除するテストユーザーもいる場合があります。 Active Directory と Control Hub の間で完全一致を作成する必要があります。
1 |
次のいずれかを選択します。
ドライ ランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトの一致についての情報が含まれます。
ドライ ランでは、ドメイン ユーザと比較してユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属している場合、ユーザを識別できます。 次のステップでは、オブジェクトを削除するか、または保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在しているが、オンプレミスの Active Directory には存在していないとして識別されます。 |
2 |
ドライ ランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じて、オプションを選択します。
|
3 |
[ドライ ランの確認] プロンプトで、[はい] をクリックしてドライ ランの同期を再実行し、ダッシュボードを表示して結果を表示します。 ドライ ランで正常に同期されたアカウントは、[一致したオブジェクト] の下に表示されます。 クラウド内のユーザーが Active Directory に同じメールを持つ対応するユーザーを持っていない場合、エントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するために、同じメールアドレスで Active Directory にユーザーを追加できます。 同期された項目の詳細を表示するには、特定の項目または [一致したオブジェクト] の対応するタブをクリックします。 概要情報を保存するには、[結果をファイルに保存] をクリックします。 |
4 |
結果が予想される場合は、[今すぐ有効にする] をクリックして手動同期を実行し、この時点で手動モードにします。 に移動し、複数ドメイン展開で最後の Active Directory ドメインで同期を行った後、Directory Connector の自動モードを有効にする必要があります。 自動モードを有効にできるのは、オブジェクトが Webex クラウドとすべてのオンプレミスのアクティブ ディレクトリの間で完全に一致している場合のみです。 |
次に行うこと
-
保持した不一致のユーザー オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、それらを Active Directory に追加する必要があります。
-
同期タイプを選択:
-
新しいユーザーを最初にクラウドに同期するときに、クラウドに Active Directory ユーザーの完全な同期を行う。 から行い、現在のドメインのユーザーが同期されます。
-
デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。 増分同期は、最初に完全同期を実行するまで実行されません。
-
-
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意事項
-
完全な同期を有効にする前に、または同期パラメータを変更する場合は、ドライ ランを実行します。 ドライ ランが設定変更によって開始された場合は、ドライ ランの完了後に設定を保存できます。 すでにユーザーを手動で追加している場合、Active Directory の同期を実行すると前に追加したユーザーが削除されます。 クラウドに完全に同期する前に、Directory Connector のドライ ラン レポートを確認して、すべてのユーザーが存在することを確認できます。
-
一致するユーザーが削除するようにマークされ、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」でトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
クラウドへの Active Directory ユーザーの完全な同期を行う
完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合は、各 Active Directory ドメインにインストールした Directory Connector インスタンスでこの手順を実行する必要があります。
Directory Connector はユーザーアカウントの状態を同期します。Active Directory では、無効とマークされているすべてのユーザーもクラウドで非アクティブとして表示されます。
始める前に
-
完全同期後、およびユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにするには、次の手順を実行してメール検証をバイパスする必要があります。
-
シングル サインオンを Webex 組織と統合します。 参照
Cisco Webex サービスと組織の ID プロバイダーによるシングル サインオン
を参照してください。 -
Control Hub を使用して、メール アドレスに含まれるドメインを確認し、必要に応じて要求します。 参照
ドメインの追加、検証、要求
. -
自動招待メールを抑制して、新規ユーザーが Webex アプリへの自動招待メールを受信しないようにします。(独自のメール キャンペーンを実行できます。)
サインインしていないアクティベート済みユーザーは、Control Hub で [確認済み] ステータスで表示されます。 サインインすると、[アクティブ] として表示されます。 ユーザー ステータスの詳細については、「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
-
-
同期を有効にすると、Directory Connector が最初にドライ ランを実行するように求めます。 潜在的なエラーをキャッチするために、完全同期の前にドライ ランを実行することを推奨します。
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 無料アカウントを持つユーザーと同じ無料機能を使用できます。
1 |
次のいずれかを選択します。
|
2 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
3 |
同期を開始したことを確認します。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。 次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
|
4 |
同期のステータスを更新する場合は、[更新] をクリックします。 (同期された項目は [クラウド統計] の下に表示されます。) |
5 |
エラーに関する情報については、[イベント ビューアの起動] を [アクション] ツールバーから選択してエラーログを表示します。 |
6 |
クラウドへの継続的な増分同期のための同期スケジュールを設定するには、「コネクタ スケジュールを設定する」および「増分同期を実行する」を参照してください。 |
-
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [運用] にディレクトリ同期のステータスが更新されます。
-
すべてのデータがオンプレミスとクラウドの間で照合されると、Directory Connector は手動モードから自動同期モードに変更されます。
-
シングル サインオンを統合、ドメインの確認、オプションで同期したメール アカウントのドメインの要求、および自動メールを抑制しない限り、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは未確認の状態のままになります。 アクティブ ユーザーとしてアカウントを同期する方法については、「開始する前に」のセクションを参照してください。
-
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
-
シングル サインオンを Webex と統合し、抑制されたメール通知がある場合、招待メールは新しく同期されたユーザーに送信されません。
-
Directory Connector を有効にした後は、Control Hub でユーザーを手動で追加できません。 有効にすると、ユーザー管理は Cisco Directory Connector から実行され、Active Directory が信頼できる唯一の情報源となります。
-
同期したグループが Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
-
Active Directory からユーザーを削除すると、そのユーザーは次の同期後にソフトで削除されます。 ユーザーは [非アクティブ] になりますが、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にします)。
Active Directory で [アカウントが無効になっています] にチェックを入れると、次の同期後、ユーザーは [非アクティブ] になります。 ユーザーを再度有効にする場合は、クラウド ID プロファイルは 7 日後に削除されません。
-
これらの例外を増加同期に注意してください (代わりに上記の完全同期手順に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルタ、アバター設定での設定変更には完全同期が必要です。
-
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる
Cisco Directory Connector から Control Hub へのフルユーザーの同期が完了したら、Control Hub を使用して同じ Webex サービス ライセンスをすべてのユーザーに一度に割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合、新規ユーザーにライセンスを追加したりできます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Directory Connector から Control Hub への完全なユーザーの同期が完了したら、Control Hub のメソッドを使用して、Webex サービス ライセンスをすべてのユーザー、個々のユーザー、一括 CSV テンプレートを通じてグローバルに割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合は新規ユーザーに自動的に割り当てることができます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Webex アプリユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 メールは Control Hub の通知サービスから送信されます。 シングル サインオン (SSO) を Webex 組織と統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制することもできます。
始める前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
-
Active Directory ユーザーでドライランの同期を行います。
-
ドライ ランの結果を確認した後、Active Directory ユーザーで完全同期を行います。
完全同期の時点で、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されない場合、CSV インポート、ユーザーの手動更新、自動割り当て完了など、Control Hub の標準的なユーザー管理方法によってユーザーにサービスを割り当てると、新規ユーザーはアクティベーション メールを受け取ります。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ユーザーの管理] をクリックし、[すべての同期済みユーザーを変更] を選択し、[次へ] をクリックします。 |
2 |
オプションを選択します。 |
次に行うこと
-
メールが抑制されない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
-
すべてのユーザーに対して同じ Webex サービスを選択した場合、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
-
2012 R2 以前の Windows Server バージョンには、Directory Connector に影響するクッキーの問題があります。 この問題は、バージョン 2012 R2 および 2016 で修正されています。
-
Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
-
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索して発信すると、この時点でコールは無制限に鳴ります。
Webex アプリのユーザーの管理
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。そして、それら変更をまとめて、コネクター サービスに送信します変更には、ユーザー属性の変更と、ユーザーが追加または削除された場合が含まれます。
この同期では、サーバーに負荷がかかるわけではなく、完全同期ほど時間がかかります。最初の完全同期を行った後、その後の同期に増分オプションを推奨します。
開始する前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップ する必要があります。
-
増分同期がサポートされていないこれらの例外に注意してください (代わりに、「クラウドに Active Directory ユーザーの完全な同期を行う 」に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルター、アバター設定の新しい構成変更の場合、増分同期は機能せず、完全同期が必要です。
-
1 |
Directory Connector から [ダッシュボード] をクリックします。 同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 |
2 |
[アクション] から、まだ有効になっていない場合は、[同期モード] > [同期を有効にする] をクリックします。 デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。増分同期は、最初に完全同期を実行するまで実行されません。新しい増分時間間隔が終了すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 |
3 |
[アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
|
4 |
エラーに関する情報については、[アクション] ツールバーから [イベント ビューアの起動] をクリックして、エラー ログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーを復元する
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。ソフト削除機能は、これらの事故から回復し、Control Hub でユーザー アカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織で有効になっています。たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しないため、クラウドでユーザーが削除されると、ユーザーは復元できます。一致しないオブジェクトが通知されたり、ユーザーが削除されたことに気づいた場合、迅速に行動すると復元できる場合があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。バックグラウンド クラウド サービスは、ユーザーを最大 7 日間保持します。この期間中も、Cisco Directory Connector を使用してユーザーを復元できます。これらのユーザーをできるだけ早く復元することをお勧めします。
Active Directory で無効になっているユーザーは、Control Hub で非アクティブとしてマークされますが、ユーザー アカウントは 7 日後に削除されません。
1 | |
2 |
[ユーザー] に移動し、特定のユーザー アカウントが非アクティブ状態であるか、非公開であるかを確認します。 詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。 |
3 |
ユーザーが Control Hub で削除された場合、または非アクティブ状態のユーザーが見つかった場合は、Active Directory に移動し、欠落しているユーザーアカウントを追加してから、Directory Connector でドライラン同期を実行します。 Directory Connector の目標は、Active Directory とクラウドのユーザー情報間で完全一致を作成することです。 |
4 |
完全同期を実行して、一時的に削除されたユーザー アカウントを Control Hub に再同期します。 ユーザーは復元され、アカウント ステータスとサービスの割り当てを含む元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
に進み、以前に削除されたユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザを完全に削除
ドライ ランを実行した後、次の同期でソフトで削除されたユーザを完全に削除できます。
1 |
ドライ ランが完了したら、[ソフト削除済みオブジェクト] を選択します。 |
2 |
削除するユーザの横にあるチェックボックスをオンにします。 |
3 |
[完了] を選択します。 |
次に行うこと
次の同期で、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合、Active Directory でそれらのメール アドレスを変更します。この手順では、単一ドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
メールまたは一部の値を 1 人のユーザーに対してのみ変更する場合は、Active Directory からユーザーを削除してから、同じメールで新しいユーザーを再作成しないでください。クラウドはこのアクションを新しいユーザー アカウントとして解釈すると、ユーザーのスペースとクラウド内のその他のデータは失われます。
Directory Connector はメール ドメインの変更を制限しません。ただし、ユーザーがクラウドに再同期すると、ユーザーの状態は、組織で新しいドメインが検証されているかどうかによって異なります。組織でドメインが確認されていない場合、フル同期後にユーザーのステータスは [保留中] に変更されます。詳細については、「ドメインを管理する」を参照してください。
組織が Directory Connector を使用していない場合、アカウント設定ページからWebex アプリのメール アドレスを変更できます。ユーザーがメールを変更するための手順については、「アカウントのメール アドレスを変更する 」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。クラウド内のアイデンティティ サービスと同期します。
1 |
新規 Active Directory (AD) ドメインをセットアップします。 |
2 |
すべてのコネクタで同期を無効にします。 |
3 |
すべてのコネクタをアンインストールします。 |
4 |
送信する場合は、ドメイン設定と組織内のすべての同期属性の削除をリクエストしてください。 ドメインを変更するためにケースを開く前に、実行中の同期がないことを確認してください。ケースが解決されるまで、Active Directory のユーザー メール アドレスを変更しないでください。 |
5 |
本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメインの要求は、組織のメール ドメインを要求し、サイドボーディングされたアカウントが無料の消費者組織ではなく、有料顧客組織で作成されるように、組織のメール ドメインを要求する場合に発生します。ドメイン要求は、サポート ケースを通じてのみ行えます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織内で作成されません。Active Directory から組織のアカウントをプロビジョニングできるのは、Directory Connector のみです。Active Directory に保存された情報はオリジナルソースです。アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、最初に Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織で無料の Webex アプリ ユーザーを変換する
一意のメール アドレスは Webex アプリ ディレクトリでのみ使用できます。ユーザーが無料バージョンの Webex アプリにサインアップしている場合、そのアカウントは無料消費者組織に存在しています。Directory Connector を使用してこの組織のユーザーを管理するには、Directory Connector をオンにする前に、顧客組織にユーザーを移行 (変換) します。次に、ユーザーを正確なメールアドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ 変換できませんでした
が表示されます。この問題を回避するには、以下の手順を回避策として使用することができます。
一部の要求されたユーザーは、ドライ ランの実行時に movedfrom
属性が表示される場合があります。これらのユーザーは MismatchedObject
の代わりに [削除済みオブジェクト]
リストに表示されます。組織に移動する場合は、これらのユーザーを AD リストに追加する必要があります。
これらのユーザーを追加しない場合、クラウドに同期する隣にあるすべてのユーザーが削除されます。
1 |
Directory Connector からのディレクトリ同期を無効化する。 |
2 |
「Control Hub でライセンスなしのユーザーを変換する」 手順に従って、無料のコンシューマー組織からエンタープライズ組織にユーザーを変換します。 この手順により、ユーザーを組織に追加し、アカウントが Control Hub に表示されます。Directory Connector は、Active Directory をユーザー アカウントの信頼できる唯一の情報源にします。目標は、Active Directory と Control Hub を正確に一致させることです。同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 |
3 |
Directory Connector で、ドライラン同期を実行します。ドライランの完了後、[オブジェクトの追加] タブを確認します。自分が変換したユーザーが削除されていないか確認する。 同期を再有効化する前にドライランを実行して、変換されたユーザーアカウントが Active Directory に表示されるようにする必要があります。同期をオンにし、アカウントが Control Hub にのみ存在する場合、Directory Connector は大文字と小文字を区別し、一致しないメール アドレスで検出された変換されたユーザー (user1@example.com および User1@example.com など) を削除します。 変換されたユーザーが削除されると、Webex アプリのスペースはすべて失われます。 |
4 |
次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしでディレクトリ コネクタをオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリ ユーザー アカウント
Webex アプリのスペースに別のユーザーを招待すると、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボーディング」)。既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリ同期を実行した後で、ユーザー名は の形式で表示されます。
このユーザー名は、Active Directory の displayName
属性がこのように設定されている場合に表示されます。属性がクラウドの displayName
にマッピングされると、Control Hub で名前が の形式で表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性 givenName sn
(または sn givenName
) を Cisco Cloud 属性名の displayName
にマッピングします。
または、属性 sn givenName
を displayName
にマッピングします。
独自のカスタム属性式を displayName
にマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。
たとえば、式として givenName + "" + sn
(名、スペース、姓) を入力します。これにより、Active Directory の 2 つの属性がクラウドの displayName
にマッピングされます。
ユーザーが Webex Meetings での表示名の変更を許可する
ユーザーが好みの表示名を編集できるようにする場合は、Directory Connector でクラウドに同期する displayName
属性のマッピングを解除できます。ユーザーは、名と姓の代わりに、Webex ミーティング中に表示する表示名を入力できます。管理者は、Control Hub で手動でユーザーの表示名を変更することもできます。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 |
2 |
[Cisco Cloud 属性名] で [displayName] を選択します。 |
3 |
[この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集することができるようになりました。
Directory Connector のトラブルューティング
最新のソフトウェア リリースへのアップグレード
展開をコンプライアンスに保ち、最新の機能、機能、バグ修正、セキュリティ強化を入手するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件をサポートしていないバージョンを使用しているなど、問題が発生する場合があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。問題を回避するには、常に最新バージョンにアップグレードします。Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェア アップデートの更新を手動でインストールできますが、[自動アップグレードの設定] の手順に従って、アプリがアップグレードを自動的に管理できるようにすることを推奨します。
1 |
Windows タスクバーで通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 |
手順に従ってアップグレードを完了します。 |
3 |
コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
でソフトウェアのバージョン番号を確認します。 |
次に行うこと
Directory Connector の新規インストールについては、 zip ファイルをダウンロード してから、このガイドのインストール手順に従ってください。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 |
Directory Connector から、[構成] に移動し、[全般] をクリックします。 |
2 |
[コネクタ名] フィールドに、コネクタ名を入力します。このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 |
3 |
ドロップダウン メニューからログ レベルを選択します。既定では、ログレベルは「情報」にセットされています。使用可能なログレベルは以下の通りです。
これらの設定は、電子メールで送信される同期レポートに影響します。ログ レベルを [エラー(Error)] に設定した場合、同期レポートでエラーのみが報告されます。エラーが存在しない場合、同期レポートは送信されません。設定を [情報] に変更すると、完全同期後に同期レポートを受信します。(増分同期では、エラーが報告されない場合、レポートは送信されないことに注意してください)。 |
4 |
[優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 |
5 |
自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。この設定にチェックを入れると、ソフトウェアへの自動アップグレードが利用可能になったときにサイレントにインストールされることを推奨します。 |
6 |
[LDAP over SSL] をチェックして、セキュアな LDAP (LDAPS) を接続プロトコルとして使用します。 LDAP over SSL をオンにしない場合、Directory Connector は引き続き LDAP 接続プロトコルを使用します。 LDAP (Lightweight Directory Application Protocol) および Secure LDAP (LDAPS) は、アプリケーションとインフラストラクチャ内のドメイン コントローラの間で使用される接続プロトコルです。LDAPS 通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、削除しきい値トリガー値として 1
を設定します。完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。[しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 |
Directory Connector から、[構成] をクリックし、[ポリシー] を選択します。 |
2 |
しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。削除の回数が定義した値を越えると、同期は失敗します。
|
3 |
自分が行う削除の最大数を入力します。既定では 20 です。 弊社は既定値を上げないことを推奨します。 |
4 |
適用をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。高可用性 (HA) にはフェイルオーバーが使用されます。コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 |
Directory Connector から、[構成] をクリックし、[スケジュール] を選択します。 |
2 |
増分同期インターバルを分に指定します。 既定では、増分同期は 30 分おきに実行するようセットされています。完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 |
レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 |
[完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 |
[フェイルオーバー間隔]を「分」で指定します。 |
6 |
[適用] をクリックします。 |
複数ドメイン シナリオ
複数のドメインはドメインの優先順位に基づいています。異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
-
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
-
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
-
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
-
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、https://admin.webex.comにリストされます。
新しいドメインを同期し既存のドメインを保持する
別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている Windows サーバーのドメイン (B) 同期に Directory Connector をインストールします。最初のセットアップ後、コネクタは新しいドメインをバインドし、ドメイン (A) の下のユーザー情報に影響が出ないままになります。
すべてのドメインには独自のアクティブ コネクタがあります。以下のセットアップについては、2 つのドメインを考慮します: domain A with connectors (ca1) and (ca2) for local high availability (HA); domain B with connector (cb1). (ca1)and (ca2) serve domain A. In this scenario, one connector is active and the other is standby (HA). この設計では、1 つのコネクタが常にアクティブであるため、ドメインは同期されているままになります。そのため、ドメイン A にはすでにアクティブなコネクタがあるため (ca1 または ca2)、cb1 はドメイン B のアクティブ コネクタです
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
開始する前に
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。https://admin.webex.com からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 |
3 |
リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。 ドメインは、上から下まで、優先順位でソートされます。 |
ドメインを切り替える
Cisco Directory Connector を別のドメインに再バインドするには、次の手順を使用します。
開始する前に
-
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
-
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。Control Hub からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 |
警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタの他のドメインは登録解除され、そのコンピューターのコネクタ情報は削除されます。 |
4 |
Cisco Directory Connector に再度サインインし、ドメインを再バインドします。 |
ディレクトリ同期を無効にする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、次のいずれかを選択します。
|
2 |
指示を読んだ後、[オフにする] をクリックします。 同期は、Directory Connector から再有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。属性マッピングを削除すると、属性値はクラウドから削除され、Webex に同期されなくなります。これらの値は、手動で編集できます。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[属性名] リストから削除するマッピングを選択します。 |
4 |
[影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 |
[適用] をクリックします。 |
プロファイル画像の管理
Directory Connector を使用して、ユーザー プロファイルの写真を更新するか、空白のユーザー プロファイルの写真を削除します。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[アクション] で次のいずれかを選択します。
|
4 |
[適用] をクリックします。 |
Directory Connector をアンインストールして非アクティブ化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
-
ディレクトリ同期化をこれ以上使いたくなくなった。
-
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
-
ドメインを変更して、別のコネクタをインストールしたい。
開始する前に
-
高可用性 (HA) または複数のドメインの同期のために、Directory Connector の複数のインスタンスがセットアップされている場合があります。唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
-
Directory Connector をアンインストールする前に、重要な作業を保存して閉じてください。
1 |
Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 |
プログラムリストから、[Directory Connector] をクリックし、[アンインストール] を選択し、プロンプトに従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、[詳細] |
4 |
指示を読んだ後、[非アクティブ化] をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールの実行
組み込みの診断ツールを使用して、Directory Connector 展開のトラブルシューティングを行うことができます。このツールは Directory Connector 3.4 以降の一部としてインストールされます。
同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Ciso Directory Connector の問題をトラブルシューティング
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する場合があります。また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題を記載したメール レポートを送信する場合があります。発生する可能性のある問題、考えられる原因、およびサポートに連絡する前に試すことができる解決策については、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が動作していないことを知らせる警告メールを受信しました。
-
Directory Connector が正しくインストールされていない可能性があります。
-
Directory Connector が実行されていない可能性があります。
-
ネットワークは使用できない可能性があります。
以下の作業を行います。
-
を開きます。Directory Connector を検索します。存在しない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
-
[サービス] を開き、Cisco DirSync Service を見つけます。ステータスが [開始] として表示されていることを確認します。サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
-
Directory Connector をインストールしたサーバーにインターネットへのアクセス権があることを確認してください。
再インストールエラー
問題: 古いコネクタをアンインストールした後、すぐに新しいコネクタをインストールすると、エラー メッセージが表示される場合があります。
考えられる原因: Windows Server 2012 では、アンインストールクライアントはサービス リストからサービス アカウントを削除するのに時間を必要とします。
解決策: 時間が経過したら、もう一度インストールをお試しください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュ
問題
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュする場合があります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
-
ドメイン コントローラに移動し、グループ ポリシー管理 (gpedit.msc) を開きます。
-
特定の OU またはドメインを右クリックし、[このドメインで GPO を作成] を選択し、[ここにリンク...
-
ポリシーに名前を付けて、右クリックして [編集] を選択します。
マシン レベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
変更は、gpupdate /force
を実行した後、マシンが再起動した後 (マシン変更の場合)、またはユーザーが再びサインインした後 (ユーザー変更の場合)、有効になります。
Cisco DirSync Service Connector を登録できませんでした
問題
サインインに失敗すると、「Cisco DirSync Service Connector が登録できませんでした」というメッセージが表示されます。
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題
Directory Connector を開くと、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
-
Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に移動します。Chrome や Firefox などの他のブラウザでリンクをお試しください。
-
Internet Explorer がリンクにアクセスできないが、他のブラウザがアクセスできない場合は、Internet Explorer の設定をチェックし、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする 手順を使用します。)
サインインプロンプトが表示されます
問題
ユーザ名とパスワードを入力して認証を渡すように要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインイン アカウントで NTLM セキュリティ認証をサイレントに完了します。認証に失敗した場合、ダイアログがポップアップして、認証ユーザ名とパスワードを要求します。
対処方法
サインイン ポップアップ ウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題
通常の操作中に、「リモートサーバーに接続できません」というエラーメッセージが表示されます。
考えられる原因
プロキシの問題を解決する必要がある問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービス アカウント サインインの問題をトラブルシューティング 」を参照してください。
コネクタを登録できません
問題
「コネクタを登録できません。一般的な例外が発生しました」。
考えられる原因
ほとんどの場合、問題は、Directory Connector が LDAP ルートコンテキストに接続する権限を持っていないためです。
対処方法
以下の作業を行います。
-
コマンド プロンプト (cmd) を実行し、ldp.exe を入力します。
-
[現在ログインしているユーザーとしてバインド] を選択し、[OK] をクリックします。
をクリックし、 -
[OK] をクリックします。
をクリックし、BaseDN として [DC=arbonneintl,DC=ad] を入力し、 -
問題が継続する場合、サポートでケースを開きます。
同期
アバターが同期されていません
問題
Cisco Directory Connector がユーザー AD データを Webex クラウドに同期しました。ただし、正常に同期されたアバター データはありません。
考えられる原因
既存のアバター サーバを再使用し、ユーザ アバターがすでに同期されている場合、ローカル キャッシュによりキャプチャされ、再送信が回避され、帯域幅が節約されます。
対処方法
次の手順に従って、ローカル キャッシュを削除します。
-
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\ に移動します。
-
DirSyncPluginAvatar.dll-cache.bin を削除します。
-
Cisco Directory Connector からアバターの同期を再実行します。
競合するユーザー メール アカウント
問題
同期結果に競合するユーザー メール アカウントが表示される場合があります。
-
ユーザーが Webex アプリの無料バージョンを試した場合、メール アドレスは無料コンシューマー組織内に存在します。
-
ユーザーのメールが別の組織で同期されたことがない場合。
-
ユーザーのメールが組織に属する複数のドメインに存在する場合。
対処方法
以下の作業を行います。
-
ユーザーを要求する場合は、次の手順に従います。
-
Control Hub でドメインを確認済みしていることを確認します。
-
Cisco Directory Connector を一時的に無効にします。
-
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在する可能性があるアカウントを申請します。詳細については、「ユーザーを組織に要求する (ユーザーの変換) 」を参照してください。
-
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再度有効にします
-
-
最後のケースでは、Active Directory ソースのユーザー データをダブルチェックします。
非アクティブとしてマークされた変換ユーザー
問題
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、そのユーザーはセキュリティ コンプライアンス メジャーとして 30 日間非アクティブ ステータスとしてマークされます。この期間中は、ユーザーは Webex アプリにサインインできず、30 日間の期間終了時に削除対象としてマークされます。この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除しない場合は、アクションを実行する必要があります。この問題を解決するには、変換された無料ユーザー アカウントに対応するオンプレミスの Active Directory でユーザー アカウントを作成します。次に、Cisco Directory Connector から同期を実行します。その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期が失敗する
問題
増分同期に失敗しました。
この問題は、次の条件で Windows Server 2008 R2 で発生する場合があります。
-
増分値の更新をサポートします。
-
使用するフィルタは、リンクされた値属性を参照します。
-
その属性の結果値は、前回完全な同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されました。Windows Server を少なくとも 2012 R2 にアップグレードすることを推奨します。
属性の値が無効です
問題
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com の場合、属性 [電話番号] には次の無効な値があります。+ この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。警告メッセージの記述に従ってこの値を修正してください。再度同期を行います。
削除される一致したユーザー
問題
一致したユーザーは削除対象としてマークされます。
ドライ ラン同期を実行して Active Directory とクラウド間のデータを確認する場合、両方に同じメール アドレスが表示される場合があります。ただし、ユーザーは削除するオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
-
ユーザーを削除してライセンスを再実行しても問題ない場合は、修正のために Directory Connector を使用できます。同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
-
ユーザー アカウントを削除して再作成できない場合は、サポートでケースを開きます。
属性がありません
問題
オンプレミスのエントリ [user dn (distinguished name)] を追加する場合に必要な属性 [attribute_name]。すべての必須属性に値が設定されるまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加すると、すべての必須属性が値になるまで、エントリは Control Hub で作成されません。
対処方法
ユーザー [user_email_address] に必要な属性の 1 つがありません。そのユーザーに必要な値を提供してください。
ネストされたグループが同期されません
問題
ネストされた Active Directory グループのユーザーは、クラウドに適切に同期されません。
考えられる原因
子グループと親グループの両方を含むフィルタが使用され、サポートされていません。たとえば、次のようなものです。(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。たとえば、次のようなものです。|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザー名の競合
問題
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。[user email address]、およびユーザータイプ [user_type]。
考えられる原因
そのメール アドレスを使用するユーザーはすでに Control Hub に存在しています。
対処方法
Control Hub を通じて登録したアカウントと同じメール アドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub でユーザー リストが見つかりません
問題
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
検索機能を使用してユーザーアカウントを検索できます。Control Hub で、[ユーザー] に移動し、検索 をクリックし、検索条件を入力して特定のユーザーを見つけます。
グループは Control Hub に同期されません
問題
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは Active Directory で isCriticalSystemObject
としてタグ付けされません。
対処方法
Active Directory で属性 isCriticalSystemObject
が TRUE
に設定されていることを確認してください。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
ログ ファイル: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
|
2 |
サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 |
3 |
Directory Connector で、[ダッシュボード] をクリックします。 |
4 |
[アクション] に移動し、 をクリックします。 |
5 |
トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 |
6 |
ログ ファイルを確認します。ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。 ログ フォルダーは過去 3 日間のファイルのみを保存します。ログ ファイルのコンテンツは、システムへのイベント ログ出力と一致しています。 |
7 |
必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 |
8 |
完了後は、トラブルシューティング機能を無効にしてください。 |
イベントビュアーを開始
完全もしくは増加同期中に発生したイベントを確認するには、イベントビューを開始します。管理イベントとエラーログの概要が表示されます。
1 |
Directory Connector から [ダッシュボード] に移動し、 をクリックします。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 |
イベント ビューアから、 に移動します。 |
3 |
[アクション] の下で、[すべてのイベントに名前を付けて保存] をクリックして、すべてのログを 1 つの Events ファイル (*.evtx)、または xml や csv などの別の形式としてエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明し、ケースに Events ファイルを添付してください。
イベント ログではユーザー アクションをキャプチャします。ネットワーク トラフィックの管理については、コネクタでトラブルシューティングを有効にします。
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えると、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
-
サービスへのログオンでエラーが発生しました
-
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 |
Internet Explorer を開き、[ツール] を選択します。今すぐ有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じて、再度開きます |
2 |
[インターネット オプション] をクリックし、[詳細] に進み、[セキュリティ] までスクロールします。 |
3 |
[TLS 1.1 を使用する] および [TLS 1.2 を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 |
変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco Directory Connector にサインインできない、または同期を実行できない場合は、サポートに連絡する前に、これらの手順を使用して問題を解決してください。
1 |
ウェブ ブラウザーの https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に行きます。 |
2 |
結果によりますが、1 つを選択します。
|
3 |
少なくとも、Cisco DirSync サービス(Windows サービスで確認できる)に設定されたアカウントに、アバター データと AD データにアクセスできる特権レベルがあることを確認してください。デフォルトでは、サービスは Windows ログイン アカウントの資格情報と認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
Cisco Directory Connector の概要
ディレクトリ コネクタの概要
Directory Connector は、クラウドへの ID 同期のためのオンプレミス アプリケーションです。Control Hub からコネクタ ソフトウェアをダウンロードし、ローカル マシンにインストールします。
Directory Connector を使用すると、ユーザー アカウントとデータを Active Directory に保存できるため、Active Directory が信頼できる唯一の情報源となります。オンプレミスで変更を行うと、クラウドに複製されます。
表のすべての機能、説明、利点を参照します。
機能 | 説明と利点 |
---|---|
使いやすいダッシュボード | ダッシュボードは、同期スケジュールの概要と、同期の状況、Directory Connector のステータスを提供します。サインインしていつでもダッシュボードを表示できます。 |
クラウドに同期する前にドライ ランを行う | クラウドに実装する前に、ディレクトリへの変更のドライ ランを実行します。レポートを実行し、望む変更が期待するものであるか確認します。 |
完全および増加同期 | ディレクトリ全体を同期します。または増加変更のみを同期し、処理電源に保存して、同期時間を短くします。 |
複数のドメイン (単一フォレストまたは複数のフォレスト) を同期します |
Directory Connector は、単一のフォレスト、または複数のフォレスト (AD LDS を必要としない) のどちらかで複数のドメインをサポートします。複数の Active Directory ドメインを持つ企業の場合、各ドメインに Directory Connector をインストールし、各ドメインを組織にバインドし、各ユーザー ベースを Webex に同期できます。Control Hub は、複数の Directory Connector の同期状態を表示することで、ステータスを反映し、特定のドメインの同期をオフにし、高可用性展開で Directory Connector を非アクティブ化できます。 |
スケジュールされた同期 | 日、時間、分で同期のスケジュールを設定できます。 |
Lightweight フィルター Access Protocol (LDAP) フィルター | LDAP 検索条件を定義し、効率的なインポートを提供します。 |
Active Directory 属性マッピング | Microsoft Active Directory の属性を対応する Webex クラウド属性にマッピングします。Active Directory の設定に関連する属性をマッピングしたり、クラウドにマッピングするカスタム属性を定義したりできます。プレミスからの属性は、ユーザーアカウント情報、Webex Teams の電話番号、会議室リソースの SIP アドレス、その他のユーザー連絡先カード データ (役職、部署、マネージャなど) など、クラウド内のさまざまなデータをフォームします。 |
オンプレミスの会議室リソースと Webex ライセンスのない Cisco Webex Calling (Cloud PSTN) ユーザーおよびエンタープライズの連絡先の企業ディレクトリ |
組織の一部が通話サービスに Cisco Webex Calling クラウド PSTN を使用している場合、またはオンプレミスの会議室デバイスを使用している場合、この機能により、ユーザーは Cisco Webex Calling (クラウド PSTN) 電話または会議室リソースからエンタープライズ連絡先のディレクトリを検索できます。
|
イベント ビューアー | イベント ビューアーを使用して、同期に問題があるか確認します。 |
診断ツールとトラブルシューティング | 内蔵の診断ツールを使用して、Cisco Directory Connector の展開のトラブルシューティングを行うことができます。同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、Active Directory への接続をテストします。 Directory Connector でトラブルシューティングを有効にすると、ログが書き込まれてテクニカル サポートに送信されます。 |
自動アップグレード | Directory Connector をインストールした後、新しいソフトウェアのバージョンが利用可能になると通知が送信されます。新しいバージョンがリリースされたときに、常に最新バージョンのソフトウェアを使用できるように自動アップグレードを設定できます。 |
高可用性 | メインのコネクタやマシンのホスティングがダウンした場合のために、バックアップを作成するため、複数のコネクタを構成します。 |
Directory Connector は、三つの領域に分けられます:
-
Control Hub は、Webex 組織のあらゆる面を管理できる単一のインターフェイスです。ユーザーがエンタープライズ ID プロバイダを通して認証し、Webex アプリの招待メールを送信しない場合は、ユーザーを表示、ライセンスの割り当て、Directory Connector のダウンロード、シングル サインオン (SSO) の設定 を行います。
-
Directory Connector 管理インターフェイス は、Control Hub からダウンロードし、信頼できる Windows サーバーにインストールするソフトウェアです。複数のアクティブ ディレクトリ ドメインについて、同期する各ドメインにソフトウェアのインスタントを 1 つインストールできます。ソフトウェアを使用して、同期を実行して、Active Directory ユーザー アカウントを Webex に持ち込み、同期ステータスを表示および監視し、Directory Connector サービスを設定することができます。
-
ディレクトリ同期サービス は、Active Directory をクエリして、同期するユーザーとグループをコネクタサービスと Directory Connector に取得します。
Directory Connector アーキテクチャを理解するには、次の図を参照してください。
Directory Connector のための環境の準備
Directory Connector の要件
Windows および Active Directory の要件
次のサポートされている Windows サーバーに Directory Connector をインストールできます。
-
Windows サーバー 2022
-
Windows Server 2019
-
Windows Server 2016
Cookie の問題を解決するには、ドメインコントローラを Windows Server 2012 R2 または 2016 という修正を含むリリースにアップグレードすることを推奨します。
Directory Connector は、次の Active Directory サービスでサポートされています。
-
Active Directory 2016 年
(Directory Connector は、Windows Server 2019 で最新バージョンの Active Directory を使用する場合にサポートされます)
-
Active Directory 2012 年
-
Active Directory 2008 R2
-
Active Directory 2008 年
次の追加要件に注意してください。
-
Directory Connector には TLS1.2 が必要です。以下をインストールする必要があります。
-
.NET Framework v3.5 (Directory Connector アプリケーションに必要です。問題が発生した場合は、「 ロールと機能の追加ウィザードを使用して .NET Framework 3.5 を有効にする」の手順を使用します。)
-
.NET Framework v.4.5 (TLS1.2 に必要)
-
-
アクティブ ディレクトリ forest 機能レベル 2 (Windows Server 2003) またはそれ以降が必要です。(詳細については、「アクティブ ディレクトリの機能レベルとは?」を参照してください。)
ハードウェアの要件
次の最小ハードウェア要件を持つコンピュータに Directory Connector をインストールする必要があります。
-
8 GB の RAM
-
50 GB のストレージ
-
CPU の最低条件はありません
ネットワーク要件
ネットワークがファイアウォールの背後にある場合は、システムでインターネットへの HTTPS (ポート 443) アクセスがあることを確認してください。
Webex 組織の要件
-
Control Hub から Directory Connector ソフトウェアにアクセスするには、トライアルまたは有料サブスクリプションを持つ Webex 組織が必要です。
-
(オプション) 新しい Webex アプリのユーザー アカウントを初めてサインインする前にアクティブにする場合は、次の操作を行うことを推奨します。
-
クラウドに同期するユーザーのメールアドレスを含むドメインの追加、検証、およびオプションで要求 します。
-
ID プロバイダー (IdP) と Webex 組織のシングル サインオン (SSO) インテグレーション を行います。
-
自動招待メールを抑制することで、新規ユーザーが自動招待メールを受信しなくなり、独自のメールキャンペーンを行うことができます。(この機能は SSO インテグレーションが必要です。)
-
詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。
インストール要件
-
複数のドメイン環境 (単一フォレストまたは複数のフォレストのいずれか) については、各 Active Directory ドメインに 1 つの Directory Connector をインストールする必要があります。別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている別の Windows サーバーを持ち、ドメイン (B) 同期に Directory Connector をインストールします。
-
コネクタにサインインするには、Active Directory の管理アカウントは必要ありません。Control Hub のフル管理者アカウントと同じユーザーであるローカル ユーザー アカウントが必要です。
このローカル ユーザは、ドメイン コントローラに接続し、Active Directory ユーザ オブジェクトを読み取るために、その Windows マシン上の権限を持っている必要があります。マシンログイン アカウントは、ローカル マシンにソフトウェアをインストールする権限を持つコンピュータ管理者である必要があります。(この情報は、仮想マシンのログインにも適用されます)。
-
コネクタにサインインする際に、サインイン アカウントは Control Hub のフル管理者アカウントと同じである必要があります。デフォルトでは、コネクタはローカル システム アカウントを使用して Active Directory にアクセスします。ただし、Windows サービスを使用して、Active Directory にアクセスするための別のアカウントを設定することができます。(この情報は、仮想マシンのログインにも適用されます)。
-
次の手順を使用して、Windows Safe ダイナミック リンク ライブラリ(DLL)検索モードが有効になっていることを確認します。Windows レジストリで SafeDllSearchMode を確認します。
-
1 つのフォレストで複数のドメインに AD LDS を使用する場合は、Directory Connector および Active Directory ドメイン サービス/Active Directory ライトウェイト ディレクトリ サービス(AD DS/AD LDS)を別のマシンにインストールすることを推奨します。
複数のドメインの要件
Cisco Directory Connector 展開タスク フローのタスクに従う前に、複数のドメインから Active Directory 情報をクラウドに同期する場合は、次の要件と推奨事項を念頭に置いてください。
-
各ドメインには、Directory Connector の個別のインスタンスが必要です。
-
Directory Connector ソフトウェアは、同期するのと同じドメインにあるホスト上で実行する必要があります。
-
Control Hub でドメインを確認または要求することをおすすめします。(「ドメインの追加、検証、要求」を参照してください。)
-
50 を超えるドメインを同期する場合は、組織を大規模な組織リストに移動させるために、チケットを開く 必要があります。
-
必要に応じて、ルーム リソース情報をユーザー アカウントと同期できます。(「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください)。
自動ライセンス割り当てに関する Active Directory グループの推奨事項
Active Directory グループは、ユーザーアカウント、コンピュータアカウント、およびその他のグループを管理可能なユニットに収集するために使用されます。個々のユーザーとするのではなく、グループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。
Active Directory には 2 種類のグループがあります。
-
配信グループ: メール配信リストを作成するために使用されます。
-
セキュリティ グループ: 共有リソースに権限を割り当てるために使用されます。
Active Directory でグループを作成する際には、次のガイドラインを考慮してください。
-
各役割、部署、サービス (セールス、マーケティング、マネージャー、会計士、Webex ライセンスなど) に対してグローバルグループを作成します。
-
組織全体の標準命名規則を使用して、グループに関する重要な情報を簡単に識別できるようにします。グループ名には、アクセス レベル、リソース タイプ、セキュリティ レベル、グループ スコープ、メール機能など、グループに関する詳細を含めることができます。 たとえば、グループ名「GSG_Webex_Licensing_EMEAR」は、Webex ライセンス EMEAR ユーザーのグローバル セキュリティ グループを指します。
-
地理や管理階層など、わかりやすい方法でグループを整理します。グループの説明を使用して、グループの目的を完全に説明します。
-
新しくプロビジョニングされたグループにユーザーを追加する前に、それらのグループの自動ライセンス グループ テンプレートを Control Hub で定義します。詳細については、「自動ライセンス割り当てテンプレートを設定する 」を参照してください。
サイズ情報
Directory Connector は、オンプレミスの Active Directory と Webex クラウドの間のブリッジとして機能します。そのため、コネクタには、クラウドに同期できる Active Directory オブジェクトの数の上限はありません。プレミス ディレクトリ オブジェクトの制限は、コネクタ自体ではなく、クラウドに同期されている Active Directory 環境の特定のバージョンと仕様に関連付けられます。
同期の速度に影響を与える要因はいくつかあります。
-
Active Directory オブジェクトの合計数。(5000 人のユーザー同期ジョブは 50,000 件までかかります。)
-
ネットワーク速度と帯域幅。
-
システムのワークロードと仕様。
50,000 人を超えるユーザを同期している場合は、フェールオーバーと冗長性のために 2 番目のコネクタを使用することを強く推奨します。
同期にはいくつかの要因が関与しており、各展開は上記の要因によって異なるため、オブジェクトの同期にかかる時間の特定の時間値を提供できません。
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。
ウェブプロキシの統合
ウェブプロキシの統合
ウェブプロキシ認証がご使用中の環境で有効化された場合、 Directory Connectorはまだご使用になれます。
組織で透過ウェブ プロキシを使用している場合、認証はサポートされません。コネクタはユーザーを正常に接続し、同期します。
以下のいずれか 1 つのアプローチを選択することができます。
-
Internet Explorer 経由の明示的なウェブ プロキシ (コネクタはウェブ プロキシ設定を引き継ぎます)
-
.pac ファイルを介した明示的なウェブ プロキシ (コネクタはエンタープライズ固有のプロキシ設定を継承します)
-
変更なしでコネクタで動作する透過型プロキシ
ブラウザーを通じてウェブ プロキシを使用する
Internet Explorer 経由で Web プロキシを使用するようにディレクトリ コネクタを設定できます。
Cisco DirSync Service を現在サインインしているユーザーとは異なるアカウントから実行している場合、このアカウントにもサインインして、ウェブ プロキシを構成することが必要になります。
1 |
Internet Explorer から、[インターネット オプション] に移動して、[接続] をクリックして、[LAN の設定] を選択します。 |
2 |
コネクタがウェブ プロキシにインストールされている Windows インスタンスを指します。コネクタはこれらの Web プロキシ設定を継承します。 |
3 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
4 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
PAC ファイルを通じてウェブ プロキシを構成する
.pac ファイルを使用するために、クライアント ブラウザーを構成することができます。このファイルは、Web プロキシ アドレスとポート情報を提供します。Directory Connector は直接的にエンタープライズ (アカウント)特定ウェブプロキシ設定を引き継ぎます。
1 |
コネクタが正常に接続し、ユーザー情報を Webex クラウドに同期するには、コネクタがインストールされているホストの .pac ファイル構成で |
2 |
プロキシ認証を使用している環境の場合、以下の URL を許可リストに追加してください。
これは、サイト全体 (すべての主催者) またはコネクタを持つホストのみに対して実行できます。 これらの URL を許可リストに追加してウェブ プロキシを完全にバイパスする場合は、ファイアウォール ACL テーブルが更新され、コネクタ ホストが URL に直接アクセスすることを許可するようにしてください。 |
3 |
環境が認証局から証明書失効リストをリクエストする必要がある場合は、次の URL を許可リストに追加します。
詳細については、Webex サービスにアクセスする必要があるドメインと URL に関する記事を参照してください。 |
NTLM プロキシ
Directory Connector は NT LAN Manager (NTLM) をサポートします。NTLM はドメイン デバイス間で Windows の認証をサポートし、セキュリティを保証するための 1 つのアプローチです。
NTLM デザイン
ほとんどの場合、ユーザは、クライアント PC を通じて別のワークステーションのリソースにアクセスすることを希望します。これは、安全な方法で実行するのが難しい場合があります。
一般的に、NTLM の技術的な設計は、チャレンジ
と応答
のメカニズムに基づいています。
-
ユーザは Windows アカウントとパスワードを使用してクライアント PC にサインインします。パスワードはローカルに保存されません。プレーン テキスト パスワードの代わりに、パスワードのハッシュ値がローカルに保存されます。ユーザがパスワードを通じてクライアントにサインインすると、Windows OS は入力パスワードから保存されたハッシュ値とハッシュ値を比較します。両方が同じ場合、認証はパスされます。
ユーザが別のサーバのリソースにアクセスする場合、クライアントはアカウント名でプレーンテキストで要求を送信します。
-
サーバがリクエストを受信すると、サーバは 16 ビットランダムキーを生成します。キーは Challenge(または Nonce)と呼ばれます。サーバがクライアントに戻す前に、チャレンジはサーバに保存されます。その後、サーバーはプレーンテキストでクライアントにチャレンジを送信します。
-
クライアントがサーバから送信されたチャレンジを受信するとすぐに、クライアントはステップ 1 で言及されたハッシュ値でチャレンジを暗号化します。暗号化後、値はサーバに返されます。
-
サーバがクライアントから暗号化された値を受信すると、サーバは検証のためにドメイン コントローラに送信します。リクエストには次のものが含まれます。アカウント名、クライアントが送信した暗号化されたチャレンジ、および元のプレーンチャレンジ。
-
ドメインコントローラは、アカウント名に応じてパスワードのハッシュ値を取得できます。そして、ドメインコントローラは、元のチャレンジで暗号化できます。次に、ドマンコントローラーは、受信したハッシュ値と暗号化されたハッシュ値と比較できます。同じ場合、検証は成功します。
Windows はオペレーティング システムにセキュリティ認証を組み込み、アプリケーションがセキュリティ認証をサポートしやすくします。結果として、さらに設定を完了する必要はありません。
トランスパレント プロキシを構成する
このシナリオにおいて、ブラウザーはトランスパレント ウェブ プロキシが http 要求 (ポート 80/ポート 443) をさえぎることに無自覚なため、クライアント側での設定は必要ありません。
1 |
コネクタがユーザに接続して同期できるように、透過プロキシを展開します。 |
2 |
プロキシが成功したことを確認します。コネクタの起動時にブラウザ認証ポップアップ ウィンドウが期待されます。 |
プロキシ認証の設定
アクセス コントロール リストを作成して、許可リストに URL cloudconnector.webex.com
を追加します。
エンタープライズ ファイヤーウォール サーバー上の場合:
1 |
DNS 検索が有効になっていない場合、有効にします。 |
2 |
この接続の推定帯域幅を決定します (コネクタでは約 2 mb/秒以下)。この限りでは無いことがあります。 |
3 |
アクセス コントロール リストを作成してコネクタ ホストに適用し、許可リストに追加するターゲットとして たとえば、次のようなものです。 access-list 2000 acl-inside extended permit TCP [コネクタの IP] cloudconnector.webex.com eq https |
4 |
この ACL を、この単一コネクタ ホストにのみ適用可能な適切なファイアウォール インターフェイスに適用します。 |
5 |
所属のエンタープライズに残っているホストが、適切な暗示された拒否ステートメントを設定することで、ウェブプロキシの使用がまだ義務付けられていることを確認します。 |
Directory Connector を展開する
Cisco Directory Connector の展開タスク フロー
1 |
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。 Directory Connector の新規インストールについては、常に Control Hub (https://admin.webex.com) に移動してソフトウェアの最新バージョンを入手し、最新の機能とバグ修正を使用できるようにしてください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
2 |
Webex 管理者資格情報でサインインし、初期設定を実行します。 |
3 |
Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。 この手順を使用して、ソフトウェアが利用可能になったときにサイレントにインストールされるようにすることを推奨します。 |
4 |
同期する Active Directory オブジェクトの選択 デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。 |
5 |
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid です。 |
6 |
次のいずれかの手順を使用して、ディレクトリ アバターを同期します。 ユーザーのアバターをクラウドに同期することで、各ユーザーのアバターがアプリケーションにサインインしたときに表示されます。 Active Directory 属性またはリソース サーバからアバターを同期できます。 |
7 |
オンプレミスの会議室情報を Webex Cloud に同期する この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、Webex Room デバイスまたは Cisco Webex Board などのクラウド登録された会議室デバイスで検索可能なエントリとして表示されます。 |
8 |
Active Directory から Control Hub にユーザーをプロビジョニングするには、次の手順を実行します。
この手順に従って、Webex アプリアカウントの Active Directory ユーザーをプロビジョニングします。Directory Connector 3.0 以降のために、複数のフォレストまたは複数のドメインの Active Directory 展開からユーザーをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。 |
Directory Connector のインストール
Control Hub には、最初にディレクトリ同期が無効として表示されます。 組織のディレクトリ同期をオンにするには、Directory Connector をインストールして構成してから、完全な同期を正常に実行する必要があります。
同期する各 Active Directory ドメインに 1 つのコネクタをインストールする必要があります。 単一の Directory Connector インスタンスは、単一のドメインにのみサービスを提供できます。 複数のドメイン同期のフローを理解するには、次の図を参照してください。
始める前に
プロキシ サーバを通じて認証する場合は、次のプロキシ クレデンシャルがあることを確認します。
-
プロキシ基本認証の場合、コネクタのインスタンスをインストールした後でユーザ名とパスワードを入力します。 基本認証には Internet Explorer プロキシ設定も必要です。ブラウザから Web プロキシを使用するを参照してください。
-
プロキシ NTLM の場合、初めてコネクタを開くと、エラーが発生する場合があります。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
Control Hub で、 に移動し、[次へ] を選択します。 |
2 |
[ダウンロードとインストール] リンクをクリックして、コネクタのインストール .zip ファイルの最新バージョンを VMware または Windows サーバーに保存します。 .zip ファイルをこのリンクから直接取得できますが、このソフトウェアが機能するには、Control Hub 組織への完全な管理アクセス権が必要です。 新しいインストールについては、最新の機能とバグ修正を使用できるように、ソフトウェアの最新バージョンを取得してください。 ソフトウェアのインストール後、ソフトウェアを通じてアップグレードが報告され、利用可能になったら自動的にインストールされます。 |
3 |
VMware または Windows サーバーで、セットアップ フォルダで .msi ファイルを解凍して実行し、セットアップ ウィザードを起動します。 |
4 |
[次へ] をクリックし、ボックスにチェックを入れてライセンス契約に同意し、アカウントタイプの画面が表示されるまで [次へ] をクリックします。 |
5 |
使用するサービス アカウントのタイプを選択し、管理者アカウントでインストールを実行します。
エラーを回避するために、次の権限が設定されていることを確認してください。
|
6 |
[インストール] をクリックします。 ネットワーク テストの実行後、プロンプトが表示されたら、プロキシ基本資格情報を入力し、[OK] をクリックし、[完了] をクリックします。 |
次に行うこと
インストール後にサーバを再起動することをお勧めします。 ドライ ラン レポートは、データがリリースされていないときに正しい結果を表示できません。 マシンを再起動すると、すべてのデータが更新され、レポートに正確な結果が表示されます。
Directory Connector にサインイン
始める前に
プロキシの資格情報を持っていることを確認します。
-
プロキシ基本認証の場合、初めてコネクタを開いた後でユーザー名とパスワードを入力します。
-
プロキシ NTLM の場合は、Internet Explorer を開き、歯車アイコンをクリックし、[インターネットオプション] > [接続] > [LAN 設定] に進み、プロキシ サーバー情報が追加されていることを確認し、[OK] をクリックします。 「ブラウザ経由で Web プロキシを使用する」を参照してください。
1 |
コネクタを開き、プロンプトが表示されたら、 |
2 |
プロンプトが表示されたら、プロキシ認証資格情報でサインインし、管理アカウントを使用して Webex にサインインし、[次へ] をクリックします。 |
3 |
組織とドメインを確認します。
|
4 |
[組織の確認] 画面が表示されたら、[確認] をクリックします。 すでに AD DS/AD LDS にバインドしている場合は、[組織の確認] 画面が表示されます。 |
5 |
[確認] をクリックします。 |
6 |
Directory Connector にバインドする Active Directory ドメインの数に応じて、1 つを選択します。
|
次に行うこと
サインインすると、ドライラン同期を実行するようにプロンプトが表示されます。
Directory Connector ダッシュボード
Directory Connector に初めてサインインすると、ダッシュボードが表示されます。 ここでは、すべての同期のアクティビティの概要の表示、クラウド統計の表示、ドライラン同期の実行、完全または増分同期を開始し、エラー情報を表示するためにイベント ビューを起動できます。
これらのタスクは、[アクション] ツールバーまたは [アクション] メニューから簡単に実行できます。
コンポーネント |
説明 |
---|---|
現在の同期 |
現在進行中の同期に関するステータス情報を表示します。 同期が実行されていない場合、ステータスの表示はアイドル状態になります。 |
次の同期 |
次にスケジュールされた完全同期と増分同期を表示します。 スケジュールが設定されていない場合、[スケジュールされていません] が表示されます。 |
最後の同期 |
最後に実行された 2 つの同期のステータスを表示します。 |
現在の同期ステータス |
同期の全体的なステータスを表示します。 |
コネクタ |
クラウドで使用可能な現在のオンプレミス コネクタを表示します。 |
クラウド統計 |
同期の全体的なステータスを表示します。 |
同期スケジュール |
増分同期と完全同期のための同期スケジュールを表示します。 |
設定の概要 |
設定で変更した設定が一覧表示されます。 たとえば、概要には以下が含まれる場合があります。
|
アクション | 説明 |
---|---|
増分同期を開始 |
増分同期を手動で開始 このアクションは、同期を一時停止または無効にする場合、完全な同期が完了していない場合、または同期が進行中の場合に無効になります。 |
ドライランの同期 |
ドライ ラン同期を実行します。 |
イベント ビューアを起動 |
Microsoft イベント ビューアを起動します。 |
更新 |
Cisco Directory Connector ダッシュボードを更新 |
アクション |
説明 |
---|---|
今すぐ同期 |
完全な同期をすぐに開始します。 |
同期モード |
増分同期モードまたは完全同期モードを選択します。 |
コネクタ シークレットをリセット |
Cisco Directory Connector とコネクタ サービス間の会話を確立します。 このアクションを選択すると、クラウド内の秘密がリセットされ、秘密がローカルに保存されます。 |
ドライ ラン |
同期プロセスのテストを実行します。 完全同期を行う前に、ドライ ランを実行する必要があります。 |
トラブルシューティング |
トラブルシューティングをオンまたはオフにします。 |
更新 |
Cisco Directory Connector のメイン画面を更新します。 |
終了 |
Cisco Directory Connector を終了します。 |
キーの組み合わせ |
アクション |
---|---|
Alt + A |
[アクション] メニューを表示する |
|
今すぐ同期 |
|
コネクタ シークレットをリセット |
|
ドライ ラン |
|
増分同期 |
|
完全同期 |
|
[ヘルプ] メニューを表示 |
|
ヘルプ |
|
バージョン情報 |
|
よくある質問 |
自動アップグレードの設定
1 |
Directory Connector から、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] をオンにします。 に進み、 |
2 |
[適用] をクリックして変更を保存します。 |
コネクタの新しいバージョンは利用可能になったら自動的にインストールされます。
必要に応じて、アップグレードを手動で管理できます。 詳細については、「最新のソフトウェア リリースへのアップグレード」を参照してください。
同期する Active Directory オブジェクトの選択
デフォルトでは、Directory Connector はコンピュータではないすべてのユーザーと、ドメインの重要なシステム オブジェクトではないすべてのグループを同期します。 同期されるオブジェクトをより詳細に制御するには、Directory Connector の [オブジェクトの選択] ページを使用して、同期する特定のユーザを選択して LDAP フィルタを指定できます。
自動ライセンス割り当てのグループ
Control Hub では、グループごとにライセンスの割り当てを管理できます。 ライセンス テンプレートを作成し、クラウドに同期した Active Directory グループにマッピングできます。 ユーザー作成の時点で、Webex は新規ユーザーのユーザー メンバーシップと自動ライセンス テンプレート マッピングを確認します。
LDAP フィルタを使用して、関連するグループをクラウドに同期することのみを推奨します。 たとえば、フィルタを次のように設定できます。
(&(cn=例)(objectclass=グループ))*
このフィルタは、ベースの DN 内のすべてのグループを同期します。 グループに割り当てられていないユーザーは、Control Hub で設定したデフォルトの自動ライセンス テンプレートからライセンスが割り当てられます。
ハイブリッド データ セキュリティ展開のグループ
Directory Connector で、パイロットユーザーのトライアル グループを設定するためにハイブリッド データ セキュリティを使用している場合は、[グループ] をオンにする必要があります。 詳細については、「ハイブリッド データ セキュリティの展開ガイド」を参照してください。 この Directory Connector の設定は、クラウドへの他のユーザーの同期には影響しません。
1 |
Directory Connector から、[構成] に移動し、[オブジェクトの選択] をクリックします。 |
2 |
[オブジェクトタイプ] セクションで、[ユーザー] にチェックを入れ、ユーザーの検索可能なコンテナーの数を制限することを検討してください。 たとえば、特定のグループ内のユーザーのみを同期する場合は、[ユーザー] の LDAP フィルタフィールドに LDAP フィルタを入力する必要があります。 Example-manager グループ内のユーザーを同期する場合は、次のようなフィルターを使用します。
|
3 |
[会議室の識別] にチェックを入れ、会議室データをユーザー データから分離します。 ユーザー データを会議室データとして識別するための追加の属性を設定する場合は、[カスタマイズ] をクリックします。 Active Directory から Webex クラウドにオンプレミスの会議室情報を同期する場合は、この設定を使用します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された会議室デバイスで検索可能なエントリとして表示されます。 詳細については、「オンプレミスの会議室情報を Webex Cloud に同期する」を参照してください。 |
4 |
Active Directory ユーザー グループをクラウドに同期する場合は、[グループ] にチェックを入れます。 [グループ(Groups)] フィールドにユーザ同期の LDAP フィルタを追加しないでください。 グループ データ自体をクラウドに同期するには、[グループ(Groups)] フィールドのみを使用してください。 デフォルトでは、グループは新しい顧客に対して同期されません。 グループ同期を有効にする必要があります。 セキュリティ グループも同期する必要があります。 |
5 |
ユーザーの連絡先情報をクラウドに同期する場合は、[連絡先] にチェックを入れます。 Directory Connector は、コネクタによって同期された連絡先のみを管理します。 Control Hub にすでに連絡先がある場合は、同期によって連絡先は削除されません。 同期範囲から連絡先が削除された場合、ユーザーの連絡先情報も Control Hub で削除されます。 |
6 |
LDAP フィルタを設定します。 有効な LDAP フィルタを提供することにより、拡張フィルタを追加できます。 LDAP フィルタの設定の詳細については、この記事を参照してください。 |
7 |
[選択] をクリックして、[同期するオンプレミス ベース DN] を指定して、Active Directory のツリー構造を確認します。 ここから、検索するコンテナーを選択または選択解除できます。 |
8 |
この構成に追加するオブジェクトを確認し、[選択] をクリックします。 同期に使用する個別または親コンテナーを選択できます。 親コンテナーを選択して、すべての子コンテナーを有効にします。 子コンテナーを選択した場合、親コンテナーには、子コンテナーがチェックされたことを示すグレーのチェックマークが表示されます。 次に、[選択] をクリックして、チェックした Active Directory コンテナーを受け入れることができます。 組織ですべてのユーザーとグループをユーザー コンテナーに配置する場合、他のコンテナーを検索する必要はありません。 組織が組織単位に分割されている場合は、必ず [OU] を選択してください。 |
9 |
[適用] をクリックします。 オプションを選択します。
ドライ ランの詳細については、「Active Directory ユーザーでドライ ラン同期を行う」を参照してください。 グループ同期では、完全同期を行う必要があります。 クラウドに Active Directory ユーザーの完全な同期を行います。 |
ユーザー属性をマッピング
ローカルの Active Directory の属性をクラウド内の対応する属性にマッピングできます。 唯一の必須フィールドは *uid で、クラウド アイデンティティ サービスの各ユーザー アカウントの一意の識別子です。
クラウドにマッピングする Active Directory 属性を選択できます。たとえば、Active Directory で firstName lastName をマッピングしたり、クラウドで displayName にカスタム属性式をマッピングしたりできます。
Active Directory のアカウントにはメール アドレスが必要です。既定では、uid はメールの ad
フィールドにマッピングされます (sAMAccountName
ではありません)。
Active Directory から優先言語を選択した場合、Active Directory は真実の唯一のソースとなります。 ユーザーは Webex 設定で言語設定を変更できず、管理者は Control Hub の設定を変更できません。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 このページには Active Directory (左) と Webex クラウド (右) の属性名が表示されます。 必須の属性はすべて赤いアスタリスクでマークされます。 |
2 |
[Active Directory 属性名] の一番下までスクロールし、これらの Active Directory 属性の 1 つを選択して、クラウド属性 uid にマッピングします。
他の Active Directory 属性のいずれか uid にマッピングできますが、上記のガイドラインで説明されているように mail または userPrincipalName を使用することをお勧めします。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 Active Directory のどの属性がクラウドで一致するかを確認するには、「Directory Connector の Active Directory 属性のマッピング」を参照してください。 同期を動作させるには、選択する Active Directory 属性が電子メール形式であることを確認する必要があります。 推奨属性の 1 つを選択しない場合は、Directory Connector にポップアップが表示されます。 |
3 |
事前に定義された Active Directory 属性が展開で機能しない場合、属性ドロップダウンをクリックし、下部までスクロールして、[属性をカスタマイズ] を選択して、属性表現を定義できるウィンドウを開きます。 [ヘルプ] をクリックして、式に関する詳細を確認し、式がどのように動作するかを確認してください。 詳細については、「カスタマイズされた属性の式」を参照してください。 この例では、Active Directory 属性 Directory Connector は、アイデンティティ サービスの uid の属性値を検証し、現在のユーザー フィルター オプションで 3 人の使用可能なユーザーを取得します。 これらの 3 人のユーザーのすべてに有効なメール形式がある場合、Cisco Directory Connector には次のメッセージが表示されます。 属性が確認できない場合、次の警告が表示され、Active Directory に戻り、ユーザー データを確認および修正できます。 |
4 |
(オプション) Webex アプリのユーザーの連絡先カードにモバイル番号と職場の番号を表示する場合は、モバイルとtelephoneNumber のマッピングを選択します。 ユーザーが別のユーザーのプロファイル画像の上にカーソルを合わせると、電話番号のデータが Webex アプリに表示されます。 ユーザーの連絡先カードからの通話の詳細については、「Webex (Unified CM) の通話展開ガイド」(管理者) を参照してください。 |
5 |
追加のマッピングを選択して、連絡先カードに表示されるデータを追加します。
属性がマッピングされると、ユーザが別のユーザのプロファイル画像の上にカーソルを合わせると、情報が表示されます。 連絡先カードの詳細については、「連絡しようとしている相手を確認する」を参照してください。 これらの属性を各ユーザー アカウントに同期した後、Control Hub で People Insights をオンにすることもできます。 この機能により、Webex アプリのユーザーは、プロファイルでより多くの情報を共有し、お互いについて詳しく知ることができます。 機能と有効にする方法の詳細については、「Control Hub の Webex、Jabber、Webex Meetings、および Webex Events (新) の People Insights プロファイル」を参照してください。 |
6 |
選択したら、[適用] をクリックします。 |
Active Directory に含まれるユーザー データは、そのユーザーに対応するクラウドのデータを上書きします。 たとえば、Control Hub でユーザーを手動で作成した場合、ユーザーのメール アドレスは Active Directory のメールと同じである必要があります。 対応するメール アドレスが Active Directory にないユーザーは削除されます。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
Active Directory とクラウドの属性
[ユーザー属性マッピング] タブを使用して、ローカルの Active Directory からクラウド内の対応する属性に属性をマッピングできます。
この表は、Active Directory 属性名と Cisco Cloud 属性名の間のマッピングを比較したものです。 これらの値とマッピングは、Directory Connector のデフォルト設定です。 Active Directory ドロップダウンで異なる属性を選択し、どのオンプレミス属性がどのクラウド属性と同期するかを決定できます。
ドロップダウン属性は、プリセットとして考えてください。 Active Directory 行の値の代わりに、Active Directory でカスタマイズされた属性(複数の属性を持つ式)を指定して、対応する行内の単一のクラウド属性にマッピングすることもできます。 このようにして、ユーザーの表示名を決定する柔軟性があります。たとえば、Active Directory の従業員名、指定された名前、姓に基づいてカスタマイズされた属性を作成する式を追加できます。
クラウドの uid にマッピングする Active Directory 属性のいずれかを指定することもできます。 ただし、オンプレミスの属性が有効なメール形式に従っていることを確認する必要があります。
たとえば、サインインに userPrincipalName を使用したいが、ユーザーのメール アドレスがカレンダーを管理するために使用されている場合、代替のメールアドレスを使用することもできます。 この場合、別のメール アドレスを emails;type-work 属性にマッピングします。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。
Active Directory の属性名 |
Webex クラウドの属性名 |
メモ |
---|---|---|
— |
ビル名 |
— |
C |
C |
この属性は、ユーザーの国の略称を指定します。 |
部門番号 |
部門番号 |
この属性は、連絡先カードとPeople Insights に表示されるユーザーの部署番号に使用されます。 |
表示名 |
表示名 |
この属性は、Control Hub に表示されるユーザー アカウントの表示名、連絡先カード、People Insights に使用されます。 |
ユーザアカウント制御 |
ds-pwp-account-disabled |
この属性はユーザー同期に使用されます。 userAccountControl 属性が ds-pwp-account-disabled にマッピングされているか、ユーザーが適切に同期されないことを確認してください。 |
従業員番号 |
従業員番号 |
— |
ファクシミリ電話 |
ファクシミリ電話 |
— |
— |
jabberID |
このクラウド属性は、Jabber で使用される IM アドレス(XMPP タイプ)に関連しています。 この値は sipAddresses と同じではありません。 |
l |
l |
この属性は、ユーザの市区町村を指定します。 |
— |
ロケール |
— |
マネージャー |
マネージャー |
この属性は、連絡先カードとPeople Insightsに表示されるユーザーのマネージャ名に使用されます。 |
モバイル |
モバイル |
この属性は、連絡先カードからユーザーに電話をかけるために表示される携帯電話番号として使用されます。 |
O |
O |
この属性は、会社または組織の名前を指定し、連絡先カードに表示されます。 |
または |
または |
この属性は、組織単位の名前を指定します。 |
physicalDeliveryOfficeName |
physicalDeliveryOfficeName |
この属性は、ユーザーのオフィス ロケーションを指定します。 |
郵便番号 |
郵便番号 |
この属性は、物理的なメール配信のためのユーザーの郵便番号または郵便番号を指定します。 |
優先言語 |
優先言語 |
この属性は、ユーザーの優先言語を設定し、次の形式がサポートされます。 xx_YY または xx-YY。 いくつかの例を以下に示します。 en_US, en_GB, fr-CA. サポートされていない言語または無効な形式を使用する場合、ユーザーの優先言語は組織の言語設定に変更されます。 |
MSRTCSIP-PrimaryUserAddress ipPhone |
SipAddresses;type=エンタープライズ |
この属性は、Active Directory から Cisco Webex クラウドにオンプレミスの会議室情報を同期するために使用されます。 |
snさん |
snさん |
この属性は、Control Hub に表示されるユーザー アカウントの姓、連絡先カード、People Insights に使用されます。 |
セント |
セント |
この属性は、ユーザの都道府県を指定します。 |
番地 |
番地 |
この属性は、物理的なメール配信のためのユーザの番地を指定します。 |
電話番号 |
電話番号 |
この属性では、連絡先カードからユーザーに電話をかけるために使用されるユーザーのプライマリ (職場) 電話番号を指定します。 |
— |
タイムゾーン |
このクラウド属性は、ユーザーのタイムゾーンを指定します。 |
タイトル |
タイトル |
この属性では、連絡先カードとPeople Insightsに表示されるユーザーのタイトルを指定します。 |
種類 |
企業 |
— |
*メール *userPrincipalName |
UID (uid) |
必須の属性マッピング。 各ユーザー アカウントについて、Active Directory の値はクラウドの一意の UID にマッピングされます。 場合によっては、userPrincipalName がサインインに使用されますが、ユーザーのメール アドレスがカレンダーを管理するために使用されます。 カレンダー管理用のメール アドレスが Webex のプライマリ メール アドレス フィールドにマッピングされていることを確認する必要があります。 alternative のメール アドレスとして userPrincipalName を追加します。 ユーザーは、正しい SAML 属性マッピングが設定されている限り、これらのメール アドレスを使用してサインインできます。 代替メール アドレスをマッピングする方法については、以下のサンプル属性マッピングを参照してください。 |
*userPrincipalName *メール <カスタム属性> |
メール; タイプワーク |
このマッピングはオプションです。代替のメール アドレスを使用する場合に使用してください。 これは認証に使用されるメールです。カレンダーの管理には使用されません。 AD からマッピングするメール アドレスは、組織内の検証済みドメインのものである必要があり、一意であり、別のユーザーに割り当てられていない必要があります。 |
<Azure ユーザー objectId の新しい属性> |
externalId |
新しい Active Directory 属性を作成して、Azure ユーザー objectId を保持し、既存の属性と衝突しないようにします。 この属性は externalId 属性にマッピングされ、Webex ユーザーが Microsoft 365 でグループを作成すると、Webex でチームを自動的に作成することを確認します。 |
代替メール アドレスのマッピング
カスタマイズされた属性の式
演算子 |
説明と例 |
---|---|
% |
matches が指定された場合、検索結果が代入されます。
|
- |
指定された文字列の末尾から入力文字列の背面を取り去ります。
|
+ |
入力文字列や式を連結します。
|
| |
空の文字列に対して区切られた式を評価し、最初の空でない結果を選択します。
|
Active Directory 属性からクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 この手順を使用して、Active Directory 属性から生のアバター データを同期します。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[AD 属性] を選択し、クラウドに同期する未加工アバターデータを含む [アバター属性] を選択します。 |
3 |
アバターが正しくアクセスされていることを確認するには、ユーザーのメール アドレスを入力し、[ユーザーのアバターを取得] をクリックします。 アバターが右側に表示されます。 |
4 |
アバターが正しく表示されたことを確認したら、[適用] をクリックして変更を保存します。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
リソース サーバーからクラウドにディレクトリ アバターを同期する
ユーザーのディレクトリ アバターをクラウドに同期することで、各アバターが Webex アプリにサインインしたときに表示されます。 リソース サーバからアバターを同期するには、次の手順を使用します。
始める前に
-
この手順の URI パターンと変数値は例を示します。 ディレクトリ アバターが配置されている実際の URL を使用する必要があります。
-
アバター URI パターンとアバターが存在するサーバは、Directory Connector アプリケーションから到達可能である必要があります。 コネクタは画像への http または https アクセスを必要としますが、画像がインターネットで公的にアクセスされる必要はありません。
-
アバター データの同期は、Active Directory ユーザー プロファイルから分離されます。 プロキシを実行する場合、アバター データが NTLM 認証または基本認証によってアクセスできることを確認する必要があります。
1 |
Directory Connector から、[構成] に移動し、[アバター] をクリックして、[有効化] をオンにします。 |
2 |
[アバターを取得する] の場合、[リソース サーバー] を選択し、[アバター URI パターン] を入力します。たとえば、 アバター URI パターンの各部分とその意味を見てみましょう。
|
3 |
(オプション) リソース サーバーで資格情報が必要な場合は、[アバターにユーザー クレデンシャルを設定する] にチェックを入れ、[現在のサービス ログオン ユーザーを使用] または [このユーザーを使用] を選択し、パスワードを入力します。 |
4 |
変数の値を入力します。例: |
5 |
[テスト] をクリックして、アバター URI パターンが正しく機能していることを確認します。 この例では、1 つの AD エントリのメール値が |
6 |
URI 情報が確認され、正しく表示されたら、[適用] をクリックします。 正規表現の使用の詳細については、「Microsoft 正規表現言語クイックリファレンス」を参照してください。 |
-
同期された画像は、Webex アプリのユーザーのデフォルトのアバターになります。 Directory Connector からこの機能を有効にした後、ユーザーは独自のアバターを設定できません。
-
ユーザー アバターは Webex アプリと Webex サイト上の一致するアカウントの両方に同期されます。
次に行うこと
ドライ ラン同期を行います。問題がない場合は、完全な同期を行って、Active Directory ユーザー アカウントとアバターをクラウドに同期し、Control Hub に表示します。
オンプレミスの会議室情報を Webex Cloud に同期する
この手順を使用して、Active Directory から Webex クラウドにオンプレミスの会議室情報を同期します。 会議室情報を同期すると、構成され、マッピングされた SIP アドレスを持つオンプレミスの会議室デバイスは、クラウドに登録された Webex デバイス (Room、Desk、および Board) で検索可能なエントリとして表示されます。
1 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
2 |
[会議室情報をクラウドに同期] をチェックして、同期中に会議室データをユーザー データから分離します。 この設定が無効になっている場合、会議室データはユーザー同期データと同じ方法で処理されます。 |
3 |
[属性マッピング] に移動し、クラウド属性 sipAddresses;type=enterprise の属性マッピングを変更します。 値検証を使用するには、SIP アドレスの値は Pattern.compile("^([^@])(.*)@(.*)$") である必要があります。
|
4 |
Exchange で会議室リソースメールボックスを作成します。 これは、コネクタがルームを識別するために使用する msExchResourceMetaData;ResourceType:Room 属性を追加します。 |
5 |
Active Directory のユーザーとコンピュータから、会議室のプロパティに移動して編集します。 次の sip のプレフィックスを持つ完全修飾の SIP URI を追加します。 |
6 |
ドライランの同期を実行してから、コネクタで完全実行の同期を実行します。 新しい会議室オブジェクトは [追加されたオブジェクト] にリストされ、一致した会議室オブジェクトは、ドライ ラン レポートの [一致したオブジェクト] に表示されます。 削除にフラグが付けられた会議室オブジェクトは、[削除された会議室] の下にあります。 ドライ ランの結果には、一致したルームリソースが表示されます。 この設定は、Active Directory の会議室データ (会議室の属性を含む) をユーザー データから分離します。 同期が完了すると、コネクタ ダッシュボードのクラウド統計には、クラウドに同期された会議室データが表示されます。 |
次に行うこと
これらの手順が完了しました。Webex クラウドに登録されたデバイスで検索すると、SIP アドレスで設定された同期された会議室エントリが表示されます。 エントリの Webex デバイスからコールを発信すると、ルームに設定された SIP アドレスにコールが発信されます。
Control Hub から、ディレクトリから会議室を自動的にインポートし、ワークスペースを作成できます。
エンドポイントでは、Webex アプリにコールバックできません。 テスト ダイヤル デバイスの場合、これらのデバイスはオンプレミスの SIP URI として、または Webex アプリ以外のどこかで登録されている必要があります。 検索する Active Directory 会議室システムが Webex に登録されており、同じメールアドレスが Webex Room デバイス、デスク デバイス、またはカレンダー サービス用の Webex Board にある場合、検索結果に重複したエントリは表示されません。 Room、Desk、または Board デバイスは Webex アプリで直接ダイヤルされ、SIP コールは行われません。
ディレクトリ同期結果でのメールレポートの送信
デフォルトでは、組織の連絡先または管理者は常にメール通知を受信します。 この設定では、ディレクトリ同期レポートを要約するメール通知を受け取る人をカスタマイズできます。
1 |
Directory Connector から、[構成] をクリックし、[通知] を選択します。 |
2 |
Directory Connector から、[設定] をクリックし、[メール受信者] の隣の [レポートの同期を有効にする] をオンに切り替えます。 |
3 |
デフォルトの通知動作をオーバーライドし、1 人以上のメール受信者を追加する場合は、[通知を有効にする] をオンにします。 |
4 |
[追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
5 |
[メールの追加] をクリックし、メール アドレスを入力します。 無効な形式でメール アドレスを入力すると、変更を保存して適用する前に、問題を修正するように指示するメッセージがポップアップ表示されます。 |
6 |
入力したメール アドレスを編集する必要がある場合は、左側の列のメール エントリをダブルクリックして、必要な変更を加えます。 |
7 |
すべての有効なメールアドレスを追加したら、[適用] をクリックします。 |
8 |
すべての有効なメールアドレスを追加したら、[保存] をクリックします。 |
次に行うこと
メール アドレスを削除することを決定した場合、メールをクリックしてそのエントリを強調表示し、[削除] をクリックします。
メール アドレスを削除することを決定した場合、特定のメール アドレス エントリの隣の [削除] をクリックします。
Active Directory から Control Hub にユーザーをプロビジョニング
これらの手順に従って、Active Directory ユーザーをプロビジョニングし、Control Hub で対応するユーザー アカウントを作成します。 ドメインごとに Directory Connector をインストールした後、複数のドメインの Active Directory 展開(単一フォレストまたは複数のフォレストを含む)からユーザをプロビジョニングできます。 異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 目標は、アクティブ ディレクトリと Webex クラウドの間で完全に一致することです。
1 |
Active Directory ユーザーでドライラン同期を実行する ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。 |
2 |
クラウドへの Active Directory ユーザーの完全な同期を行う 完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。 |
3 |
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる Directory Connector から Control Hub への完全なユーザーの同期が完了したら、さまざまな方法を使用して Webex サービス ライセンスを割り当てることができます。 Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップすることを推奨します。 この最初のステップの後で、個々の変更を行うこともできます。 |
Active Directory ユーザーでドライラン同期を実行する
ドライ ランを実行して、オンプレミスの Active Directory のオブジェクトと Webex クラウドのオブジェクトを比較します。 ドライ ランでは、完全または増分同期を実行してクラウドに変更をコミットする前に、どのオブジェクトが追加、変更、または削除されるかを確認できます。
異なるドメインのユーザーをオンボードするプロセス中に、Webex クラウドにすでに存在するユーザー オブジェクトを保持または削除するかどうかを決定する必要があります。たとえば、トライアルからアカウントをテストします。 Directory Connector の目標は、Active Directory と Webex クラウドの間で完全に一致することです。
1 つのフォレストまたは複数のフォレストに複数のドメインがある場合、各 Active Directory ドメインにインストールした Cisco Directory Connector インスタンスでこの手順を実行する必要があります。
始める前に
Directory Connector を使用する前に、すでに Control Hub に一部の Webex アプリ ユーザーがいる場合があります。 クラウド内のユーザーの中には、オンプレミスの Active Directory オブジェクトと一致し、サービスのライセンスが割り当てられる場合があります。 ただし、同期中に削除するテストユーザーもいる場合があります。 Active Directory と Control Hub の間で完全一致を作成する必要があります。
1 |
次のいずれかを選択します。
ドライ ランが完了すると、次のいずれかの結果が表示されます。 概要には、オブジェクトの一致についての情報が含まれます。
ドライ ランでは、ドメイン ユーザと比較してユーザを識別します。 アプリケーションは、ユーザが現在のドメインに属している場合、ユーザを識別できます。 次のステップでは、オブジェクトを削除するか、または保持するかを決定する必要があります。 一致しないオブジェクトは、Webex クラウドにすでに存在しているが、オンプレミスの Active Directory には存在していないとして識別されます。 |
2 |
ドライ ランの結果を確認し、単一ドメインまたは複数のドメインを使用するかどうかに応じて、オプションを選択します。
|
3 |
[ドライ ランの確認] プロンプトで、[はい] をクリックしてドライ ランの同期を再実行し、ダッシュボードを表示して結果を表示します。 ドライ ランで正常に同期されたアカウントは、[一致したオブジェクト] の下に表示されます。 クラウド内のユーザーが Active Directory に同じメールを持つ対応するユーザーを持っていない場合、エントリは [削除されたユーザー] の下にリストされます。 この削除フラグを回避するために、同じメールアドレスで Active Directory にユーザーを追加できます。 同期された項目の詳細を表示するには、特定の項目または [一致したオブジェクト] の対応するタブをクリックします。 概要情報を保存するには、[結果をファイルに保存] をクリックします。 |
4 |
結果が予想される場合は、[今すぐ有効にする] をクリックして手動同期を実行し、この時点で手動モードにします。 に移動し、複数ドメイン展開で最後の Active Directory ドメインで同期を行った後、Directory Connector の自動モードを有効にする必要があります。 自動モードを有効にできるのは、オブジェクトが Webex クラウドとすべてのオンプレミスのアクティブ ディレクトリの間で完全に一致している場合のみです。 |
次に行うこと
-
保持した不一致のユーザー オブジェクトについては、オンプレミスとクラウドの間で完全に一致するように、それらを Active Directory に追加する必要があります。
-
同期タイプを選択:
-
新しいユーザーを最初にクラウドに同期するときに、クラウドに Active Directory ユーザーの完全な同期を行う。 から行い、現在のドメインのユーザーが同期されます。
-
デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。 増分同期は、最初に完全同期を実行するまで実行されません。
-
-
複数のドメインがある場合は、インストールした他の Directory Connector でこれらの手順を繰り返します。
注意事項
-
完全な同期を有効にする前に、または同期パラメータを変更する場合は、ドライ ランを実行します。 ドライ ランが設定変更によって開始された場合は、ドライ ランの完了後に設定を保存できます。 すでにユーザーを手動で追加している場合、Active Directory の同期を実行すると前に追加したユーザーが削除されます。 クラウドに完全に同期する前に、Directory Connector のドライ ラン レポートを確認して、すべてのユーザーが存在することを確認できます。
-
一致するユーザーが削除するようにマークされ、続行する方法がわからない場合は、「Directory Connector のトラブルシューティングと修正」でトラブルシューティング情報とサポートに連絡する方法を参照してください。
削除されたユーザーは、完全に削除される前に、7 日間クラウド アイデンティティ サービスに保持されます。
クラウドへの Active Directory ユーザーの完全な同期を行う
完全同期を実行すると、コネクタ サービスは Active Directory(AD)からクラウドにフィルタリングされたすべてのオブジェクトを送信します。 コネクタ サービスは次に、AD エントリで ID ストアを更新します。 自動割り当てライセンス テンプレートを作成した場合は、新しく同期されたユーザーに割り当てることができます。
複数のドメインがある場合は、各 Active Directory ドメインにインストールした Directory Connector インスタンスでこの手順を実行する必要があります。
Directory Connector はユーザーアカウントの状態を同期します。Active Directory では、無効とマークされているすべてのユーザーもクラウドで非アクティブとして表示されます。
始める前に
-
完全同期後、およびユーザーが初めてサインインする前に、Webex アプリのユーザー アカウントをアクティブ ステータスにするには、次の手順を実行してメール検証をバイパスする必要があります。
-
シングル サインオンを Webex 組織と統合します。 参照
Cisco Webex サービスと組織の ID プロバイダーによるシングル サインオン
を参照してください。 -
Control Hub を使用して、メール アドレスに含まれるドメインを確認し、必要に応じて要求します。 参照
ドメインの追加、検証、要求
. -
自動招待メールを抑制して、新規ユーザーが Webex アプリへの自動招待メールを受信しないようにします。(独自のメール キャンペーンを実行できます。)
サインインしていないアクティベート済みユーザーは、Control Hub で [確認済み] ステータスで表示されます。 サインインすると、[アクティブ] として表示されます。 ユーザー ステータスの詳細については、「Cisco Webex Control Hub のユーザー ステータスとアクション」を参照してください。
-
-
同期を有効にすると、Directory Connector が最初にドライ ランを実行するように求めます。 潜在的なエラーをキャッチするために、完全同期の前にドライ ランを実行することを推奨します。
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
自動割り当てライセンス テンプレートを使用しない場合、新しく同期されたユーザーは自動的に無料ライセンスを取得します。 無料アカウントを持つユーザーと同じ無料機能を使用できます。
1 |
次のいずれかを選択します。
|
2 |
Directory Connector から、[同期] に移動し、同期されたドメインの隣にある |
3 |
同期を開始したことを確認します。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから最大 72 時間後に変更を反映します。 次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
|
4 |
同期のステータスを更新する場合は、[更新] をクリックします。 (同期された項目は [クラウド統計] の下に表示されます。) |
5 |
エラーに関する情報については、[イベント ビューアの起動] を [アクション] ツールバーから選択してエラーログを表示します。 |
6 |
クラウドへの継続的な増分同期のための同期スケジュールを設定するには、「コネクタ スケジュールを設定する」および「増分同期を実行する」を参照してください。 |
-
完全同期が完了すると、Control Hub の [設定] ページの [無効] から [運用] にディレクトリ同期のステータスが更新されます。
-
すべてのデータがオンプレミスとクラウドの間で照合されると、Directory Connector は手動モードから自動同期モードに変更されます。
-
シングル サインオンを統合、ドメインの確認、オプションで同期したメール アカウントのドメインの要求、および自動メールを抑制しない限り、ユーザーが Webex アプリに初めてサインインしてアカウントを確認するまで、Webex アプリのユーザー アカウントは未確認の状態のままになります。 アクティブ ユーザーとしてアカウントを同期する方法については、「開始する前に」のセクションを参照してください。
-
複数のドメインがある場合は、インストールした他の Directory Connector でこの手順を実行します。 同期後、追加したすべてのドメインのユーザーは Control Hub に一覧表示されます。
-
シングル サインオンを Webex と統合し、抑制されたメール通知がある場合、招待メールは新しく同期されたユーザーに送信されません。
-
Directory Connector を有効にした後は、Control Hub でユーザーを手動で追加できません。 有効にすると、ユーザー管理は Cisco Directory Connector から実行され、Active Directory が信頼できる唯一の情報源となります。
-
同期したグループが Control Hub に表示され、そのグループのユーザーがライセンスを割り当てられるように、ライセンス テンプレートを割り当てることができます。
次に行うこと
-
Active Directory からユーザーを削除すると、そのユーザーは次の同期後にソフトで削除されます。 ユーザーは [非アクティブ] になりますが、クラウド ID プロファイルは 7 日間保持されます (偶発的な削除からの回復を可能にします)。
Active Directory で [アカウントが無効になっています] にチェックを入れると、次の同期後、ユーザーは [非アクティブ] になります。 ユーザーを再度有効にする場合は、クラウド ID プロファイルは 7 日後に削除されません。
-
これらの例外を増加同期に注意してください (代わりに上記の完全同期手順に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルタ、アバター設定での設定変更には完全同期が必要です。
-
Control Hub のディレクトリ同期済みユーザーに Webex サービスを割り当てる
Cisco Directory Connector から Control Hub へのフルユーザーの同期が完了したら、Control Hub を使用して同じ Webex サービス ライセンスをすべてのユーザーに一度に割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合、新規ユーザーにライセンスを追加したりできます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Directory Connector から Control Hub への完全なユーザーの同期が完了したら、Control Hub のメソッドを使用して、Webex サービス ライセンスをすべてのユーザー、個々のユーザー、一括 CSV テンプレートを通じてグローバルに割り当てたり、自動割り当てライセンス テンプレートを設定済みの場合は新規ユーザーに自動的に割り当てることができます。 この初期手順の後で、個々のユーザー アカウントを変更できます。
Webex アプリユーザーにライセンスを割り当てると、そのユーザーはデフォルトで割り当てを確認するメールを受信します。 メールは Control Hub の通知サービスから送信されます。 シングル サインオン (SSO) を Webex 組織と統合した場合、ユーザーに直接連絡したい場合は、これらの自動メール通知を抑制することもできます。
始める前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップする必要があります。
-
Active Directory ユーザーでドライランの同期を行います。
-
ドライ ランの結果を確認した後、Active Directory ユーザーで完全同期を行います。
完全同期の時点で、ユーザーはクラウドで作成され、サービスの割り当ては追加されず、アクティベーション メールは送信されません。 メールが抑制されない場合、CSV インポート、ユーザーの手動更新、自動割り当て完了など、Control Hub の標準的なユーザー管理方法によってユーザーにサービスを割り当てると、新規ユーザーはアクティベーション メールを受け取ります。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ユーザーの管理] をクリックし、[すべての同期済みユーザーを変更] を選択し、[次へ] をクリックします。 |
2 |
オプションを選択します。 |
次に行うこと
-
メールが抑制されない場合、Webex に参加してダウンロードするための招待メールが各ユーザーに送信されます。
-
すべてのユーザーに対して同じ Webex サービスを選択した場合、個別または一括で割り当てられたライセンスを変更できます。
Directory Connector の既知の問題
-
2012 R2 以前の Windows Server バージョンには、Directory Connector に影響するクッキーの問題があります。 この問題は、バージョン 2012 R2 および 2016 で修正されています。
-
Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
次の指示に従って、Webex アプリのローカル キャッシュをクリアできます。 Windows または Mac。
-
ユーザーがデスクトップまたはモバイルで Webex アプリを使用して、同期された SIP URI のみを持つ会議室を検索して発信すると、この時点でコールは無制限に鳴ります。
Webex アプリのユーザーの管理
増加同期を実行
増加同期は Active Directory をクエリし、最終同期から発生した変更を探します。そして、それら変更をまとめて、コネクター サービスに送信します変更には、ユーザー属性の変更と、ユーザーが追加または削除された場合が含まれます。
この同期では、サーバーに負荷がかかるわけではなく、完全同期ほど時間がかかります。最初の完全同期を行った後、その後の同期に増分オプションを推奨します。
開始する前に
-
Active Directory から同期した新しい Webex アプリ ユーザーで使用する前に、自動割り当てライセンス テンプレートをセットアップ する必要があります。
-
増分同期がサポートされていないこれらの例外に注意してください (代わりに、「クラウドに Active Directory ユーザーの完全な同期を行う 」に従います)。
-
アバターが更新されてもその他の属性変更がない場合、増分同期はユーザーのアバターをクラウドに更新しません。
-
属性マッピング、ベース DN、フィルター、アバター設定の新しい構成変更の場合、増分同期は機能せず、完全同期が必要です。
-
1 |
Directory Connector から [ダッシュボード] をクリックします。 同期の有効化をすることで、 Directory Connector はドライランを最初に実行するように求めます。 |
2 |
[アクション] から、まだ有効になっていない場合は、[同期モード] > [同期を有効にする] をクリックします。 デフォルトでは、増分同期は 30 分ごと(バージョン 3.4 以前)または 4 時間ごと(バージョン 3.5 以降)に発生するように設定されていますが、この値は変更できます。増分同期は、最初に完全同期を実行するまで実行されません。新しい増分時間間隔が終了すると、プログラムは最後のタイムスタンプに基づいて変更を確認します。 |
3 |
[アクション] から、[今すぐ同期] > [増分同期] をクリックします。 Active Directory のユーザーに対して行った変更 (表示名など) については、ユーザー ビューを更新すると Control Hub はすぐに変更を反映しますが、Webex アプリは同期を実行してから 72 時間後の変更を反映します。
|
4 |
エラーに関する情報については、[アクション] ツールバーから [イベント ビューアの起動] をクリックして、エラー ログを表示します。 |
次に行うこと
複数のドメインがある場合は、インストールした他の Directory Connector インスタンスでこの手順を実行します。
誤って削除されたユーザーを復元する
Directory Connector には、ユーザーの意図しない削除を防ぐためのチェックとバランスがあります。残念ながら、事故は発生します。Active Directory で LDAP フィルターを正しく設定していなかったために、クラウドと同期したときに一部のユーザーが削除されるなどです。ソフト削除機能は、これらの事故から回復し、Control Hub でユーザー アカウントを再確立するのに役立ちます。
デフォルトでは、この機能はすべての組織で有効になっています。たとえば、Directory Connector からの同期後にオブジェクトの問題が一致しないため、クラウドでユーザーが削除されると、ユーザーは復元できます。一致しないオブジェクトが通知されたり、ユーザーが削除されたことに気づいた場合、迅速に行動すると復元できる場合があります。
対応するアカウントが Active Directory で削除されると、ユーザーは Control Hub で非アクティブとしてマークされます。バックグラウンド クラウド サービスは、ユーザーを最大 7 日間保持します。この期間中も、Cisco Directory Connector を使用してユーザーを復元できます。これらのユーザーをできるだけ早く復元することをお勧めします。
Active Directory で無効になっているユーザーは、Control Hub で非アクティブとしてマークされますが、ユーザー アカウントは 7 日後に削除されません。
1 | |
2 |
[ユーザー] に移動し、特定のユーザー アカウントが非アクティブ状態であるか、非公開であるかを確認します。 詳細については、「Control Hub のユーザー ステータスとアクション」を参照してください。 |
3 |
ユーザーが Control Hub で削除された場合、または非アクティブ状態のユーザーが見つかった場合は、Active Directory に移動し、欠落しているユーザーアカウントを追加してから、Directory Connector でドライラン同期を実行します。 Directory Connector の目標は、Active Directory とクラウドのユーザー情報間で完全一致を作成することです。 |
4 |
完全同期を実行して、一時的に削除されたユーザー アカウントを Control Hub に再同期します。 ユーザーは復元され、アカウント ステータスとサービスの割り当てを含む元のステータスに移動します。 |
次に行うこと
Control Hub に戻り、
に進み、以前に削除されたユーザー アカウントがユーザー リストに表示されていることを確認します。ソフト削除後にユーザを完全に削除
ドライ ランを実行した後、次の同期でソフトで削除されたユーザを完全に削除できます。
1 |
ドライ ランが完了したら、[ソフト削除済みオブジェクト] を選択します。 |
2 |
削除するユーザの横にあるチェックボックスをオンにします。 |
3 |
[完了] を選択します。 |
次に行うこと
次の同期で、チェックしたユーザーは完全に削除されます。
Webex アプリのメール アドレスを変更する
ユーザーのメール アドレスを変更し、組織が Directory Connector を使用する場合、Active Directory でそれらのメール アドレスを変更します。この手順では、単一ドメインの Webex アプリのメール アドレスを変更する方法と、ドメインを変更するプロセスについて説明します。
メールまたは一部の値を 1 人のユーザーに対してのみ変更する場合は、Active Directory からユーザーを削除してから、同じメールで新しいユーザーを再作成しないでください。クラウドはこのアクションを新しいユーザー アカウントとして解釈すると、ユーザーのスペースとクラウド内のその他のデータは失われます。
Directory Connector はメール ドメインの変更を制限しません。ただし、ユーザーがクラウドに再同期すると、ユーザーの状態は、組織で新しいドメインが検証されているかどうかによって異なります。組織でドメインが確認されていない場合、フル同期後にユーザーのステータスは [保留中] に変更されます。詳細については、「ドメインを管理する」を参照してください。
組織が Directory Connector を使用していない場合、アカウント設定ページからWebex アプリのメール アドレスを変更できます。ユーザーがメールを変更するための手順については、「アカウントのメール アドレスを変更する 」を参照してください。
Active Directory ドメインを変更する
この手順を使って、新しいドメインおよびメール アドレスを作成することができます。クラウド内のアイデンティティ サービスと同期します。
1 |
新規 Active Directory (AD) ドメインをセットアップします。 |
2 |
すべてのコネクタで同期を無効にします。 |
3 |
すべてのコネクタをアンインストールします。 |
4 |
送信する場合は、ドメイン設定と組織内のすべての同期属性の削除をリクエストしてください。 ドメインを変更するためにケースを開く前に、実行中の同期がないことを確認してください。ケースが解決されるまで、Active Directory のユーザー メール アドレスを変更しないでください。 |
5 |
本ケースが解決した後、 実際の同期を実行する前に、Directory Connector でテストを実行します。 |
ドメインクレーム
ドメインの要求は、組織のメール ドメインを要求し、サイドボーディングされたアカウントが無料の消費者組織ではなく、有料顧客組織で作成されるように、組織のメール ドメインを要求する場合に発生します。ドメイン要求は、サポート ケースを通じてのみ行えます (詳細については、下のリンクを参照してください)。
Directory Connector がアクティブで、ドメインが要求されている場合、サイドボーディングされたアカウントは、顧客組織または無料の消費者組織内で作成されません。Active Directory から組織のアカウントをプロビジョニングできるのは、Directory Connector のみです。Active Directory に保存された情報はオリジナルソースです。アカウントのサイドボーディングを試みる場合、招待されたユーザーはエラーを受信します。招待されたユーザーを Webex アプリ スペースに追加できる唯一の方法は、最初に Directory Connector を使用して Control Hub にアカウントをプロビジョニングすることです。
ディレクトリ同期組織で無料の Webex アプリ ユーザーを変換する
一意のメール アドレスは Webex アプリ ディレクトリでのみ使用できます。ユーザーが無料バージョンの Webex アプリにサインアップしている場合、そのアカウントは無料消費者組織に存在しています。Directory Connector を使用してこの組織のユーザーを管理するには、Directory Connector をオンにする前に、顧客組織にユーザーを移行 (変換) します。次に、ユーザーを正確なメールアドレスで Active Directory に追加し、クラウドに同期します。
アクティベーション前にアカウントを変換しない場合は、変換するために Directory Connector を終了してください。
ディレクトリ同期が有効になっている間にユーザーを変換しようとすると、エラー メッセージ 変換できませんでした
が表示されます。この問題を回避するには、以下の手順を回避策として使用することができます。
一部の要求されたユーザーは、ドライ ランの実行時に movedfrom
属性が表示される場合があります。これらのユーザーは MismatchedObject
の代わりに [削除済みオブジェクト]
リストに表示されます。組織に移動する場合は、これらのユーザーを AD リストに追加する必要があります。
これらのユーザーを追加しない場合、クラウドに同期する隣にあるすべてのユーザーが削除されます。
1 |
Directory Connector からのディレクトリ同期を無効化する。 |
2 |
「Control Hub でライセンスなしのユーザーを変換する」 手順に従って、無料のコンシューマー組織からエンタープライズ組織にユーザーを変換します。 この手順により、ユーザーを組織に追加し、アカウントが Control Hub に表示されます。Directory Connector は、Active Directory をユーザー アカウントの信頼できる唯一の情報源にします。目標は、Active Directory と Control Hub を正確に一致させることです。同期を再度有効にする前に、最近変換されたユーザーと一致するユーザーが Active Directory 内に存在することを確認してください。ドライラン同期を使用して、一致しないユーザーがいないことを確認できます。 |
3 |
Directory Connector で、ドライラン同期を実行します。ドライランの完了後、[オブジェクトの追加] タブを確認します。自分が変換したユーザーが削除されていないか確認する。 同期を再有効化する前にドライランを実行して、変換されたユーザーアカウントが Active Directory に表示されるようにする必要があります。同期をオンにし、アカウントが Control Hub にのみ存在する場合、Directory Connector は大文字と小文字を区別し、一致しないメール アドレスで検出された変換されたユーザー (user1@example.com および User1@example.com など) を削除します。 変換されたユーザーが削除されると、Webex アプリのスペースはすべて失われます。 |
4 |
次回の同期でアカウントが全く削除されないと確信する場合、Directory Connector からディレクトリ同期を再有効化?????? |
変換されたユーザーアカウントは、ドメインを確認しなかった場合は自動的にアクティベートされません。たとえば、自動割り当てライセンス テンプレートをオンにし、ドメイン検証なしでディレクトリ コネクタをオンにした場合、変換されたユーザーはメール アドレスを確認するまで、クラウド バックエンドで非アクティブになります。
サイドボーディングされた Webex アプリ ユーザー アカウント
Webex アプリのスペースに別のユーザーを招待すると、招待されたユーザーが Webex アプリ アカウントを持っていない場合、アカウントが作成されます (「サイドボーディング」)。既定では、この方法で作成されたアカウントは無料顧客組織に追加されます。
Directory Connector を使用してサイドボーディングされたアカウントを管理する場合、アカウントを変換する必要があります。
ディレクトリ同期後に Webex アプリのユーザー名形式を変更する
デフォルトでは、Directory Connector は Active Directory の displayName 属性をクラウドの displayName 属性にマッピングします。
ディレクトリ同期を実行した後で、ユーザー名は の形式で表示されます。
このユーザー名は、Active Directory の displayName
属性がこのように設定されている場合に表示されます。属性がクラウドの displayName
にマッピングされると、Control Hub で名前が の形式で表示されます。
Directory Connector 属性マッピングスクリーンで形式を変更するには: Active Directory 属性 givenName sn
(または sn givenName
) を Cisco Cloud 属性名の displayName
にマッピングします。
または、属性 sn givenName
を displayName
にマッピングします。
独自のカスタム属性式を displayName
にマッピングする場合は、[属性のカスタマイズ] オプションを使用することもできます。
たとえば、式として givenName + "" + sn
(名、スペース、姓) を入力します。これにより、Active Directory の 2 つの属性がクラウドの displayName
にマッピングされます。
ユーザーが Webex Meetings での表示名の変更を許可する
ユーザーが好みの表示名を編集できるようにする場合は、Directory Connector でクラウドに同期する displayName
属性のマッピングを解除できます。ユーザーは、名と姓の代わりに、Webex ミーティング中に表示する表示名を入力できます。管理者は、Control Hub で手動でユーザーの表示名を変更することもできます。
1 |
Directory Connector から、[構成] をクリックし、[ユーザー属性マッピング] を選択します。 |
2 |
[Cisco Cloud 属性名] で [displayName] を選択します。 |
3 |
[この属性を同期しない] を選択します。 |
次に行うこと
ユーザーは Webex サイトから表示名を編集することができるようになりました。
Directory Connector のトラブルューティング
最新のソフトウェア リリースへのアップグレード
展開をコンプライアンスに保ち、最新の機能、機能、バグ修正、セキュリティ強化を入手するには、常に最新バージョンの Directory Connector にアップグレードする必要があります。利用可能な最新バージョンにアップグレードしない場合、Directory Connector が適切に同期しなくなったか、必須の TLS 1.2 要件をサポートしていないバージョンを使用しているなど、問題が発生する場合があります。
Directory Connector は自動的に新しいバージョンが利用可能になった際に通知します。問題を回避するには、常に最新バージョンにアップグレードします。Windows タスク バーでも通知を確認できます。
コネクタ ソフトウェア アップデートの更新を手動でインストールできますが、[自動アップグレードの設定] の手順に従って、アプリがアップグレードを自動的に管理できるようにすることを推奨します。
1 |
Windows タスクバーで通知をクリックするか、Windows タスクバーの Directory Connector アイコンを右クリックしてアップグレードプロセスを開始します。 |
2 |
手順に従ってアップグレードを完了します。 |
3 |
コネクタを再起動し、管理者の資格情報でサインインします。 |
4 |
でソフトウェアのバージョン番号を確認します。 |
次に行うこと
Directory Connector の新規インストールについては、 zip ファイルをダウンロード してから、このガイドのインストール手順に従ってください。
Directory Connector の汎用設定の構成
Directory Connector を実行しているサーバの名前、ログ レベル、自動アップグレード、ドメイン コントローラの優先設定など、一般的な設定を構成するには、次の手順を使用します。コネクタ名は、動作中の他のコネクタと共にコネクタ セクションのダッシュボード上に表示されます。
1 |
Directory Connector から、[構成] に移動し、[全般] をクリックします。 |
2 |
[コネクタ名] フィールドに、コネクタ名を入力します。このフィールドは現在コネクタを実行しているコンピュータ名のみを表示します。 |
3 |
ドロップダウン メニューからログ レベルを選択します。既定では、ログレベルは「情報」にセットされています。使用可能なログレベルは以下の通りです。
これらの設定は、電子メールで送信される同期レポートに影響します。ログ レベルを [エラー(Error)] に設定した場合、同期レポートでエラーのみが報告されます。エラーが存在しない場合、同期レポートは送信されません。設定を [情報] に変更すると、完全同期後に同期レポートを受信します。(増分同期では、エラーが報告されない場合、レポートは送信されないことに注意してください)。 |
4 |
[優先ドメイン コントローラー] を選択して、アイデンティティを同期させる際のドメイン コントローラーの順番をセットします。 ドメイン コントローラは、上から下までアクセスされます。リストの先頭のコントローラーが使用できない場合、2 番目のコントローラーを選択してください。コントローラーがリストアップされていない場合、プライマリ コントローラーにアクセスできます。 |
5 |
自動アップグレードを行う場合は、[新しい Cisco Directory Connector バージョンに自動的にアップグレードする] にチェックを入れます。 Cisco Directory Connector ソフトウェアを最新バージョンに常に最新の状態に保つことが重要です。この設定にチェックを入れると、ソフトウェアへの自動アップグレードが利用可能になったときにサイレントにインストールされることを推奨します。 |
6 |
[LDAP over SSL] をチェックして、セキュアな LDAP (LDAPS) を接続プロトコルとして使用します。 LDAP over SSL をオンにしない場合、Directory Connector は引き続き LDAP 接続プロトコルを使用します。 LDAP (Lightweight Directory Application Protocol) および Secure LDAP (LDAPS) は、アプリケーションとインフラストラクチャ内のドメイン コントローラの間で使用される接続プロトコルです。LDAPS 通信は暗号化され、安全です。 |
コネクタポリシーを設定する
同期中に行われる削除の最大数は設定することができます。同期の実行により、オンプレミスの Active Directory からオブジェクトが削除されることはありません。すべてのオブジェクトはクラウドからのみ削除されます。
たとえば、削除しきい値トリガー値として 1
を設定します。完全同期または増分同期を実行すると、削除するユーザーの数がこの設定より多い場合、ディレクトリ コネクタは警告を出します。[しきい値を上書き] をクリックすると、完全同期または増分同期を正常に実行することができますが、次にポリシーを実行するとき、この上書き通知が表示されます。
1 |
Directory Connector から、[構成] をクリックし、[ポリシー] を選択します。 |
2 |
しきい値トリガーを追加する場合は、[しきい値トリガーの削除を有効にする] ボックスをチェックします。 このオプションを選択すると、削除数が閾値を越えた場合にアラートががトリガーされます。削除の回数が定義した値を越えると、同期は失敗します。
|
3 |
自分が行う削除の最大数を入力します。既定では 20 です。 弊社は既定値を上げないことを推奨します。 |
4 |
適用をクリックします。 |
コネクタスケジュールをセットする
Active Directory で同期タイミングを設定します。高可用性 (HA) にはフェイルオーバーが使用されます。コネクタの 1 つがダウンする場合、あらかじめ設定されたインターバルの後、スタンバイしている別のコネクタにきりかえます。
1 |
Directory Connector から、[構成] をクリックし、[スケジュール] を選択します。 |
2 |
増分同期インターバルを分に指定します。 既定では、増分同期は 30 分おきに実行するようセットされています。完全増分同期は、あなたが初回の完全同期を行うまで実行されません。 |
3 |
レポートが送信される頻度を変更する場合、[レポートを送信する頻度] の値を変更します。 |
4 |
[完全同期スケジュールを有効化する] チェックボックスをオンにして完全同期を行う日時を指定します。 |
5 |
[フェイルオーバー間隔]を「分」で指定します。 |
6 |
[適用] をクリックします。 |
複数ドメイン シナリオ
複数のドメインはドメインの優先順位に基づいています。異なるドメインで同じキー値をもつオブジェクトの場合、同期後に、上位の優先順位のドメインのデータが下位の優先順位のドメインのデータを書き直します。
同じキー値をもつオブジェクトは、データベースの 1 つのレコードにリンクされます。
「ユーザー」のキー値は メール アドレス です。「グループ」のキー値は グループ名です。
複数ドメインの使用例
この例は、優先順位の観点で、2 つのドメイン、example1.com と example2.com をもつ組織を想定しています。
-
user1 (メール: user@example1.com)を example1.com の Active Directory に追加してください。
-
group1 (グループ名: Test) を example1.com の Active Directory に追加してください。
-
user2 (メール: user@example2.com)を example2.com の Active Directory に追加してください。
-
group2 (グループ名: Test) を example2.com の Active Directory に追加してください。
- example1.com の同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
example1.com の完全または増分同期を行う場合、user1 と group1 が同期されます。また、user2 と group2 は、user1 と group1 の情報により上書きされます。
User1 はデータベースの同じレコードとして、user2 にリンクします。group1 はデータベースの同じレコードとして、group2 にリンクします。
- example1.com と example2.com での同期
-
使用例として、user2 と group2 はクラウドに同期され、https://admin.webex.com に表示され、その場合 user1 と group1 は表示されません。
以下の手順を考察してください。
- example1.com の Active Directory の user1 と group1 を削除します。
- example1.com の完全または増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。User2 は user1 にリンクされず、group2 は group1 にリンクされません。
- example2.com の増分同期を行います。
結果: ユーザーの情報は、https://admin.webex.com では変更されません。
- example2.com の完全同期を行います。
結果: user2 と group2 の情報は、https://admin.webex.comにリストされます。
新しいドメインを同期し既存のドメインを保持する
別の既存ドメイン (A) の同期したユーザー データを保持している間、新しいドメイン (B) を同期する場合、サポートされている Windows サーバーのドメイン (B) 同期に Directory Connector をインストールします。最初のセットアップ後、コネクタは新しいドメインをバインドし、ドメイン (A) の下のユーザー情報に影響が出ないままになります。
すべてのドメインには独自のアクティブ コネクタがあります。以下のセットアップについては、2 つのドメインを考慮します: domain A with connectors (ca1) and (ca2) for local high availability (HA); domain B with connector (cb1). (ca1)and (ca2) serve domain A. In this scenario, one connector is active and the other is standby (HA). この設計では、1 つのコネクタが常にアクティブであるため、ドメインは同期されているままになります。そのため、ドメイン A にはすでにアクティブなコネクタがあるため (ca1 または ca2)、cb1 はドメイン B のアクティブ コネクタです
ドメインの優先順位を設定する
この手順を使用して、Active Directory ドメインの優先順位を変更します。ドメインの優先順位では、プライマリ ドメイン、セカンダリ ドメイン、その他の優先順位を決定できます。これは、異なるドメインからの 2 名のユーザーが 1 つの組織に同期されている同じメール値を有する場合に、役立ちます。
Directory Connector にリストされているのがシングル ドメインである場合には、この手順を使用してはなりません。試みた場合、コネクタは、ドメインの優先順序は必要ありませんというメッセージを表示します。
開始する前に
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。https://admin.webex.com からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメイン優先順位を設定する] をクリックします。 |
3 |
リストにあるドメインを 1 つハイライトし、[アップ] または [ダウン] をクリックして、このドメインの優先順位を変更し、[保存] をクリックして変更を保存します。 ドメインは、上から下まで、優先順位でソートされます。 |
ドメインを切り替える
Cisco Directory Connector を別のドメインに再バインドするには、次の手順を使用します。
開始する前に
-
ドメインを切り替える前に、同期タスクが実行されていないことを確認します。
-
エラーを回避するには、Cisco Directory Connector の最新バージョンをインストールするか、アップグレードしてください。Control Hub からダウンロードする必要があります。
1 |
Cisco Directory Connector から、[ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、[ドメインを切り替える] をクリックします。 |
3 |
警告を読み、この変更が展開に与える影響を理解し、それでも行う場合には、[はい] をクリックします。 ドメインを切り替えると、現在の Cisco ディレクトリ コネクタからサインアウトされ、コネクタの他のドメインは登録解除され、そのコンピューターのコネクタ情報は削除されます。 |
4 |
Cisco Directory Connector に再度サインインし、ドメインを再バインドします。 |
ディレクトリ同期を無効にする
Directory Connector からの同期を停止する必要がある場合は、Control Hub から一時的にオフにできます。
1 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、次のいずれかを選択します。
|
2 |
指示を読んだ後、[オフにする] をクリックします。 同期は、Directory Connector から再有効にするまで停止します。 |
ユーザー属性マッピングを削除
Directory Connector を使用して、以前にクラウドにマッピングされ、Webex に同期された Active Directory 属性のマッピングを削除します。属性マッピングを削除すると、属性値はクラウドから削除され、Webex に同期されなくなります。これらの値は、手動で編集できます。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[属性名] リストから削除するマッピングを選択します。 |
4 |
[影響を受けるユーザー範囲] で、次のいずれかを選択します。
|
5 |
[適用] をクリックします。 |
プロファイル画像の管理
Directory Connector を使用して、ユーザー プロファイルの写真を更新するか、空白のユーザー プロファイルの写真を削除します。
1 |
Directory Connector から [ダッシュボード] をクリックします。 |
2 |
[アクション] に移動し、 をクリックします。 |
3 |
[アクション] で次のいずれかを選択します。
|
4 |
[適用] をクリックします。 |
Directory Connector をアンインストールして非アクティブ化
Directory Connector のインスタンスをアンインストールしたら、登録も解除する必要があります。以下のシナリオに該当する場合、Directory Connector は完全に削除してください。
-
ディレクトリ同期化をこれ以上使いたくなくなった。
-
複数のディレクトリ コネクタのうち、1 つを使いたくなくなった (高可用性)。
-
ドメインを変更して、別のコネクタをインストールしたい。
開始する前に
-
高可用性 (HA) または複数のドメインの同期のために、Directory Connector の複数のインスタンスがセットアップされている場合があります。唯一の Directory Connector インスタンス、または最後に残った Directory Connector インスタンスのアンインストールを行う場合、同期は無効にします。
-
Directory Connector をアンインストールする前に、重要な作業を保存して閉じてください。
1 |
Windows マシンからコントロール パネルに移動して、プログラムと機能をクリックします。 |
2 |
プログラムリストから、[Directory Connector] をクリックし、[アンインストール] を選択し、プロンプトに従います。 アンインストールを完了するためにリブートが必要になる場合があります。 |
3 |
https://admin.webex.com の顧客ビューから、 に移動し、[ディレクトリ同期] までスクロールして、[詳細] |
4 |
指示を読んだ後、[非アクティブ化] をクリックします。 高可用性 (HA) 展開内に別の Directory Connector がない限り、ユーザー アカウントはこれからは同期しなくなります。 |
診断ツールの実行
組み込みの診断ツールを使用して、Directory Connector 展開のトラブルシューティングを行うことができます。このツールは Directory Connector 3.4 以降の一部としてインストールされます。
同期が正しく機能しなかった場合は、設定またはネットワーク エラーが発生する可能性があります。このツールは、サポートに連絡する前にエラーを診断できるように、LDAP への接続をテストします。ツールがエラーを返した場合、詳細なログ結果をサポートに送信できます。
Ciso Directory Connector の問題をトラブルシューティング
Directory Connector のトラブルシューティングと修正
Directory Connector でエラー メッセージまたはその他の問題が発生する場合があります。また、Directory Connector がユーザー情報を同期した後、コネクタは同期に関する問題を記載したメール レポートを送信する場合があります。発生する可能性のある問題、考えられる原因、およびサポートに連絡する前に試すことができる解決策については、次のセクションを参照してください。
インストール
Directory Connector が動作を停止した
Directory Connector が動作していないことを知らせる警告メールを受信しました。
-
Directory Connector が正しくインストールされていない可能性があります。
-
Directory Connector が実行されていない可能性があります。
-
ネットワークは使用できない可能性があります。
以下の作業を行います。
-
を開きます。Directory Connector を検索します。存在しない場合は、Control Hub から最新バージョンをダウンロードしてインストールします。
-
[サービス] を開き、Cisco DirSync Service を見つけます。ステータスが [開始] として表示されていることを確認します。サービスが停止されている場合、右クリックで開始を選択し、サービスを再度開始します。
-
Directory Connector をインストールしたサーバーにインターネットへのアクセス権があることを確認してください。
再インストールエラー
問題: 古いコネクタをアンインストールした後、すぐに新しいコネクタをインストールすると、エラー メッセージが表示される場合があります。
考えられる原因: Windows Server 2012 では、アンインストールクライアントはサービス リストからサービス アカウントを削除するのに時間を必要とします。
解決策: 時間が経過したら、もう一度インストールをお試しください。
サインイン
SSO サインイン中にディレクトリ コネクタがクラッシュ
問題
SSO サインイン ページからメール アドレスを入力すると、Directory Connector がクラッシュする場合があります。
対処方法
以下の作業を行います。
新しいグループ ポリシーを設定するには、次の手順を実行します。
-
ドメイン コントローラに移動し、グループ ポリシー管理 (gpedit.msc) を開きます。
-
特定の OU またはドメインを右クリックし、[このドメインで GPO を作成] を選択し、[ここにリンク...
-
ポリシーに名前を付けて、右クリックして [編集] を選択します。
マシン レベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
ユーザーレベルでポリシーを変更するには、次の手順を実行します。
-
[レジストリ] を右クリックし、[新規] を選択し、[レジストリ アイテム] を選択します。
に進み、 -
キー パスについては、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main を入力または移動します。
-
[スクリプトデバッガを無効にする]
を [値] に入力し、[値 データ]
に [いいえ] を入力します。設定は、このスクリーンショットと一致する必要があります。
変更は、gpupdate /force
を実行した後、マシンが再起動した後 (マシン変更の場合)、またはユーザーが再びサインインした後 (ユーザー変更の場合)、有効になります。
Cisco DirSync Service Connector を登録できませんでした
問題
サインインに失敗すると、「Cisco DirSync Service Connector が登録できませんでした」というメッセージが表示されます。
対処方法
Directory Connector がインストールされている Windows システムは、Active Directory のメンバーである必要があります。
サインインページが表示されません
問題
Directory Connector を開くと、サインイン ページが表示されませんでした。
対処方法
次の手順を試してください。
-
Internet Explorer で、https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に移動します。Chrome や Firefox などの他のブラウザでリンクをお試しください。
-
Internet Explorer がリンクにアクセスできないが、他のブラウザがアクセスできない場合は、Internet Explorer の設定をチェックし、[TLS 1.1] および [1.2] チェックボックスをオンにします。(Internet Explorer で TLS を有効にする 手順を使用します。)
サインインプロンプトが表示されます
問題
ユーザ名とパスワードを入力して認証を渡すように要求するプロンプトが表示されます。
考えられる原因
Directory Connector は、サインイン アカウントで NTLM セキュリティ認証をサイレントに完了します。認証に失敗した場合、ダイアログがポップアップして、認証ユーザ名とパスワードを要求します。
対処方法
サインイン ポップアップ ウィンドウが表示されたら、セキュリティを渡すための正しい認証を持つ有効なアカウントを提供する必要があります。
リモート サーバーに接続できません
問題
通常の操作中に、「リモートサーバーに接続できません」というエラーメッセージが表示されます。
考えられる原因
プロキシの問題を解決する必要がある問題がある可能性があります。
対処方法
トラブルシューティングの詳細については、「サービス アカウント サインインの問題をトラブルシューティング 」を参照してください。
コネクタを登録できません
問題
「コネクタを登録できません。一般的な例外が発生しました」。
考えられる原因
ほとんどの場合、問題は、Directory Connector が LDAP ルートコンテキストに接続する権限を持っていないためです。
対処方法
以下の作業を行います。
-
コマンド プロンプト (cmd) を実行し、ldp.exe を入力します。
-
[現在ログインしているユーザーとしてバインド] を選択し、[OK] をクリックします。
をクリックし、 -
[OK] をクリックします。
をクリックし、BaseDN として [DC=arbonneintl,DC=ad] を入力し、 -
問題が継続する場合、サポートでケースを開きます。
同期
アバターが同期されていません
問題
Cisco Directory Connector がユーザー AD データを Webex クラウドに同期しました。ただし、正常に同期されたアバター データはありません。
考えられる原因
既存のアバター サーバを再使用し、ユーザ アバターがすでに同期されている場合、ローカル キャッシュによりキャプチャされ、再送信が回避され、帯域幅が節約されます。
対処方法
次の手順に従って、ローカル キャッシュを削除します。
-
C:\Program Files (x86)\Cisco Systems\Cisco Directory Connector\Plugins\ に移動します。
-
DirSyncPluginAvatar.dll-cache.bin を削除します。
-
Cisco Directory Connector からアバターの同期を再実行します。
競合するユーザー メール アカウント
問題
同期結果に競合するユーザー メール アカウントが表示される場合があります。
-
ユーザーが Webex アプリの無料バージョンを試した場合、メール アドレスは無料コンシューマー組織内に存在します。
-
ユーザーのメールが別の組織で同期されたことがない場合。
-
ユーザーのメールが組織に属する複数のドメインに存在する場合。
対処方法
以下の作業を行います。
-
ユーザーを要求する場合は、次の手順に従います。
-
Control Hub でドメインを確認済みしていることを確認します。
-
Cisco Directory Connector を一時的に無効にします。
-
Control Hub の [ユーザーの要求] オプションを使用して、無料の消費者組織に存在する可能性があるアカウントを申請します。詳細については、「ユーザーを組織に要求する (ユーザーの変換) 」を参照してください。
-
Cisco Directory Connector でドライ ランを実行し、ディレクトリ同期を再度有効にします
-
-
最後のケースでは、Active Directory ソースのユーザー データをダブルチェックします。
非アクティブとしてマークされた変換ユーザー
問題
ディレクトリ同期環境では、無料の (消費者組織) ユーザーをエンタープライズ組織に変換しましたが、変換されたユーザーは Webex アプリにサインインできません。
考えられる原因
無料ユーザーがエンタープライズ組織に変換されると、そのユーザーはセキュリティ コンプライアンス メジャーとして 30 日間非アクティブ ステータスとしてマークされます。この期間中は、ユーザーは Webex アプリにサインインできず、30 日間の期間終了時に削除対象としてマークされます。この状況は、無料のユーザー情報が Active Directory に存在しないために発生します。
対処方法
ユーザーアカウントを削除しない場合は、アクションを実行する必要があります。この問題を解決するには、変換された無料ユーザー アカウントに対応するオンプレミスの Active Directory でユーザー アカウントを作成します。次に、Cisco Directory Connector から同期を実行します。その後、ユーザーは Webex アプリに再度サインインでき、アカウントは削除されません。
増分同期が失敗する
問題
増分同期に失敗しました。
この問題は、次の条件で Windows Server 2008 R2 で発生する場合があります。
-
増分値の更新をサポートします。
-
使用するフィルタは、リンクされた値属性を参照します。
-
その属性の結果値は、前回完全な同期が実行されてから更新されました。
対処方法
Windows Server 2008 R2 には、この問題に関連するバグがあります。バグは 2012 R2 以降で修正されました。Windows Server を少なくとも 2012 R2 にアップグレードすることを推奨します。
属性の値が無効です
問題
[user dn dn (distinguished name)] では、属性 [attribute name] が以下の無効な値 [attribute value] を持ちます。
考えられる原因
CN=b,OU=Employees,OU=C Users,DC=c,DC=com の場合、属性 [電話番号] には次の無効な値があります。+ この属性は少なくとも 1 つの番号を含む必要があります。
対処方法
このユーザーの属性には、有効な値がありません。警告メッセージの記述に従ってこの値を修正してください。再度同期を行います。
削除される一致したユーザー
問題
一致したユーザーは削除対象としてマークされます。
ドライ ラン同期を実行して Active Directory とクラウド間のデータを確認する場合、両方に同じメール アドレスが表示される場合があります。ただし、ユーザーは削除するオブジェクトとしてマークされます。
対処方法
適切な修正を選択します。
-
ユーザーを削除してライセンスを再実行しても問題ない場合は、修正のために Directory Connector を使用できます。同期を実行してユーザーを削除し、別の同期を実行してオンプレミス AD からクラウドにユーザーを同期します。
-
ユーザー アカウントを削除して再作成できない場合は、サポートでケースを開きます。
属性がありません
問題
オンプレミスのエントリ [user dn (distinguished name)] を追加する場合に必要な属性 [attribute_name]。すべての必須属性に値が設定されるまで、エントリは Control Hub で作成されません。
考えられる原因
必須属性メール アドレスがありません。オンプレミスのエントリ [CN=Sales User,OU=Engineers,OU=K,DC=k,DC=local] を追加すると、すべての必須属性が値になるまで、エントリは Control Hub で作成されません。
対処方法
ユーザー [user_email_address] に必要な属性の 1 つがありません。そのユーザーに必要な値を提供してください。
ネストされたグループが同期されません
問題
ネストされた Active Directory グループのユーザーは、クラウドに適切に同期されません。
考えられる原因
子グループと親グループの両方を含むフィルタが使用され、サポートされていません。たとえば、次のようなものです。(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)
対処方法
グループを同期するフィルタを再設定する必要があります。たとえば、次のようなものです。|(memberof=CN=testgroup1,CN=Users,DC=rktest2008,DC=org)(memberof=CN=testSubGroup,CN=Users,DC=rktest2008,DC=org)
ユーザー名の競合
問題
既存のクラウド入力オブジェクトの [user dn] と以下の名前に命名の競合が発生しています。[user email address]、およびユーザータイプ [user_type]。
考えられる原因
そのメール アドレスを使用するユーザーはすでに Control Hub に存在しています。
対処方法
Control Hub を通じて登録したアカウントと同じメール アドレスを使用して、Active Directory にユーザーを作成します。
Control Hub
Control Hub でユーザー リストが見つかりません
問題
1,000 人以上の同期済みユーザーを持つ Webex 組織がある場合、Control Hub にユーザー リストが表示されない場合があります。
対処方法
検索機能を使用してユーザーアカウントを検索できます。Control Hub で、[ユーザー] に移動し、検索 をクリックし、検索条件を入力して特定のユーザーを見つけます。
グループは Control Hub に同期されません
問題
ディレクトリ グループのユーザーは、Control Hub に適切に同期されません。
考えられる原因
グループは Active Directory で isCriticalSystemObject
としてタグ付けされません。
対処方法
Active Directory で属性 isCriticalSystemObject
が TRUE
に設定されていることを確認してください。
Directory Connector のトラブルシューティングを有効化する
トラブルシューティングを有効化して Directory Connector で遭遇するエラーの診断に役立てることができます。トラブルシューティングでは、ネットワーク トラフィック情報を取得して、それをファイルに保存する作業が必要です。
ログ ファイル: \Cisco Systems\Cisco Systems\Cisco Directory Connector\Logs
1 |
|
2 |
サービスを再開します。 詳細については、サービスの開始方法 を参照してください。 |
3 |
Directory Connector で、[ダッシュボード] をクリックします。 |
4 |
[アクション] に移動し、 をクリックします。 |
5 |
トラブルシューティングが有効になると、エラーの原因となったアクションが繰り返されます。これによって、検査のためのトラフィック データを取得することができます。 |
6 |
ログ ファイルを確認します。ファイルが空白の場合、アカウントに AD DS ないしは AD LDS にアクセスする権利があるかどうかを確認します。 ログ フォルダーは過去 3 日間のファイルのみを保存します。ログ ファイルのコンテンツは、システムへのイベント ログ出力と一致しています。 |
7 |
必要に応じて、ログ ファイルをサポートに送信してアシスタンスを依頼してください。 |
8 |
完了後は、トラブルシューティング機能を無効にしてください。 |
イベントビュアーを開始
完全もしくは増加同期中に発生したイベントを確認するには、イベントビューを開始します。管理イベントとエラーログの概要が表示されます。
1 |
Directory Connector から [ダッシュボード] に移動し、 をクリックします。イベント プロパティ ダイアログでは、同期イベント詳細およびエラー詳細を表示します。 |
2 |
イベント ビューアから、 に移動します。 |
3 |
[アクション] の下で、[すべてのイベントに名前を付けて保存] をクリックして、すべてのログを 1 つの Events ファイル (*.evtx)、または xml や csv などの別の形式としてエクスポートします。 |
次に行うこと
ケースを開く必要がある場合は、サポートに連絡し、コネクタの問題を説明し、ケースに Events ファイルを添付してください。
イベント ログではユーザー アクションをキャプチャします。ネットワーク トラフィックの管理については、コネクタでトラブルシューティングを有効にします。
Internet Explorer で TLS を有効にする
シングル サインオン (SSO) プロバイダーを切り替えると、Cisco ディレクトリ コネクタから次のエラー メッセージが表示される場合があります。
-
サービスへのログオンでエラーが発生しました
-
このページのスクリプトでエラーが発生しました
これらのエラーが表示された場合は、ブラウザで TLS 設定を有効にする必要があります。
1 |
Internet Explorer を開き、[ツール] を選択します。今すぐ有効にする TLS/SSL バージョンのボックスをオンにします [OK] をクリックします ブラウザを閉じて、再度開きます |
2 |
[インターネット オプション] をクリックし、[詳細] に進み、[セキュリティ] までスクロールします。 |
3 |
[TLS 1.1 を使用する] および [TLS 1.2 を使用する] チェックボックスをオンにして、[OK] をクリックします。 |
4 |
変更を有効にするには、システムを再起動してください。 |
サービス アカウントのサイン インの問題をトラブルシューティングする
Cisco Directory Connector にサインインできない、または同期を実行できない場合は、サポートに連絡する前に、これらの手順を使用して問題を解決してください。
1 |
ウェブ ブラウザーの https://cloudconnector.webex.com/SynchronizationService-v1_0/?orgId=GLOBAL に行きます。 |
2 |
結果によりますが、1 つを選択します。
|
3 |
少なくとも、Cisco DirSync サービス(Windows サービスで確認できる)に設定されたアカウントに、アバター データと AD データにアクセスできる特権レベルがあることを確認してください。デフォルトでは、サービスは Windows ログイン アカウントの資格情報と認証を利用します。 |
Windows レジストリで SafeDllSearchMode を確認する
Safe Dynamic Link Library(DLL)検索モードは、Windows レジストリでデフォルトで設定され、ユーザの現在のディレクトリは、後で DLL 検索順序に配置されます。このモードが何らかの形で無効になっている場合、攻撃者は悪意のある DLL (システムフォルダにある参照済みの DLL ファイルと同一の名前) をアプリケーションの現在の作業ディレクトリに置く可能性があります。
通常、SafeDllSearchMode が有効になっていますが、レジストリ設定をダブルチェックするには、この手順を使用します。
開始する前に
Windowsレジストリへの変更は、極端な注意が必要です。これらの手順を使用する前に、レジストリのバックアップを作成することをお勧めします。
1 |
Windows 検索または [実行] ウィンドウで、regedit と入力し、Enter を押します。 |
2 |
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager] に移動します。 |
3 |
1 つを選択します。
|
詳細については、「ダイナミック リンク ライブラリの検索順序」を参照してください。