対象
Active Directory より Access Control へユーザー同期およびパスワード同期を実施されるお客様が対象です。
目的
HENNGE Directory Sync Tool を導入するための手順を記載します。
注意事項
1. HENNGE Directory Sync Tool のインストール要件は下記ヘルプセンター記事内の [HENNGE Directory Sync Tool] をご参照ください。
2. 本記事は 2024 年 2 月時点で製品の内容をもとにしたものであり、以後のアップデートにより、予告なく変更される場合があります。
詳細手順・説明
HENNGE Directory Sync Tool のご利用にあたっては、以下の手順に沿って作業を実施してください。Microsoft Entra Connect の設定および同期については、本ページ末尾の情報をご確認ください。
1. 【管理者作業】Active Directory 上のユーザー整理
HENNGE Directory Sync Tool を利用して、Access Control へ同期する予定のユーザーの情報を整理します。同様に Microsoft Entra Connect の同期にあたってのユーザーの情報の整理も行います。
詳細はActive Directory 上のユーザー整理をご確認ください。
2. 【管理者作業 / 要再起動 / パスワード同期を行う場合のみ】ドメイン コントローラー全台への HDEPasswordFilter.dll インストール
Active Directory が機能するすべてのドメインコントローラーに対して、弊社が提供する HDEPasswordFilter.dll (DLL ファイル) をインストールします。
このファイルをインストールすることで、ユーザーがパスワードを変更した際に、ユーザオブジェクトの UnixUserPassword 属性にハッシュ化されたパスワードが入ります。
UnixUserPassword 属性に値が記録されることで、パスワードの変更を検知し、新たなパスワードを Access Control 側に同期できるようになります。
本 DLL ファイルは、Access Control の管理画面 (モダンビュー) からダウンロードできます。なお本作業の実施時には、ドメインコントローラーの再起動が必要です。
詳細はドメイン コントローラー全台への HDEPasswordFilter.dll インストール (WS 2016 以降)をご確認ください。
※ 本作業完了後、エンドユーザーに対して項番 7. の作業の実施を依頼して問題ありません。
3. 【管理者作業】HENNGE Directory Sync Tool のインストール
Active Directory が機能するドメインコントローラー、または Active Directory のドメインに所属するコンピューター上に HENNGE Directory Sync Tool をインストールします。
HENNGE Directory Sync Tool をインストールすることで、Active Directory 上のユーザーオブジェクトの情報を Access Control に同期できるようになります。
本ツールは、Access Control の管理画面 (モダンビュー) からダウンロードできます。
詳細は HENNGE Directory Sync Tool のインストール をご確認ください。
4. 【管理者作業】HENNGE Directory Sync Tool 実行のための API クライアントの作成
項番 5. で配置する config.ini ファイル内に記載する API クライアントの情報を取得します。API クライアントの情報は Access Control の管理画面 (モダンビュー) から API クライアントを新規作成することで、取得できます。
詳細は HENNGE Directory Sync Tool 実行のための API クライアントの作成 をご確認ください。
5. 【管理者作業】HENNGE Directory Sync Tool 設定ファイル config.ini の初回設置
項番 3. でインストールした HENNGE Directory Sync Tool をお客様の個別環境に応じて機能させるための設定ファイルである config.ini を HENNGE Directory Sync Tool をインストールしたコンピューター上に配置します。
この config.ini ファイルは、HENNGE 担当者がご提供します。
詳細は HENNGE Directory Sync Tool 設定ファイル config.ini の初回設置をご確認ください。
6. 【管理者作業】Assign-HDEOnePasswrdSyncGroup.bat の実行
Assign-HDEOnePasswrdSyncGroup.bat ファイルは、同期対象となるユーザーオブジェクトをセキュリティグループである HDE One Password Sync Group に所属させることで、ユーザー同期およびパスワード同期が必要なユーザーを抽出します。
詳細は Assign-HDEOnePasswrdSyncGroup.bat の実行をご確認ください。
7. 【エンドユーザー作業 / パスワード同期を行う場合のみ】同期するユーザーオブジェクトのパスワード変更
Access Control に同期を行うユーザーオブジェクトのパスワードを 1 回変更します。この変更を行うことで、ユーザオブジェクトの UnixUserPassword 属性にハッシュ化されたパスワードが入ります。
8. 【管理者作業 / パスワード同期を行う場合のみ】同期対象ユーザー パスワードの設定確認
項番 7. で行ったパスワード変更が、Access Control へ同期を行うすべてのユーザーオブジェクトにおいて実行されているか確認します。
詳細は同期対象ユーザー パスワードの設定確認をご確認ください。
9. 【管理者作業】HENNGE Directory Sync Tool の実行
ユーザーオブジェクト情報の同期およびパスワード同期の定期実行を行います。
ユーザーオブジェクト情報の同期は HDE One Directory Sync というサービスが、パスワード同期は HDE One Password Sync というサービスが行うため、これらのサービスを定期実行の対象とします。
この作業を実施後、デフォルトではユーザーオブジェクト情報は 2 時間に 1 回、パスワードは 3 分に 1 回の頻度で定期的に Active Directory から Access Control に同期されるようになります。
詳細は HENNGE Directory Sync Tool の実行 をご確認ください。
※【管理者作業 / 項番 2. 以降の任意のタイミングで実施】Microsoft Entra Connect (旧: Azure AD Connect) の設定およびユーザー同期・パスワード同期の開始
Active Directory から Microsoft 365 へのユーザー情報・パスワードの同期には、Microsoft 社が提供する Microsoft Entra Connect (旧: Azure AD Connect) を利用します。
Microsoft Entra Connect の設定方法およびユーザー同期・パスワード同期の方法については、Microsoft 社へお問い合わせください。