Workspace ONE のための Active Directory とコネクタ構築
はじめに
この記事では、Workspace ONE で使用する Active Directory とそれに関連するコネクタについてまとめています。どうして Active Directory が必要かについては別の記事を参照ください。
Active Directory の構成
Windows Server 2022 英語版に AD DS を追加しました。ユーザーとグループはこのような構成です。
以降の作業はすべて、コネクタ用の Windows Server で作業します。
Workspace ONE UEM のコネクタ
ACC のインストールとユーザー・ディレクトリ同期の設定です。
ACC のインストール
まず、UEM のコンソールを開いて、"グループと設定" - "すべての設定" を選択します。
"システム" - "エンタープライズ統合" - "Cloud Connector" を選択して、"現在の設定" を "オーバーライド" に変更します。
"AirWatch Cloud Connector を有効にする" を "有効" に変更します。
"保存" を選択すると、画面が切り替わるので、スクロールダウンすると、"AirWatch Cloud Connector インストーラをダウンロード" の表示があるので、クリックします。
要件に合ったパスワードを入力してダウンロードを選択します。
Microsoft Edge では、ACC のダウンロードが止められてしまうので、ダウンロードウインドウを操作して、削除されないようにしてください。
ダウンロードした ACC のインストーラを実行してインストールを進めます。
途中で、Certificate Password が求められます。先ほどコンソールで入力したパスワードを再度入力します。
TLS 1.2 のレジストリを追加した旨のウインドウが出てきます。インストールが完了しだい、サーバーを再起動します。
ディレクトリ サービス の構成
サーバーが再起動したら、ACC をインストールした設定と同じメニュー内にある、"ディレクトリ サービス" にある、"構成" を選択します。
"展開情報" では、 "SAML を認証に使用しますか?" を "いいえ" に変更して "次へ" を選択します。
"サーバ設定" では、 ADDS に関する接続情報を入力して、"次へ" を選択します。
- ディレクトリタイプ: LDAP - Active Directory
- サーバ: ADDS の FQDN
- 認証のユーザー名: ADDS の管理者アカウント
- 認証パスワード: パスワード
"ユーザーとグループ設定" では、すべて "はい" に変更して、"次へ" を選択します。
最後に、"加入の認証方法としてディレクトリサービスを有効化します" を "はい" に変更して、"完了" します。
"次のステップ" の画面は閉じてください。
画面が切り替わりますので、入力した情報が正しいか確認してください。特に、ドメイン名が入っていないと先に進めません。
接続テストで設定を確認することもできます。
ベース DN が無いとのエラーが出る場合は、
画面上部の "ユーザー" と "グループ" で、ベース DN の設定が必要です。
Active Directory のユーザーやグループを検索するベース DN を入力して保存してください。
Active Directory のグループに含まれるユーザーの自動同期
Active Directory のユーザーを自動で追加するように設定します。
"アカウント" - "ユーザーグループ" - "リスト表示" から、"ユーザーグループを追加" を選択します。
"外部タイプ" が "グループ" になっていることを確認して、"テキスト検索" に Active Directory のグループ名を入力して "検索" します。すると、画面下の "グループ名" に対象のグループが出てきますので、選択します。
スクロールダウンすると、 "ユーザーグループ設定" がありますので、 "カスタム" に変更して、 "グループメンバーを自動で追加" を "有効" に変更して、"保存" を選択します。
画面が戻りますので、画面中央右上あたりにある読み込みボタンをクリックすると、設定した Active Directory のグループのユーザーが増えたことが分かります。
Active Directory のユーザーを手動で追加
Active Directory のユーザーを手動で追加する場合の方法です。
コンソール上部の "追加" から、"ユーザー" を選択します。
"ユーザーを追加/編集" 画面が表示されます。"ユーザー名" に Active Directory のユーザーを入力すれば、そのユーザーを追加できます。
Workspace ONE Access コネクタ
Workspace ONE Access Connector のインストールとユーザー・ディレクトリ同期の設定です。
Workspace ONE Access コネクタをインストール
Workspace ONE Access 管理コンソールの "統合" - "コネクタ" - "新規" を選択します。
"OK" を選択します。
"確認" を選択します。
"新しいコネクタを追加" のウインドウに切り替わります。Workspace ONE Access Connector のインストーラーをダウンロードして "次へ" を選択します。
構成ファイルに必要なパスワードを入力して、構成ファイルをダウンロードします。ダウンロードできたら、"次へ" を選択します。
"閉じる" を選択して終了します。
ダウンロードした、Workspace ONE Access Connector を実行してインストールを進めます。Visual C++ の再配布パッケージが必要ですが、自動でインストールが始まりますので、"Install" を選択して進めます。
画面を進めて行くと、"Service Selection" の画面が途中で表示されます。今回は、ディレクトリ同期の設定のみが必要なので、"Directory Sync Service" と "User Auth Service" だけをインストールするように変更して進めます。
次の画面では、先ほどダウンロードした構成ファイルと、そのパスワードを指定して進めます。
Completed の表示で完了です。
管理コンソールに戻って、画面右にある読み込みボタンをクリックして、健全性に緑のチェックマークが出たら完了です。
ディレクトリ同期の設定
管理コンソールで、"統合" - "ディレクトリ" - "ディレクトリを追加" から、"Active Directory" を選択します。
"ディレクトリ名" に Active Directory のディレクトリ名を入力、"タイプ" を "統合 Windows 認証を使用する Active Directory" に変更して、"次へ" を選択します。
スクロールダウンして、"バインド ユーザーの詳細" にある、"バインド ユーザー名" と "バインド ユーザー パスワード" に ACC で設定したような管理者アカウントを指定して "保存" します。
ドメインを選択して "保存" します。
"ユーザー属性をマップ" は変更せず "保存" します。
"同期するグループを追加します" の "+追加" を選択します。
GUI で、グループのベース DN を手っ取り早く取得したいので、"Active Directory ユーザーとコンピューター" を開き、[表示] メニューの "拡張機能" を有効にしてから、
同期対象の OU のプロパティから属性エディタを開き、distinguishedName の値をコピーします。
名前にコピーした値を貼り付けて、"追加" を選択します。
画面が戻りますので、"グループを選択" を選択します。
先ほど設定した OU に含まれるグループが表示されて、選択されていることを確認して、"保存" します。
"グループの同期" を保存した後、"ユーザーの同期" の設定もありますが、個別では追加しないので、そのまま "保存" します。
"同期間隔" はお好みのタイミングに変更して、"保存して同期する" を選択します。
追加したディレクトリが表示されますので、リンクをクリックします。
"同期" から、 "セーフガードを使用しない同期" を選択して同期します。
"更新して変更を確認します" が表示されますので、選択します。
"ログの同期" を選択すると、同期状況が表示されます。アラートがあるため、確認してみます。
よくあるミスです。管理者アカウントのメールアドレスが、Active Directory のユーザー上で設定されていないので同期できません。Active Directory 上で再度設定後、同じように、"セーフガードを使用しない同期" を行って、同期を完了させます。
管理コンソールの "アカウント" を選択すると、同期されたユーザーを確認することができます。
まとめ
これで、Workspace ONE UEM と Workspace ONE Access に対して、ユーザーとグループの同期を Active Directory を起点に実施できるようになりました。
Workspace ONE を試すための道のり
こちらのスクラップで紹介していますので、見ていただけると嬉しいです
Discussion