Microsoft Active Directoryからのコンピュータグループの追加

Deep Securityでは、Microsoft Active DirectoryなどのLDAPサーバを使用してコンピュータを検出し、ユーザアカウントやその連絡先を作成できます。Deep Security Managerがサーバから検出したコンピュータグループがディレクトリの構造に従って表示されます。

FIPSモードでDeep Securityを使用している場合は、Active DirectoryのSSL証明書をDeep Security ManagerにインポートしてからManagerとディレクトリを接続する必要があります。信頼された証明書の管理を参照してください。
  1. ナビゲーションパネルで [コンピュータ] を右クリックし、[Active Directoryの追加] を選択します。
  2. インポートしたディレクトリの名前と説明 (Active Directory内のディレクトリの名前と同じでなくてもかまいません)、Active DirectoryサーバのIPとポート番号、およびアクセス方法と資格情報を入力します。

    [ユーザ名] フィールドのユーザ名には、ドメイン名を含める必要があります。
    FIPSモードでDeep Securityを使用している場合は、[信頼された証明書] セクションの [接続テスト] をクリックして、Active DirectoryのSSL証明書がDeep Security Managerに正常にインポートされたかどうかを確認します。

    [次へ] をクリックして続行します。

  3. ディレクトリのスキーマを指定します。スキーマをカスタマイズしていない場合は、Microsoft Active Directoryサーバの初期設定値のままでかまいません。
    Deep Security Managerでは、各コンピュータの [詳細] 画面に [説明] フィールドがあります。Active Directoryの「コンピュータ」オブジェクトクラスの属性を使用して [説明] フィールドに入力するには、[コンピュータの詳細の属性] テキストボックスに属性名を入力します。
    Deep Security Managerのディレクトリ構造とActive Directoryサーバとの同期を自動的に維持する場合は、[このディレクトリとの同期をとる予約タスクの作成] を選択します。をディレクトリの追加が完了すると、予約タスクウィザードが表示されます (この設定は、予約タスクウィザード ([管理]→[予約タスク]) を使用して後から行うことができます)。
  4. [次へ] をクリックして続行します。
  5. Managerによるディレクトリのインポートが完了すると、追加されたコンピュータのリストが表示されます。[完了] をクリックします。

    [コンピュータ] 画面にディレクトリ構造が表示されます。

Active Directoryのその他のオプション

Active Directory構造を右クリックすると、次のオプションが表示されます。これらのオプションは、ディレクトリ以外のコンピュータグループには使用できません。

  • ディレクトリの削除
  • 今すぐ同期

ディレクトリの削除

Deep Security Managerからディレクトリを削除するときは、次のオプションを使用できます。

  • ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します: ディレクトリのデータをすべて削除します。
  • ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: インポートされたディレクトリ構造を、同じ構成の通常のコンピュータグループに変換します。Active Directoryサーバとのリンクは解除されます。
  • ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: Active Directoryサーバへのリンクを削除し、ディレクトリ構造を破棄し、すべてのコンピュータを同じコンピュータグループに配置します。

今すぐ同期

Deep Security ManagerとActive Directoryサーバとの同期を手動で開始して、コンピュータグループの情報を更新することができます。

この処理は、予約タスクを作成して自動化できます。

サーバ証明書を使用する

Active DirectoryサーバでSSLを有効にしていない場合は有効にします。

コンピュータの検出にはSSL/TLSまたは暗号化されていないクリアテキストを使用できますが、ユーザアカウント (パスワードや連絡先を含む) のインポートには認証とSSL/TLSが必要です。

SSL/TLS接続には、Active Directoryサーバのサーバ証明書が必要です。SSL/TLSのハンドシェイクで、この証明書がサーバを証明する識別情報としてサーバからクライアントに渡されます。この証明書には、自己署名証明書または認証局 (CA) が署名した証明書を使用できます。 サーバに証明書があるかどうかを確認するには、Active DirectoryサーバでInternet Information Services (IIS) Managerを開いて、[サーバー証明書] を選択します。サーバに署名入りのサーバ証明書がない場合はインストールする必要があります。

Active Directoryオブジェクトをフィルタする

Active Directoryオブジェクトをインポートする場合は、検索フィルタを使用して、返されるオブジェクトを管理することができます。初期設定では、グループのみが表示されます。フィルタにパラメータを追加して、検索内容を絞り込むことができます。検索フィルタ構文の詳細については、https://msdn.microsoft.com/ja-jp/library/aa746475(v=vs.85).aspxを参照してください。

ユーザおよび連絡先をインポートする

Deep Securityでは、Active Directoryからユーザアカウント情報をインポートして、対応するDeep Securityのユーザまたは連絡先を作成できます。この機能には次の利点があります。

  • ユーザはActive Directoryで定義されたネットワークパスワードを使用できる。
  • 管理者はActive Directoryからアカウントを一元的に無効にできる。
  • Active Directory内の既存情報を利用できるため、連絡先情報 (メール、電話番号など) の保守が簡単になる。

ユーザと連絡先の両方をActive Directoryからインポートできます。ユーザにはDeep Security Managerの設定権限が付与されます。連絡先はDeep Security Managerの通知のみ受信することができます。同期ウィザードを使用すると、ユーザとしてインポートするActive Directoryオブジェクトと、連絡先としてインポートするActive Directoryオブジェクトを選択できます。

Active DirectoryのユーザアカウントをDeep Securityのユーザまたは連絡先としてDeep Securityにインポートするには、Active Directoryのユーザアカウントに属性値userPrincipalNameが設定されている必要があります (userPrincipalName属性は、Active Directoryのアカウント所有者の「ユーザログオン名」に相当します)。
  1. [管理]→[ユーザ管理] の順にクリックし、[ユーザ] または [連絡先] をクリックします。
  2. [ディレクトリとの同期] をクリックします。
    ユーザまたは連絡先情報をはじめてインポートする場合は、サーバ情報の画面が表示されます。それ以外の場合は、ディレクトリとの同期ウィザードが表示されます。
  3. 適切なアクセスオプションを選択し、ログオン資格情報を入力して、[次へ] をクリックします。
  4. 同期するグループを左の列から選択し、[>>] をクリックして右の列に追加し、[次へ] をクリックします。

    複数のグループを選択するには、<Shift> または <Ctrl> キーを押しながらグループをクリックします。

  5. ディレクトリグループのすべてのメンバーにDeep Securityの同じ役割を割り当てるかディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てるかを選択し、初期設定の役割をリストから選択して、[次へ] をクリックします。
  6. ディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てた場合は、各グループの同期オプションを指定し、[次へ] をクリックします。

    同期後、インポートしたオブジェクト数を示すレポートが生成されます。

    同期が完了する前に、ユーザおよび連絡先を定期的に同期する予約タスクを作成することもできます。

  7. [完了] をクリックします。

インポートしたアカウントは一般情報を変更できないため、本来の (インポートしていない) Deep Securityアカウントと簡単に区別することができます。

Active Directoryオブジェクトの同期を維持する

一度インポートしたActive Directoryオブジェクトは、Active Directoryサーバと継続的に同期して、最新のアップデートを反映させる必要があります。その結果、たとえばActive Directoryでコンピュータを削除した場合、Deep Security Managerでも該当するコンピュータが削除されます。Deep Security ManagerにインポートされたActive Directoryオブジェクトが引き続きActive Directoryと同期されるようにするには、Active Directoryのデータを同期する予約タスクを設定することが必要です。ホストのインポートウィザードには、これらの予約タスクを作成するためのオプションが用意されています。

このタスクは予約タスクウィザードを使用して作成することもできます。必要に応じて同期を実行するには、ホストの場合は [今すぐ同期] オプションを使用し、ユーザおよび連絡先の場合は [ディレクトリとの同期] ボタンを使用します。

必ずしもユーザおよび連絡先の同期を維持するための予約タスクを作成する必要はありません。Deep Security Managerへのログイン時に、ユーザがActive Directoryに存在するかどうかが確認されます。ユーザ名とパスワードが有効で、ユーザが所属するグループで同期が有効になっていれば、そのユーザはDeep Security Managerに追加されてログインが許可されます。

Active Directoryとの同期を無効にする

コンピュータグループとユーザアカウントの両方について、Deep Security ManagerとActive Directoryとの同期を中止できます。

Active Directoryとの同期からコンピュータグループを削除する

  1. [コンピュータ] に移動します。
  2. ディレクトリを右クリックし、[ディレクトリの削除] を選択します。
  3. 削除オプションを選択します。

    • ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します: コンピュータリストからホストレコードがすべて削除されます。
    • ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: 既存のActive Directory構造は維持されますが、Active Directoryと同期しなくなります。構造は影響を受けないため、フォルダやホストに対するユーザおよび役割のアクセス権限は維持されます。
    • ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: ホストのレコードは元の階層から削除されますが、以前のディレクトリに基づく名前の付いたグループにすべて格納されます。ディレクトリに対するユーザおよび役割のアクセス権限はこのグループに転送されるため、引き続きホストへのアクセスが可能です。
  4. 確認して処理を開始します。

Active Directoryのユーザおよび連絡先を削除する

コンピュータグループのディレクトリを削除する場合とは異なり、ユーザおよび連絡先を削除すると、該当するすべてのアカウントがDeep Security Managerから削除されます。そのため、ディレクトリサーバからインポートしたユーザアカウントでDeep Security Managerにログインしているときは削除することはできません。この処理を実行すると、エラーが表示されます。

  1. [ユーザ] または [連絡先][ディレクトリとの同期] をクリックします。
  2. [同期を中止する] を選択して、[OK] をクリックします。
  3. [完了] をクリックします。