本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
Microsoft Active Directoryからのコンピュータグループの追加
Deep Securityでは、Microsoft Active DirectoryなどのLDAPサーバを使用してコンピュータを検出し、ユーザアカウントやその連絡先を作成できます。Deep Security Managerがサーバから検出したコンピュータグループがディレクトリの構造に従って表示されます。
- Deep Security Managerで、[コンピュータ] をクリックします。
- メイン画面で、[追加]→[Active Directoryの追加] の順にクリックします。
-
Active Directoryサーバのホスト名またはIPアドレス、名前、説明、およびポート番号を入力します。アクセス方法と資格情報も入力します。次のガイドラインに従います。
- アクセス方法がLDAPSである場合、[サーバのアドレス] は、Active DirectoryのSSL証明書で使用されている共通名 (CN) と一致している必要があります。
- [名前] はActive Directoryのディレクトリ名と一致していなくてもかまいません。
- [サーバのポート] は、Active DirectoryのLDAPポートまたはLDAPSポートです。初期設定は389 (LDAPおよびStartTLS) および636 (LDAPS) です。
- [ユーザ名] にはドメイン名が含まれている必要があります。例:EXAMPLE/Administrator
- FIPSモードでDeep Securityを使用している場合は、[信頼された証明書] セクションの [接続テスト] をクリックして、Active DirectoryのSSL証明書がDeep Security Managerに正常にインポートされたかどうかを確認します。
[次へ] をクリックして続行します。
- ディレクトリのスキーマを指定します。スキーマをカスタマイズしていない場合は、Microsoft Active Directoryサーバの初期設定値のままでかまいません。Deep Security Managerでは、各コンピュータの [詳細] 画面に [説明] フィールドがあります。Active Directoryの「コンピュータ」オブジェクトクラスの属性を使用して [説明] フィールドに入力するには、[コンピュータの詳細の属性] テキストボックスに属性名を入力します。Deep Security Managerのディレクトリ構造とActive Directoryサーバとの同期を自動的に維持する場合は、[このディレクトリとの同期をとる予約タスクの作成] を選択します。をディレクトリの追加が完了すると、予約タスクウィザードが表示されます。(この設定は、予約タスクウィザード ([管理]→[予約タスク]) を使用して後から行うことができます)。
- [次へ] をクリックして続行します。
-
Managerによるディレクトリのインポートが完了すると、追加されたコンピュータのリストが表示されます。[完了] をクリックします。
[コンピュータ] 画面にディレクトリ構造が表示されます。
Active Directoryのその他のオプション
Active Directory構造を右クリックすると、次のオプションが表示されます。これらのオプションは、ディレクトリ以外のコンピュータグループには使用できません。
- ディレクトリの削除
- 今すぐ同期
ディレクトリの削除
Deep Security Managerからディレクトリを削除するときは、次のオプションを使用できます。
- ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します: ディレクトリのデータをすべて削除します。
- ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: インポートされたディレクトリ構造を、同じ構成の通常のコンピュータグループに変換します。Active Directoryサーバとのリンクは解除されます。
- ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: Active Directoryサーバへのリンクを削除し、ディレクトリ構造を破棄し、すべてのコンピュータを同じコンピュータグループに配置します。
今すぐ同期
Deep Security ManagerとActive Directoryサーバとの同期を手動で開始して、コンピュータグループの情報を更新することができます。
サーバ証明書を使用する
Active DirectoryサーバでSSLを有効にしていない場合は有効にします。
コンピュータの検出にはSSL/TLSまたは暗号化されていないクリアテキストを使用できますが、ユーザアカウント (パスワードや連絡先を含む) のインポートには認証とSSL/TLSが必要です。
SSL/TLS接続には、Active Directoryサーバのサーバ証明書が必要です。SSL/TLSのハンドシェイクで、この証明書がサーバを証明する識別情報としてサーバからクライアントに渡されます。この証明書には、自己署名証明書または認証局 (CA) が署名した証明書を使用できます。サーバに証明書があるかどうかを確認するには、Active DirectoryサーバでInternet Information Services (IIS) Managerを開いて、[サーバー証明書] を選択します。サーバに署名入りのサーバ証明書がない場合はインストールする必要があります。
ユーザおよび連絡先をインポートする
Deep Securityでは、Active Directoryからユーザアカウント情報をインポートして、対応するDeep Securityのユーザまたは連絡先を作成できます。この機能には次の利点があります。
- ユーザはActive Directoryで定義されたネットワークパスワードを使用できる。
- 管理者は、Active Directory内からアカウントを集中的に削除できます。
- Active Directory内の既存情報を利用できるため、連絡先情報 (メール、電話番号など) の保守が簡単になる。
ユーザと連絡先の両方をActive Directoryからインポートできます。ユーザにはDeep Security Managerの設定権限が付与されます。連絡先はDeep Security Managerの通知のみ受信することができます。同期ウィザードを使用すると、ユーザとしてインポートするActive Directoryオブジェクトと、連絡先としてインポートするActive Directoryオブジェクトを選択できます。
- [管理]→[ユーザ管理] の順にクリックし、[ユーザ] または [連絡先] をクリックします。
- [ディレクトリとの同期] をクリックします。
ユーザまたは連絡先情報をはじめてインポートする場合は、サーバ情報の画面が表示されます。それ以外の場合は、ディレクトリとの同期ウィザードが表示されます。 - 適切なアクセスオプションを選択し、ログオン資格情報を入力して、[次へ] をクリックします。
-
同期するグループを左の列から選択し、[>>] をクリックして右の列に追加し、[次へ] をクリックします。
複数のグループを選択するには、<Shift> または <Ctrl> キーを押しながらグループをクリックします。
- ディレクトリグループのすべてのメンバーにDeep Securityの同じ役割を割り当てるかディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てるかを選択し、初期設定の役割をリストから選択して、[次へ] をクリックします。
-
ディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てた場合は、各グループの同期オプションを指定し、[次へ] をクリックします。
同期後、インポートしたオブジェクト数を示すレポートが生成されます。
同期が完了する前に、ユーザおよび連絡先を定期的に同期する予約タスクを作成することもできます。 - [完了] をクリックします。
インポートしたアカウントは一般情報を変更できないため、本来の (インポートしていない) Deep Securityアカウントと簡単に区別することができます。
Active Directoryオブジェクトの同期を維持する
一度インポートしたActive Directoryオブジェクトは、Active Directoryサーバと継続的に同期して、最新のアップデートを反映させる必要があります。その結果、たとえばActive Directoryでコンピュータを削除した場合、Deep Security Managerでも該当するコンピュータが削除されます。Deep Security ManagerにインポートされたActive Directoryオブジェクトが引き続きActive Directoryと同期されるようにするには、Active Directoryのデータを同期する予約タスクを設定することが必要です。コンピュータのインポートウィザードには、これらの予約タスクを作成するためのオプションが用意されています。
このタスクは予約タスクウィザードを使用して作成することもできます。必要に応じて同期を実行するには、コンピュータの場合は [今すぐ同期] オプションを使用し、ユーザおよび連絡先の場合は [ディレクトリとの同期] ボタンを使用します。
Active Directoryとの同期を無効にする
コンピュータグループとユーザアカウントの両方について、Deep Security ManagerとActive Directoryとの同期を中止できます。
Active Directoryとの同期からコンピュータグループを削除する
- [コンピュータ] に移動します。
- ディレクトリを右クリックし、[ディレクトリの削除] を選択します。
-
Deep Security Managerとの同期が中断された場合に、このディレクトリのコンピュータのリストをどのように処理するかを次の中から選択します。
- ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します: このディレクトリ構造を削除します。
- ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: フォルダやコンピュータに対するユーザおよび役割ごとのアクセス権限を含む、既存の構造を維持します。
- ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: ディレクトリにちなんだ名前を持つグループ内のフラットなコンピュータのリストにディレクトリ構造を変換します。新しいコンピュータグループでは、以前の構造と同じユーザおよび役割ごとのアクセス権限が維持されます。
- 確認して処理を開始します。
Active Directoryのユーザおよび連絡先を削除する
コンピュータグループのディレクトリを削除する場合とは異なり、ユーザおよび連絡先を削除すると、該当するすべてのアカウントがDeep Security Managerから削除されます。そのため、ディレクトリサーバからインポートしたユーザアカウントでDeep Security Managerにログインしているときは削除することはできません。この処理を実行すると、エラーが表示されます。
- [ユーザ] または [連絡先] で [ディレクトリとの同期] をクリックします。
- [同期を中止する] を選択して、[OK] をクリックします。
- [完了] をクリックします。