本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Active Directoryコンピュータを追加する

Deep Securityは、Microsoft Active DirectoryなどのLDAPサーバを使用してコンピュータの検出やユーザアカウントとその連絡先の作成を行うことができます。Deep Security Managerはサーバにクエリを実行し、ディレクトリ内の構造に従ってコンピュータグループを表示します。

Deep SecurityをFIPSモードで使用している場合は、Active DirectoryのSSL証明書をDeep Security Managerにインポートしてから、マネージャをディレクトリに接続する必要があります。信頼された証明書の管理を参照してください。
  1. Deep Security Managerで、[コンピュータ] をクリックします。
  2. メイン画面で、[追加]→[Active Directoryの追加] の順にクリックします。
  3. Active Directoryサーバのホスト名またはIPアドレス、名前、説明、およびポート番号を入力します。アクセス方法と資格情報も入力します。次のガイドラインに従います。

    • アクセス方法がLDAPSである場合、[サーバのアドレス] は、Active DirectoryのSSL証明書で使用されている共通名 (CN) と一致している必要があります。
    • [名前] はActive Directoryのディレクトリ名と一致していなくてもかまいません。
    • [サーバのポート] は、Active DirectoryのLDAPポートまたはLDAPSポートです。初期設定は389 (LDAPおよびStartTLS) および636 (LDAPS) です。
    • [ユーザ名] にはドメイン名が含まれている必要があります。例:EXAMPLE/Administrator
    • Deep SecurityをFIPSモードで使用している場合は、[信頼する証明書]セクションの[ 接続テスト ]をクリックして、Active DirectoryのSSL証明書がDeep Security Managerに正常にインポートされているかどうかを確認します。

    [次へ] をクリックして続行します。

  4. ディレクトリのスキーマを指定します。スキーマをカスタマイズしていない場合は、Microsoft Active Directoryサーバの初期設定値のままでかまいません。
    Deep Security Manager内の各コンピュータの [詳細] 画面には、[説明]フィールドがあります。Active Directoryの「コンピュータ」オブジェクトクラスの属性を使用して [説明] フィールドに入力するには、[コンピュータの詳細の属性] テキストボックスに属性名を入力します。
    Active Directoryサーバと同期されたDeep Security Managerでこの構造を自動的に保持する場合は、[ 予約タスク ]を選択して、このディレクトリ を同期します。ディレクトリの追加が完了すると、予約タスクウィザードが表示されます。(この設定は、予約タスクウィザード ([管理]→[予約タスク]) を使用して後から行うことができます)。
  5. [次へ] をクリックして続行します。
  6. Managerによるディレクトリのインポートが完了すると、追加されたコンピュータのリストが表示されます。[完了] をクリックします。

    [コンピュータ] 画面にディレクトリ構造が表示されます。

Active Directoryのその他のオプション

Active Directory構造を右クリックすると、次のオプションが表示されます。これらのオプションは、ディレクトリ以外のコンピュータグループには使用できません。

  • ディレクトリの削除
  • 今すぐ同期

ディレクトリの削除

Deep Security Managerからディレクトリを削除する場合、次のオプションがあります。

  • ディレクトリおよびすべての下位コンピュータ/グループをDeep Security Managerから削除します: ディレクトリのデータをすべて削除します。
  • ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: インポートされたディレクトリ構造を、同じ構成の通常のコンピュータグループに変換します。Active Directoryサーバとのリンクは解除されます。
  • ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: Active Directoryサーバへのリンクを削除し、ディレクトリ構造を破棄し、すべてのコンピュータを同じコンピュータグループに配置します。

今すぐ同期

Deep Security Managerを手動で起動してActive Directoryサーバと同期し、コンピュータグループの情報を更新できます。

この処理は、予約タスクを作成して自動化できます。

サーバ証明書を使用する

Active DirectoryサーバでSSLを有効にしていない場合は有効にします。

コンピュータの検出にはSSL/TLSまたは暗号化されていないクリアテキストを使用できますが、ユーザアカウント (パスワードや連絡先を含む) のインポートには認証とSSL/TLSが必要です。

SSL/TLS接続には、Active Directoryサーバのサーバ証明書が必要です。SSL/TLSのハンドシェイクで、この証明書がサーバを証明する識別情報としてサーバからクライアントに渡されます。この証明書には、自己署名証明書または認証局 (CA) が署名した証明書を使用できます。サーバに証明書があるかどうかを確認するには、Active DirectoryサーバでInternet Information Services (IIS) Managerを開いて、[サーバー証明書] を選択します。サーバに署名入りのサーバ証明書がない場合はインストールする必要があります。

ユーザおよび連絡先をインポートする

Deep Securityは、 Active Directoryからユーザアカウント情報をインポートし、対応するDeep Securityユーザまたは連絡先を作成できます。この機能には次の利点があります。

  • ユーザはActive Directoryで定義されたネットワークパスワードを使用できる。
  • 管理者は、Active Directory内からアカウントを集中的に削除できます。
  • Active Directory内の既存情報を利用できるため、連絡先情報 (メール、電話番号など) の保守が簡単になる。

ユーザと連絡先の両方をActive Directoryからインポートできます。Deep Security Managerの設定権限があるユーザです。連絡先は、 Deep Security Manager通知のみを受信できます。同期ウィザードを使用すると、ユーザとしてインポートするActive Directoryオブジェクトと、連絡先としてインポートするActive Directoryオブジェクトを選択できます。

成功したのDeep Securityユーザーまたは連絡先としてのDeep SecurityへのActive Directoryのユーザーアカウントをインポートするには、Active Directoryのユーザーアカウントが のuserPrincipalName 属性値を持っている必要があります。(userPrincipalName属性は、Active Directoryのアカウント所有者の「ユーザログオン名」に相当します)。
  1. [管理]→[ユーザ管理] の順にクリックし、[ユーザ] または [連絡先] をクリックします。
  2. [ディレクトリとの同期] をクリックします。
    ユーザまたは連絡先情報をはじめてインポートする場合は、サーバ情報の画面が表示されます。それ以外の場合は、ディレクトリとの同期ウィザードが表示されます。
  3. 適切なアクセスオプションを選択し、ログオン資格情報を入力して、[次へ] をクリックします。
  4. 同期するグループを左の列から選択し、[>>] をクリックして右の列に追加し、[次へ] をクリックします。

    複数のグループを選択するには、<Shift> または <Ctrl> キーを押しながらグループをクリックします。

  5. すべてのディレクトリグループメンバーに同じDeep Securityの役割を割り当てるか、ディレクトリグループのメンバーシップに基づいてDeep Securityの役割を割り当てるかを選択し、リストから初期設定の役割を選択して、[ ] [次へ] []の順にクリックします。
  6. ディレクトリグループメンバシップに基づいてDeep Securityの役割を割り当てた場合は、グループごとに同期オプションを指定し、[ 次へ]の順にクリックします。

    同期後、インポートしたオブジェクト数を示すレポートが生成されます。

    同期が完了する前に、ユーザおよび連絡先を定期的に同期する予約タスクを作成することもできます。
  7. [完了] をクリックします。

インポートしたオーガニック(インポートされていない) Deep Securityアカウントとインポートされたアカウントの違いを確認できます。これらのアカウントの一般情報は変更できません。

Active Directoryオブジェクトの同期を維持する

一度インポートしたActive Directoryオブジェクトは、Active Directoryサーバと継続的に同期して、最新のアップデートを反映させる必要があります。これにより、たとえば、 Active Directoryで削除されたコンピュータもDeep Security Managerで削除されます。Deep Security ManagerにインポートされたActive DirectoryオブジェクトをActive Directoryと同期させて保持するには、ディレクトリデータを同期する予約タスクを設定することが不可欠です。コンピュータのインポートウィザードには、これらの予約タスクを作成するためのオプションが用意されています。

このタスクは予約タスクウィザードを使用して作成することもできます。必要に応じて同期を実行するには、コンピュータの場合は [今すぐ同期] オプションを使用し、ユーザおよび連絡先の場合は [ディレクトリとの同期] ボタンを使用します。

必ずしもユーザおよび連絡先の同期を維持するための予約タスクを作成する必要はありません。ログオン時、 Deep Security ManagerはユーザがActive Directoryに存在するかどうかを確認します。ユーザ名とパスワードが有効で、そのユーザが同期が有効になっているグループに属している場合、ユーザはDeep Security Managerに追加され、ログインできるようになります。
Active Directory内のアカウントを無効にしても、削除しないと、そのユーザはDeep Security Managerに表示され、アクティブになります。

Active Directoryとの同期を無効にする

Deep Security Managerがコンピュータグループとユーザアカウントの両方に対してActive Directoryと同期するのを停止できます。

Active Directoryとの同期からコンピュータグループを削除する

  1. [コンピュータ] に移動します。
  2. ディレクトリを右クリックし、[ディレクトリの削除] を選択します。
  3. Deep Security Managerとの同期が中断された場合に、このディレクトリのコンピュータのリストをどのように処理するかを次の中から選択します。

    • Deep Security Managerからディレクトリおよびすべての下位コンピュータ/グループを削除します。:このディレクトリの構造を削除します。
    • ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: フォルダやコンピュータに対するユーザおよび役割ごとのアクセス権限を含む、既存の構造を維持します。
    • ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: ディレクトリにちなんだ名前を持つグループ内のフラットなコンピュータのリストにディレクトリ構造を変換します。新しいコンピュータグループでは、以前の構造と同じユーザおよび役割ごとのアクセス権限が維持されます。
  4. 確認して処理を開始します。

Active Directoryのユーザおよび連絡先を削除する

コンピュータグループのディレクトリクエリを削除する場合と異なり、ユーザと連絡先のクエリを削除すると、 Deep Security Managerからすべてのアカウントが削除されます。その結果、Directory ServerからインポートされたユーザアカウントでDeep Security Managerにログインしている間は削除できません。この処理を実行すると、エラーが表示されます。

  1. [ユーザ] または [連絡先][ディレクトリとの同期] をクリックします。
  2. [同期を中止する] を選択して、[OK] をクリックします。
  3. [完了] をクリックします。