Google Cloud Platform と Active Directory の連携: ユーザー アカウントの同期

このガイドは、Active Directory ベースの既存の ID 管理ソリューションを Google Cloud Platform(GCP)に拡張する方法について説明するシリーズの第 2 部です。このガイドでは、Google Cloud Directory Sync(GCDS)を使用して、Active Directory と Cloud Identity の間のアカウント同期を設定する方法を説明します。

シリーズは次のパートで構成されています。

このガイドでは、すでに Active Directory フォレストを使用していて、そのフォレスト内のすべてのドメインを Cloud Identity に同期すると想定しています。

このガイドの手順を行うには、ユーザーの管理権限を持つ Active Directory アカウントにアクセスできる必要があります。また、まだ Cloud Identity アカウントを取得していない場合は、ドメインを検証するために DNS ゾーンへの管理アクセス権限が必要です。すでにアカウントをお持ちの場合は、そのユーザー アカウントに Cloud Identity での特権管理者権限があることを確認してください。

目標

  • Cloud Directory Sync をインストールして、Active Directory と Cloud Identity に接続します。
  • ユーザー アカウントが Cloud Identity と同期されるように Cloud Directory Sync を構成します。
  • スケジュールが設定されたタスクを登録して Cloud Identity と継続的に同期されるようにします。

料金

Cloud Identity Free Edition をお使いの場合、このガイドの手順で課金対象の GCP コンポーネントは使用しません。

始める前に

  • Active Directory ID 管理を GCP に拡張する方法を十分に理解します。
  • ID、グループ、ドメインのマッピング方法を決定します。具体的には、次の質問に対する回答を確認します。

    • Cloud Identity のプライマリ ドメインとしてどの DNS ドメインを使用するか。Cloud Identity でセカンダリ ドメインとしてどの追加 DNS ドメインを使用するか。
    • ドメイン置換を使用する必要があるか。
    • メールアドレス(mail)とユーザー プリンシパル名(userPrincipalName)のどちらをユーザー アカウントの共通 ID として使用するか。
    • グループを同期するか。同期する場合はメールアドレス(mail)と共通名(cn)のどちらをグループの共通 ID として使用するか。

    上記を決定する際の指針については、Active Directory の ID とアクセス管理の GCP への拡張に関する概要ドキュメントをご覧ください。

  • 本番環境の Active Directory を GCP に接続する前に、Active Directory のテスト環境を使用してアカウントの同期の設定とテストを行うことをおすすめします。

  • まだアカウントを取得していない場合は Cloud Identity に登録し、必要に応じて DNS ドメインを追加してください。

  • Cloud Identity Free Edition を使用して同期するユーザーが 50 人を超える場合は、サポートに連絡して無償の割り当て量の増加をリクエストしてください。

Cloud Directory Sync のデプロイの計画

Cloud Directory Sync のデプロイ先の決定

Cloud Directory Sync では、LDAP ディレクトリのユーザー アカウントとグループを Cloud Identity と同期できます。Cloud Directory Sync は LDAP サーバーと Cloud Identity の仲介役として機能し、LDAP ディレクトリにクエリを行って必要な情報をディレクトリから取得し、Directory API を使用して Cloud Identity でアカウントを追加、変更、削除します。

Active Directory ドメイン サービスは LDAP ベースであるため、Cloud Directory Sync は Active Directory と Cloud Identity 間のアカウント同期を実装するのに適しています。

オンプレミスの Active Directory インフラストラクチャを GCP に接続する場合、Cloud Directory Sync はオンプレミスでも、GCP 内の Compute Engine 仮想マシンでも実行できます。ほとんどの場合は、Cloud Directory Sync をオンプレミスで実行するようにおすすめします。

  • Active Directory で管理される情報には、個人を特定できる情報が含まれ、通常は機密と見なされるため、ローカル ネットワーク外から Active Directory にアクセスされないようにする必要があります。
  • デフォルトの場合、Active Directory では暗号化されていない LDAP が使用されます。GCP 内から Active Directory にリモートでアクセスする場合は、暗号化通信を使用する必要があります。LDAP/S や Cloud VPN を使用すると接続を暗号化できますが、それによって設定が複雑になります。
  • Cloud Directory Sync から Cloud Identity への通信は HTTPS を介して実施されるため、ファイアウォールの構成変更は一切またはほとんど必要ありません。

Cloud Directory Sync は Windows と Linux のいずれでも実行できます。Cloud Directory Sync はドメイン コントローラにデプロイできますが、できれば別のマシンで実行することをおすすめします。Cloud Directory Sync を実行するマシンはシステム要件を満たし、Active Directory への LDAP アクセス権が必要です。このマシンがドメインに参加していることや Windows を実行していることは前提条件ではありませんが、このガイドではドメインに参加している Windows マシンで Cloud Directory Sync が実行されていると想定しています。

同期の設定を支援するために、Cloud Directory Sync には構成マネージャというグラフィック ユーザー インターフェース(GUI)が組み込まれています。Cloud Directory Sync を実行するサーバーにデスクトップ エクスペリエンスの機能があれば、サーバー自体で構成マネージャを実行できます。デスクトップ エクスペリエンスがない場合は、構成マネージャをローカルで実行し、実行によって生成された構成ファイルをサーバーにコピーする必要があります。サーバーではそのファイルを使用して同期を実施できます。このガイドでは、GUI を使用してサーバーで構成マネージャを実行すると想定しています。

データの取得元の決定

Cloud Directory Sync では LDAP を使用して Active Directory にアクセスし、ユーザー アカウントとグループに関する情報を取得します。この実行を可能にするには、構成内のホスト名とポートを Cloud Directory Sync に指定する必要があります。グローバル カタログ サーバーを 1 つだけ稼働するような小規模の Active Directory 環境では、Cloud Directory Sync をそのグローバル カタログ サーバーに直接ポイントできるため、ホスト名とポートを指定することによる問題は生じません。

冗長性を備えたグローバル カタログ サーバーが稼働する複雑な環境では、Cloud Directory Sync で単一のサーバーをポイントしても冗長性を活用できなくなるため、適切ではありません。LDAP クエリを複数のグローバル カタログ サーバーに分散するロードバランサを設定して、一時的に使用できなくなったサーバーを追跡することもできますが、サーバーを動的に特定する DC ロケータ メカニズムの使用をおすすめします。

現在、Cloud Directory Sync 自体は、DC ロケータ メカニズムの使用をサポートしていません。このガイドでは、簡単な PowerShell スクリプトによって Cloud Directory Sync を補完して DC ロケータ メカニズムが使用されるようにすることで、グローバル カタログ サーバーのエンドポイントを静的に構成する必要をなくします。

Cloud Identity の構成

同期に使用される Cloud Identity ユーザー アカウントの作成

アカウントを同期するには Cloud Directory Sync が Cloud Identity と情報をやり取りする必要があります。ユーザー(状況によっては、グループや組織単位も含む)の作成、一覧表示、および削除は、管理者権限を必要とする Cloud Identity のオペレーションです。

Cloud Identity に登録した時点で、特権管理者アカウントが 1 つ作成されています。Cloud Directory Sync にはこのアカウントも使用できますが、Cloud Directory Sync 専用に別個のアカウントを作成することをおすすめします。手順は次のとおりです。

  1. 管理コンソールを開き、Cloud Identity への登録時に作成した特権管理者アカウントを使用してログインします。
  2. メニューの [Directory] > [Users] をクリックし、[+] アイコンをクリックしてユーザーを作成します。
  3. 使用する名前とメールアドレスを次のように入力します。

    1. First Name: Active Directory
    2. Last Name: Synchronizer
    3. Primary email: ad-synchronizer

    メールアドレスのプライマリ ドメインは、同期元のフォレストにそのドメインが対応していない場合でもそのまま保持してください。

  4. [Automatically generate a new password] が [Disabled] に設定されていることを確認し、パスワードを入力します。

  5. [Ask for a password change at the next sign-in] が [Disabled] に設定されていることを確認します。

  6. [Add New User] をクリックします。

  7. [Done] をクリックします。

Cloud Directory Sync でユーザー アカウントとグループの作成、一覧表示、削除を有効にするには、アカウントに追加の権限が必要です。また、そのアカウントはシングル サインオンの対象から外すことをおすすめします。そうでないと、シングル サインオンの問題が発生したときに、Cloud Directory Sync の再承認ができなくなる可能性があります。上記の操作はいずれもアカウントを特権管理者にすることで実施できます。

  1. 新しく作成したユーザーを一覧から見つけて開きます。
  2. [Admin roles and privileges] で [Assign Roles] をクリックします。
  3. Super Admin の役割を有効にします。
  4. [Save] をクリックします。

API アクセスの有効化

Cloud Directory Sync では Cloud Identity API を使用してアカウントが同期されます。そのため、まずこの API を有効にします。

  1. 管理コンソールのメニューで [Security] > [Settings] を選択します。
  2. [API reference] をクリックして API 関連の設定を表示します。
  3. [Enable API access] ボックスがオンになっていることを確認します。
  4. 画面下部の [Save] をクリックします。すでに API アクセスを有効にしている場合は、この手順をスキップできます。

Active Directory の同期の構成

同期する Active Directory ユーザー アカウントの作成

Cloud Directory Sync で Active Directory からユーザーとグループに関する情報を取得するには、十分なアクセス権限を持つドメイン アカウントが Cloud Directory Sync に必要です。既存の Windows アカウントをこの目的に転用するのではなく、Cloud Directory Sync 専用のアカウントを作成してください。

  1. [Active Directory ユーザーとコンピューター] スナップインを開きます。
  2. ユーザーを作成するドメインと組織単位に移動します。フォレスト内に複数のドメインがある場合は、Cloud Directory Sync のマシンと同じドメインでユーザーを作成します。
  3. 右側のウィンドウ ペインを右クリックし、[新規作成] > [ユーザー] を選択します。
  4. 使用する名前とメールアドレスを次のように入力します。
    1. : Google Cloud
    2. : Directory Sync
    3. ユーザー ログオン名: gcds
    4. ユーザー ログオン名(Windows 2000 より前): gcds
  5. [次へ] をクリックします。
  6. パスワード ポリシーに従ったパスワードを入力します。
  7. [ユーザーは次回のログオン時にパスワード変更が必要] をオフにします。
  8. [パスワードを無期限にする] を選択します。
  9. [次へ] をクリックし、[完了] をクリックします。

これで Cloud Directory Sync をインストールするための前提条件が整いました。

Google Cloud Directory Sync のインストール

Cloud Directory Sync を実行するマシンCloud Directory Sync のインストーラをダウンロードして実行します。ブラウザを使用してダウンロードを行うのではなく、次の PowerShell コマンドを使用してインストーラをダウンロードできます。

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

ダウンロードが完了したら、次のコマンドを実行してインストール ウィザードを起動できます。

.\dirsync-win64.exe

Cloud Directory Sync の構成用フォルダの作成

Cloud Directory Sync の構成は XML ファイルに保存されます。この構成には Google に対する Cloud Directory Sync の認証に使用される OAuth 更新トークンが含まれるため、この構成に使用されるフォルダは適切に保護する必要があります。

さらに、このフォルダ以外に Cloud Directory Sync からアクセスする必要があるローカル リソースはないため、制限ユーザー アカウント LocalService として実行されるよう Cloud Directory Sync を構成します。

  1. Cloud Directory Sync をインストールしたマシンでドメイン アカウントまたはローカル管理者アカウントを使用してログインします。
  2. 管理者権限がある PowerShell コンソールを開きます。
  3. 次のコマンドを実行して、構成を保存するフォルダを $Env:ProgramData\gcds という名前で作成し、アクセス制御リスト(ACL)を適用して Cloud Directory Sync と管理者だけがそのフォルダにアクセスできるようにします。

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. コマンド Write-Host $Env:ProgramData を実行して、ProgramData フォルダの場所を特定します。英語版の Windows の場合、この場所のパスは通常、c:\ProgramData になります。このパスは後で必要になります。

Google への接続

ここで、構成マネージャを使用して Cloud Directory Sync の構成を準備します。以下の手順では、Cloud Directory Sync を実行する予定のサーバーと同じサーバーで構成マネージャを実行すると想定しています。

別のマシンで構成マネージャを実行する場合は、後で構成ファイルを Cloud Directory Sync サーバーにコピーする必要があります。また、別のマシンでは構成のテストができないことがあるので注意してください。

  1. 構成マネージャを起動します。構成マネージャは Windows の [スタート] メニューから [Google Cloud Directory Sync] > [Configuration Manager] と選択します。
  2. [Google Domain Configuration] > [Connection Settings] の順にクリックします。

    [Google Domain Configuration] > [Connection Settings]

  3. [Primary Domain Name] に Cloud Identity アカウントのプライマリ ドメインを入力します。複数のフォレストから 1 つの Cloud Identity アカウントに同期する場合、プライマリ ドメイン名は現在設定中のフォレストとは異なるフォレストに対応している場合があります。

  4. [Authorize Now] をクリックします。

  5. ダイアログで [Sign-in] をクリックすると、ログイン用のブラウザ ウィンドウが開きます。Internet Explorer のデフォルトである安全性の高い構成を使用すると、複数の警告メッセージが表示されることがあります。その際は URL をローカルのパソコンにコピーして、そのパソコンで URL を開くことができます。

    GCDS の承認

  6. Google のログインページが表示されたら、新しく作成した Google アカウント ad-synchronizer と、そのアカウントに指定したパスワードを使用してログインします。

    シングル サインオン(SSO)を使用するように Cloud Identity アカウントをすでに構成している場合、自動的に Active Directory フェデレーション サービス(AD FS)のログインページにリダイレクトされる場合があります。このページでは ad-synchronizer アカウントを使用してログインできません。この場合は [Sign-in] をもう一度クリックし、Escape キーを押してページの読み込みを停止します。ブラウザのアドレスバーに表示されている URL から &hd=[PRIMARY_DOMAIN-name] パラメータを削除し、Enter キーを押します。この手順で Google のログインページを強制的に開くことができます。

  7. このアカウントを初めて使用するので、Cloud Identity の使用条件への同意が求められます。条件に同意する場合は [Accept] をクリックします。

  8. 次の画面では、ad-synchronizer アカウントで Cloud Identity アカウント内のデータにアクセスして変更することを承認するように求められます。承認を確定するには [Allow] をクリックします。

    ad-synchronizer による Cloud Identity アカウント内のデータへのアクセスの承認

  9. 次のページにコードが表示されます。そのコードをコピーして構成マネージャ ダイアログの該当する入力フィールドに貼り付け、[Validate] をクリックします。

  10. 検証結果に「Success: Connected to Google」と表示されたら、検証は正常に終了しています。[Close] をクリックします。検証に失敗した場合は、Cloud Directory Sync アカウントを使用してログインしていること、そのアカウントに適切な管理者権限が割り当てられていることを確認します。

  11. メニューで [File] > [Save as] をクリックします。

  12. ファイル ダイアログにファイル名として「[PROGRAM_DATA]\gcds\config.xml」と入力します。[PROGRAM_DATA] は、前の手順で PowerShell コマンドの実行時に返された ProgramData フォルダへのパスで、置き換えます。

  13. [Save]、[OK] の順にクリックします。

Active Directory への接続

次の手順では、Active Directory に接続するように Cloud Directory Sync を構成します。

  1. 構成マネージャで、[LDAP Configuration] > [Connection Settings] の順にクリックします。
  2. 以下の設定を構成します。
    1. Server Type: [MS Active Directory] を選択します。
    2. Connection Type: [Standard LDAP] を選択します。
    3. Host Name: グローバル カタログ サーバーの名前を入力します。この設定はテスト専用です。グローバル カタログ サーバーの検出は後で自動化します。
    4. Port: 3268。ドメイン コントローラの代わりにグローバル カタログ サーバーを使用すると、Active Directory フォレストのすべてのドメインのアカウントを同期できるようにします。
    5. Authentication Type: Simple
    6. Authorized User: 前の手順で作成したドメイン ユーザーのユーザー プリンシパル名(UPN)、「gcds@[UPN_SUFFIX_DOMAIN]」を入力します。[UPN_SUFFIX_DOMAIN] はそのユーザーの適切な UPN サフィックスのドメインに置き換えます。また、[NETBIOS-DOMAIN-NAME]\gcds 構文を使用してもユーザーを指定できます。
    7. Base DN: このフィールドは空にして、フォレスト内のすべてのドメインに対して検索が行われるようにします。
  3. 設定を検証するには、[Test connection] をクリックします。接続に失敗した場合は、グローバル カタログ サーバーのホスト名を指定していること、ユーザー名とパスワードが正しいことを再確認してください。エラー メッセージで Base DN の指定が求められた場合は無視してください。
  4. [Close] をクリックします。
  5. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

同期対象の決定

Cloud Identity と Active Directory の双方への接続に成功したら、同期対象の項目を決定できます。

  1. 構成マネージャで [General Settings] をクリックします。
  2. [User Accounts] が選択されていることを確認します。
  3. グループを同期する場合は [Groups] がオンになっていることを確認し、そうでない場合はこのチェックボックスをオフにします。
  4. 組織単位の同期についてはこのガイドの説明には含まれないため、[Organizational Units] はオフにしておいてください。
  5. [User Profiles] と [Custom Schemas] はオフのままにします。
  6. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

ユーザー アカウントの同期

アカウント マッピングの構成

次の手順では、Active Directory と Cloud Identity の間でユーザー アカウントをどのようにマッピングするかを構成します。

  1. 構成マネージャで、[User Accounts] > [Additional User Attributes] の順にクリックします。
  2. [Use defaults] をクリックすると、属性 [Given Name] と [Family Name] にそれぞれ [givenName] と [sn] が自動的に入力されます。

残りの設定は、Active Directory から Cloud Identity ユーザー アカウントへのマッピングに UPN とメールアドレスのどちらを使用するか、さらにドメイン名の置換を適用する必要があるかどうかによって異なります。最適なオプションが不明の場合は、Active Directory ID 管理を GCP に拡張する方法の記事をご覧ください。

UPN

  1. 構成マネージャで [User Accounts] > [User Attributes] の順にクリックします。
  2. 以下の設定を構成します。
    1. Email Address Attribute: userPrincipalName
    2. User Identifier Attribute: objectGUID
  3. [Search Rules] タブをクリックし、[Add Search Rule] をクリックします。
  4. 次の設定を入力します。

    1. Scope: サブツリー
    2. Rule:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      このルールでは、無効になっていないすべてのユーザー アカウントが照合対象になりますが、コンピュータ アカウントとマネージド サービス アカウントは無視されます。

    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインを検索対象にします。

  5. [OK] をクリックしてルールを作成します。

  6. [Exclusion Rules] タブをクリックし、[Add Exclusion Rule] をクリックします。Cloud Directory Sync で Active Directory からの読み取りに使用されるアカウントが Cloud Identity に同期されないようにするには、次の設定を入力します。

    1. Exclude Type: ユーザーのメールアドレス
    2. Match Type: 完全一致
    3. Exclusion Rule: gcds@[UPN_SUFFIX_DOMAIN]. [UPN_SUFFIX_DOMAIN] は Active Directory で使用されている UPN サフィックスのドメインに置き換えます。
  7. [OK] をクリックします。

  8. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

UPN: ドメイン置換

  1. 構成マネージャで、[User Accounts] > [User Attributes] タブの順にクリックします。
  2. 以下の設定を構成します。
    1. Email Address Attribute: userPrincipalName
    2. User identifier Attribute: objectGUID
  3. [OK] をクリックしてルールを作成します。
  4. [Search Rules] タブをクリックし、[Add Search Rule] をクリックします。
  5. 次の設定を入力します。

    1. Scope: サブツリー
    2. Rule:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      このルールでは、無効になっていないすべてのユーザー アカウントが照合対象になりますが、コンピュータ アカウントとマネージド サービス アカウントは無視されます。

    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインを検索対象にします。

  6. [OK] をクリックしてルールを作成します。

  7. [Exclusion Rules] タブをクリックし、[Add Exclusion Rule] をクリックします。Cloud Directory Sync で Active Directory からの読み取りに使用されるアカウントが Cloud Identity に同期されないようにするには、次の設定を入力します。

    1. Exclude Type: ユーザーのメールアドレス
    2. Match Type: 完全一致
    3. Exclusion Rule: gcds@[PRIMARY_DOMAIN][PRIMARY_DOMAIN] はお使いの Cloud Identity アカウントのプライマリ ドメインに置き換えます。
  8. [OK] をクリックします。

  9. [Google Domain Configuration] > [Connection Settings] の順にクリックし、[Replace domain names in LDAP email addresses with this domain name] を選択します。

  10. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

メール

  1. 構成マネージャで [User Accounts] > [User Attributes] の順にクリックします。
  2. 以下の設定を構成します。
    1. Email Address Attribute: mail
    2. User identifier Attribute: objectGUID
  3. [Search Rules] タブをクリックし、[Add Search Rule] をクリックします。
  4. 次の設定を入力します。

    1. Scope: サブツリー
    2. Rule:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      このルールでは、メールアドレスが空でなく、無効になっていないすべてのユーザー アカウントが照合対象になりますが、コンピュータ アカウントとマネージド サービス アカウントは無視されます。

    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインを検索対象にします。

  5. [OK] をクリックしてルールを作成します。

  6. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

メール: ドメイン置換

  1. 構成マネージャで [User Accounts] > [User Attributes] の順にクリックします。
  2. 以下の設定を構成します。
    1. Email Address Attribute: mail
    2. User identifier Attribute: objectGUID
  3. [Search Rules] タブをクリックし、[Add Search Rule] をクリックします。
  4. 次の設定を入力します。

    1. Scope: サブツリー
    2. Rule:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      このルールでは、メールアドレスが空でなく、無効になっていないすべてのユーザー アカウントが照合対象になりますが、コンピュータ アカウントとマネージド サービス アカウントは無視されます。

    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインを検索対象にします。

  5. [OK] をクリックしてルールを作成します。

  6. [Google Domain Configuration] > [Connection Settings] の順にクリックし、[Replace domain names in LDAP email addresses with this domain name] を選択します。

  7. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

削除ポリシー

ここまでの構成では、Cloud Identity のユーザー アカウントの追加と更新に重点を置いてきました。ただし、Active Directory で無効化または削除されたユーザー アカウントが Cloud Identity で停止または削除されるという点も重要です。

Cloud Directory Sync では、同期プロセスの一環として Active Directory LDAP クエリ結果の中に対応する一致項目のない、Cloud Identity のユーザー アカウントのリストが生成されます。LDAP クエリには句 (!(userAccountControl:1.2.840.113556.1.4.803:=2) が組み込まれているため、このリストには、最後の同期の実行以降に Active Directory で無効になったか削除されたアカウントも含まれます。Cloud Directory Sync のデフォルトの動作では、こうしたアカウントのユーザーは Cloud Identity から削除されますが、この動作はカスタマイズできます。

  1. 構成マネージャで [User Accounts] > [User Attributes] の順にクリックします。
  2. [Google Domain Users Deletion/Suspension Policy] で [Don't suspend or delete Google domain admins not found in LDAP] がオンになっていることを確認します。これを設定しておくと、Cloud Identity の構成に使用した特権管理者アカウントが Cloud Directory Sync で停止されたり削除されたりすることはありません。
  3. 必要に応じて管理者以外のアカウントの削除ポリシーを変更します。
  4. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

Cloud Directory Sync のインスタンスを複数使用してさまざまなドメインやフォレストを 1 つの Cloud Identity アカウントに同期する場合、Cloud Directory Sync のインスタンス同士が干渉し合わないようにします。デフォルトのままにすると、別のソースから同期された Cloud Identity のユーザー アカウントが、Active Directory では削除済みとして誤判定されます。このような事態が起こらないようにするには、現在の同期元以外のドメインやフォレストの Cloud Identity ユーザー アカウントがすべて無視されるように、Cloud Directory Sync を構成します。

UPN

  1. 構成マネージャで、[Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: ユーザーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      [UPN_SUFFIX_DOMAIN] は、次の例のように、使用する UPN サフィックスのドメインに置き換えます。

      .*@((?!corp.example.com).*)$

      複数の UPN サフィックスのドメインを使用する場合は、式を次のように拡張します。

      .*@((?!corp.example.com|branch.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

UPN: ドメイン置換

  1. 構成マネージャで、[Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: ユーザーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      [SUBSTITUTION_DOMAIN] には、次の例のように、UPN サフィックスのドメインの置き換え用のドメインを指定します。

      .*@((?!corp.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

メール

  1. 構成マネージャで、[Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: ユーザーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![MX_DOMAIN]).*)$

      [MX_DOMAIN] は、次の例のように、メールアドレスで使用するドメイン名に置き換えます。

      .*@((?!corp.example.com).*)$

      複数の UPN サフィックスのドメインを使用する場合は、式を次のように拡張します。

      .*@((?!corp.example.com|branch.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

メール: ドメイン置換

  1. 構成マネージャで、[Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: ユーザーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      [SUBSTITUTION_DOMAIN] には、次の例のように、メールドメインの置き換え用のドメインを指定します。

      .*@((?!corp.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

グループの同期

次の手順では、Active Directory と Cloud Identity の間でグループをどのようにマッピングするかを構成します。このプロセスは、グループのマッピングに共通名とメールアドレスのどちらを使用するかによって異なります。

共通名によるグループのマッピングの構成

まず同期するセキュリティ グループの種類を指定し、次に、該当する LDAP クエリを公式化します。次の表に、利用可能な共通的なクエリを示します。

種類 LDAP クエリ
ドメイン ローカル グループ (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
グローバル グループ (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
ユニバーサル グループ (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
グローバル グループとユニバーサル グループ (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))

グローバル グループのクエリでは、ドメイン コントローラなどの Active Directory で定義されたグループも対象になります。この種のグループは、組織単位(ou)を基準にして検索を絞り込むことでフィルタリングできます。

残りの設定は、Active Directory から Cloud Identity ユーザー アカウントへのマッピングに UPN とメールアドレスのどちらを使用するかによって異なります。

UPN

  1. 構成マネージャで、[Groups] > [Search Rules] の順にクリックします。
  2. [Add Search Rule] をクリックして、ユーザー アカウントとグループのメンバーを取り込むルールを追加します。
  3. 以下の設定を構成します。
    1. Scope: サブツリー
    2. Rule: LDAP クエリを入力します。
    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインのグループをクエリ対象にします。
  4. [Groups] ボックスに次の設定を入力します。
    1. Group Email Address Attribute: cn
    2. Group Display Name Attribute: name
    3. Group Description Attribute: description
    4. User Email Name Attribute: userPrincipalName
  5. [Members] ボックスに次の設定を入力します。
    1. Member Reference Attribute: member
    2. 残りのフィールドは空白のままにしておきます。
  6. [Owners] ボックスに次の設定を入力します。
    1. Owner Reference Attribute: managedBy
    2. 残りのフィールドは空白のままにしておきます。
  7. [Prefix-Suffix] タブをクリックします。
  8. [Group Email Address] ボックスに次の設定を入力します。
    1. Suffix: @[PRIMARY_DOMAIN][PRIMARY_DOMAIN] はお使いの Cloud Identity アカウントのプライマリ ドメインに置き換える必要があります。Cloud Directory Sync によってドメインが自動的に追加されるため、この設定は重複があるように見えますが、この設定を明示的に指定することで、Cloud Directory Sync インスタンスが複数ある場合に、インスタンスが自ら追加していないグループ メンバーを消去してしまわないようにする必要があります。例: @example.com.
    2. [OK] をクリックします。
  9. [Add Search Rule] をクリックして、ネストされたグループ メンバーを取り込むためのルールを追加します。
  10. 以下の設定を構成します。
    1. Scope: サブツリー
    2. Rule: 同じ LDAP クエリを入力します。
    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインのグループをクエリ対象にします。
  11. [Groups] ボックスに次の設定を入力します。
    1. Group Email Address Attribute: cn
    2. Group Display Name Attribute: name
    3. Group Description Attribute: description
    4. User Email Name Attribute: cn
  12. [Members] ボックスに次の設定を入力します。
    1. Member Reference Attribute: member
    2. 残りのフィールドは空白のままにしておきます。
  13. [Owners] ボックスに次の設定を入力します。
    1. Owner Reference Attribute: managedBy
    2. 残りのフィールドは空白のままにしておきます。
  14. [Prefix-Suffix] タブをクリックします。
  15. [Group Email Address] ボックスに次の設定を入力します。
    • Suffix: @[PRIMARY_DOMAIN][PRIMARY_DOMAIN] はお使いの Cloud Identity アカウントのプライマリ ドメインに置き換える必要があります。
  16. [OK] をクリックします。
  17. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

メール

  1. 構成マネージャで、[Groups] > [Search Rules] の順にクリックします。
  2. [Add Search Rule] をクリックして、どちらのグループ メンバーも取り込むルールを追加します。
  3. 以下の設定を構成します。
    1. Scope: サブツリー
    2. Rule: LDAP クエリを入力します。
    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインのグループをクエリ対象にします。
  4. [Groups] ボックスに次の設定を入力します。
    1. Group Email Address Attribute: cn
    2. Group Display Name Attribute: name
    3. Group Description Attribute: description
    4. User Email Name Attribute: mail
  5. [Members] ボックスに次の設定を入力します。
    1. Member Reference Attribute: member
    2. 残りのフィールドは空白のままにしておきます。
  6. [Owners] ボックスに次の設定を入力します。
    1. Owner Reference Attribute: managedBy
    2. 残りのフィールドは空白のままにしておきます。
  7. [OK] をクリックします。
  8. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

ユーザー アカウントのマッピング時にドメイン置換を使用した場合も同じ設定が適用されます。

メールアドレスによるグループのマッピングの構成

まず同期するセキュリティ グループの種類を指定し、次に、該当する LDAP クエリを公式化します。次の表に、利用可能な共通的なクエリを示します。

種類 LDAP クエリ
メールアドレスを使用するドメイン ローカル グループ (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
メールアドレスを使用するグローバル グループ (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
メールアドレスを使用するユニバーサル グループ (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
メールアドレスを使用するグローバル グループとユニバーサル グループ (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))

残りの設定は、Active Directory から Cloud Identity ユーザー アカウントへのマッピングに UPN とメールアドレスのどちらを使用するかによって異なります。

UPN

  1. 構成マネージャで、[Groups] > [Search Rules] の順にクリックします。
  2. [Add Search Rule] をクリックして、どちらのグループ メンバーも取り込むルールを追加します。
  3. 以下の設定を構成します。
    1. Scope: サブツリー
    2. Rule: LDAP クエリを入力します。
    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインのグループをクエリ対象にします。
  4. [Groups] ボックスに次の設定を入力します。
    1. Group Email Address Attribute: mail
    2. Group Display Name Attribute: name
    3. Group Description Attribute: description
    4. User Email Name Attribute: userPrincipalName
  5. [Members] ボックスに次の設定を入力します。
    1. Member Reference Attribute: member
    2. 残りのフィールドは空白のままにしておきます。
  6. [Owners] ボックスに次の設定を入力します。
    1. Owner Reference Attribute: managedBy
    2. 残りのフィールドは空白のままにしておきます。
  7. [OK] をクリックします。
  8. [Add Search Rule] をクリックして、ネストされたグループ メンバーを取り込むためのルールを追加します。
  9. 以下の設定を構成します。
    1. Scope: サブツリー
    2. Rule: 同じ LDAP クエリを入力します。
    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインのグループをクエリ対象にします。
  10. [Groups] ボックスに次の設定を入力します。
    1. Group Email Address Attribute: mail
    2. Group Display Name Attribute: name
    3. Group Description Attribute: description
    4. User Email Name Attribute: mail
  11. [Members] ボックスに次の設定を入力します。
    1. Member Reference Attribute: member
    2. 残りのフィールドは空白のままにしておきます。
  12. [Owners] ボックスに次の設定を入力します。
    1. Owner Reference Attribute: managedBy
    2. 残りのフィールドは空白のままにしておきます。
  13. [OK] をクリックします。
  14. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

メール

  1. 構成マネージャで、[Groups] > [Search Rules] の順にクリックします。
  2. [Add Search Rule] をクリックして、どちらのグループ メンバーも取り込むルールを追加します。
  3. 以下の設定を構成します。
    1. Scope: サブツリー
    2. Rule: LDAP クエリを入力します。
    3. Base DN: 空白のままにして、フォレスト内のすべてのドメインのグループをクエリ対象にします。
  4. [Groups] ボックスに次の設定を入力します。
    1. Group Email Address Attribute: mail
    2. Group Display Name Attribute: name
    3. Group Description Attribute: description
    4. User Email Name Attribute: mail
  5. [Members] ボックスに次の設定を入力します。
    1. Member Reference Attribute: member
    2. 残りのフィールドは空白のままにしておきます。
  6. [Owners] ボックスに次の設定を入力します。
    1. Owner Reference Attribute: managedBy
    2. 残りのフィールドは空白のままにしておきます。
  7. [OK] をクリックします。
  8. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

ユーザー アカウントのマッピング時にドメイン置換を使用した場合も同じ設定が適用されます。

削除ポリシー

Cloud Directory Sync では、グループの削除もユーザーの場合と同様に処理されます。Cloud Directory Sync のインスタンスを複数使用してさまざまなドメインやフォレストを 1 つの Cloud Identity アカウントに同期する場合、Cloud Directory Sync のインスタンス同士が干渉し合わないようにします。

デフォルトのままにすると、別のソースから同期された Cloud Identity のユーザー アカウントが、Active Directory では削除済みとして誤判定されます。このような事態が起こらないようにするには、現在の同期元以外のドメインやフォレストの Cloud Identity ユーザー アカウントがすべて無視されるように、Cloud Directory Sync を構成します。

UPN

  1. [Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: グループ メンバーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![UPN_SUFFIX_DOMAIN]).*)$

      [UPN_SUFFIX_DOMAIN] は、次の例のように、使用する UPN サフィックスのドメインに置き換えます。

      .*@((?!corp.example.com).*)$

      複数の UPN サフィックスのドメインを使用する場合は、式を次のように拡張します。

      .*@((?!corp.example.com|branch.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

UPN: ドメイン置換

  1. [Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: グループ メンバーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      [SUBSTITUTION_DOMAIN] には、次の例のように、UPN サフィックスのドメインの置き換え用のドメインを指定します。

      .*@((?!corp.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

メール

  1. [Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: グループ メンバーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![MX_DOMAIN]).*)$

      [MX_DOMAIN] は、次の例のように、メールアドレスで使用するドメイン名に置き換えます。

      .*@((?!corp.example.com).*)$

      複数の UPN サフィックスのドメインを使用する場合は、式を次のように拡張します。

      .*@((?!corp.example.com|branch.example.com).*)$
  4. [OK] をクリックしてルールを作成します。

メール: ドメイン置換

  1. [Google Domain Configuration] > [Exclusion Rules] の順にクリックします。
  2. [Add Exclusion Rule] をクリックします。
  3. 以下の設定を構成します。

    1. Type: グループ メンバーのメールアドレス
    2. Match Type: 正規表現
    3. Exclusion Rule: 単一の UPN サフィックスのドメインを使用する場合は、次の正規表現を入力します。

      .*@((?![SUBSTITUTION_DOMAIN]).*)$

      [SUBSTITUTION_DOMAIN] には、次の例のように、メールドメインの置き換え用のドメインを指定します。

      .*@((?!corp.example.com).*)$
    4. [OK] をクリックしてルールを作成します。

ロギングと通知の構成

Active Directory と Cloud Identity を同期した状態に保持するには、スケジュールに従って Cloud Directory Sync を定期的に実行する必要があります。Cloud Directory Sync でログファイルが作成されるよう構成すると、Cloud Directory Sync の動作や潜在的な問題を追跡できます。

  1. 構成マネージャで [Logging] をクリックします。
  2. [File name] を [PROGRAM_DATA]\gcds\gcds_sync.log に設定します。[PROGRAM_DATA] は、前の手順で PowerShell コマンドの実行時に返された ProgramData フォルダへのパスで、置き換えます。
  3. [File] > [Save] の順にクリックして構成変更をディスクに commit し、[OK] をクリックします。

ロギング以外に、Cloud Directory Sync ではメール通知が送信されるようにも構成できます。このサービスを有効にするには、[Notifications] をクリックし、お使いのメールサーバーの接続情報を指定します。

同期の初期起動

これで Cloud Directory Sync の構成が完了しました。Cloud Directory Sync をスケジュールに基づいて実行するためのタスクを設定する前に、同期を手動で起動して設定を検証できます。

警告

  • 同期を起動すると、Cloud Identity アカウント内のユーザー アカウントとグループに永続的な変更が行われます。
  • 同期するユーザー アカウント数が多い場合は、一時的に LDAP クエリを変更して、多数のユーザー アカウントのうち一部だけを対象にすることを検討してください。この一部のアカウントを使用して、同期をテストし、必要に応じて設定を調整できます。結果の検証が正しく行われたら、LDAP クエリを元に戻して、残りのアカウントを同期します。
  • 同期をテストする際は、多数のユーザー アカウントを繰り返し変更したり削除したりしないでください。そのような操作は不適切な動作として問題が報告される場合があります。

同期は次のように起動します。

  1. 構成マネージャで [Sync] をクリックします。
  2. 画面下部で [Clear cache] を選択し、[Sync & apply changes] をクリックします。

    同期のステータスを示すダイアログが表示されます。

  3. 同期が完了したら、このダイアログの下半分に表示されるログを確認します。

    1. [Successful user changes] で、ユーザーが 1 件以上作成されていることを確認します。
    2. [Failures] で、同期中に障害が発生していないことを確認します。

グループを同期する場合は、残りのログに警告がいくつか表示される場合がありますが、通常は無視しても問題ありません。

スケジュール

  1. 管理者として PowerShell コンソールを開きます。
  2. 次のようにして、システムで Active Directory PowerShell モジュールが使用できるかどうかを確認します。

    import-module ActiveDirectory

    コマンドが失敗した場合、リモート サーバー管理ツールをダウンロードおよびインストールしてから、コマンドを再実行してみてください。

  3. メモ帳を使ってファイルを作成し、ファイルに次の内容をコピーして $Env:ProgramData\gcds\sync.ps1 に保存します。保存し終えたらファイルを閉じます。

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True, Position=1)]
        [string]$config,
    
        [Parameter(Mandatory=$True, Position=1)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using Global Catalog server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use Global Catalog port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Run synchronization.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --loglevel INFO --config ""$targetConfigPath"""
    
  4. 構成マネージャでは、構成ファイル内の認証情報を暗号化するための秘密鍵が作成されています。スケジュールに基づくタスクとして実行されたときでも Cloud Directory Sync が構成を読み取れるようにするため、次のコマンドを実行して自分のプロファイルから NT AUTHORITY\LOCAL SERVICE のプロファイルに秘密鍵をコピーしてください。

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force
    
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    コマンドが失敗した場合は、PowerShell コンソールを管理者として開始したかどうかを確認します。

  5. 次のコマンドを実行して、スケジュールに基づくタスクを作成します。このタスクは 1 時間ごとに起動し、sync.ps1 スクリプトを NT AUTHORITY\LOCAL SERVICE として呼び出します。

    $taskName = "Synchronize to Cloud Identity"
    
    $arguments = [string]::Format('-ExecutionPolicy Bypass -NoProfile {0}\gcds\sync.ps1 -config {0}\gcds\config.xml -gcdsInstallationDir ''{1}\Google Cloud Directory Sync''', $Env:ProgramData, $Env:Programfiles)
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument $arguments
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $Task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

同期のテスト

これで Cloud Directory Syn のインストールと構成が完了しました。スケジュールに基づくタスクによって同期が 1 時間ごとに起動されます。

手動で同期を起動するには、PowerShell コンソールに切り替えて、次のコマンドを実行します。

$taskName = "Synchronize to Cloud Identity"
Start-ScheduledTask $taskName

クリーンアップ

Cloud Directory Sync の削除は次の手順で行います。

  1. Windows コントロール パネルを開き、[プログラム] > [プログラムのアンインストール] の順にクリックします。
  2. [Google Cloud Directory Sync] を選択し、[アンインストール] または [変更] をクリックしてアンインストール ウィザードを起動します。その後はウィザードの指示に従って操作します。
  3. PowerShell コンソールを開き、次のコマンドを実行してスケジュールに基づく同期タスクを削除します。

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. 次のコマンドを実行して構成とログファイルを削除します。

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...