Microsoft Active
Directory インスタンスに接続する
Microsoft Active
Directory
インスタンスに接続する以下のタスクがオンプレミスの
UEM
環境に適用されます。UEM Cloud
環境で、BlackBerry Connectivity Node をインストールして設定し、会社のディレクトリに接続します。- UEMが使用できるMicrosoft Active Directoryアカウントを作成します。アカウントは、以下の要件を満たす必要があります。
- Microsoft Exchangeフォレストの一部であるWindowsドメインに配置されていることが必要です。
- ユーザーコンテナにアクセスし、Microsoft Exchangeフォレストのグローバルカタログサーバーのユーザーオブジェクトを読み取る権限を持つ必要があります。
- パスワードは、有効期限が切れないように設定し、次回のログイン時に変更する必要がないようにする必要があります。
- シングルサインオンを有効にする場合は、アカウントに制約付き委任を設定する必要があります。
- UEMサーバーもActive Directoryドメインに参加している必要があります。
- 組織でMicrosoft Exchangeリソースフォレストを使用している場合は、各ユーザーアカウントのリソースフォレストにメールボックスを作成し、アカウントフォレスト内のユーザーアカウントに関連付ける必要があります。UEMは、メールボックスを使用して、個々のドメインのユーザーアカウントを検索します。UEMにログインするユーザーを認証するには、UEMリソースフォレストの一部であるグローバルカタログサーバーに保存されるユーザー情報を読む必要があります。リソースフォレストの一部であるWindowsドメインに置かれているUEMのMicrosoft Active Directoryアカウントを作成する必要があります。ディレクトリ接続を作成するときには、Microsoft Active DirectoryアカウントのWindows資格情報、そして必要に応じてUEMが使用できるグローバルカタログサーバーの名前を提供します。
- UEM管理コンソールのメニューバーで、[設定] > [外部統合] > [会社のディレクトリ]の順にクリックします。
> [Microsoft Active Director 接続]をクリックします。- [ディレクトリ接続名]フィールドに、ディレクトリ接続の名前を入力します。
- [ユーザー名]フィールドに、Microsoft Active Directoryアカウントの名前を入力します。
- [ドメイン]フィールドに、Microsoft Exchangeフォレストの一部であるWindowsドメインの名前を DNS 形式(example.com など)で入力します。
- [パスワード]フィールドにアカウントのパスワードを入力します。
- [Kerberos キー配布センターの選択]ドロップダウンリストで、次のいずれかを実行します。
- UEMでキー配布センター(KDC)を自動的に検出することを許可するには、[自動]をクリックします。
- UEMで認証に使用する KDC のリストを指定するには、[手動]をクリックします。[サーバー名]フィールドに、DNS 形式で KDC ドメインコントローラーの名前を入力します(例:kdc01.example.com)。必要に応じて、ドメインコントローラーが使用するポート番号 (例:kdc01.example.com:88)を入力します。 をクリックし、UEMで使用する追加の KDC ドメインコントローラーを指定します。
- [グローバルカタログの選択]ドロップダウンリストで、次のいずれかを実行します。
- UEMでグローバルカタログサーバーを自動的に検出する場合、[自動]をクリックします。
- UEMで使用するグローバルカタログサーバーのリストを指定するには、[手動]をクリックします。[サーバー名]フィールドで、UEMがアクセスするグローバルカタログサーバーの DNS 名を入力します(例:globalcatalog01.example.com)。必要に応じて、グローバルカタログサーバーが使用するポート番号 (例:globalcatalog01.com:3268)を入力します。 をクリックして追加のサーバーを指定します。
- [続行]をクリックします。
- [グローバルカタログ検索ベース]フィールドで、次の操作のいずれかを実行します。
- UEMでグローバルカタログ全体の検索を許可するには、フィールドを空白にしておきます。
- UEMが認証することのできるユーザーアカウントを制御するには、ユーザーコンテナ(例:OU=sales,DC=example,DC=com)の識別名を入力します。
- グローバルグループのサポートを有効にする場合は、[グローバルグループのサポート]ドロップダウンリストで[はい]をクリックします。オンボーディングにグローバルグループを使用する場合は、[はい]を選択する必要があります。グローバルグループドメインを設定するには、[グローバルグループドメインのリスト]セクションで、 をクリックします。[ドメイン]フィールドで、追加するドメインをクリックします。[ユーザー名とパスワードを指定しますか]フィールドのデフォルトの選択は「いいえ」です。このデフォルトを選択すると、フォレスト接続のユーザー名とパスワードが使用されます。[はい]を選択した場合は、選択したドメインのActive Directoryアカウントの有効な資格情報を入力する必要があります。[KDC の選択]フィールドで、[自動]を選択して、UEMでキー配布センターを自動的に検出するか、または[手動]を選択して、UEMで認証に使用する KDC のリストを指定することができます[追加]をクリックします。
- 環境にMicrosoft Exchangeリソースフォレストが含まれている場合、リンクされているMicrosoft Exchangeメールボックスのサポートを有効にするには、[リンクされた Microsoft Exchange メールボックスのサポート]ドロップダウンリストで[はい]をクリックします。UEMでアクセスするフォレストごとにMicrosoft Active Directoryアカウントを設定するには、[アカウントフォレストのリスト]セクションで をクリックします。ユーザーのドメイン名(ユーザーはアカウントフォレスト内のドメインに属している場合があります)とユーザー名とパスワードを指定します。必要に応じて、UEMで検索する KDC を指定します。必要に応じて、UEMでアクセスするグローバルカタログサーバーを指定します。[追加]をクリックします。
- シングルサインオンを有効にするには、[Windows シングルサインオンを有効にする]チェックボックスをオンにします。シングルサインオンの詳細については、管理関連の資料の「BlackBerry UEM のシングルサインオンの設定」を参照してください。
- 会社のディレクトリからユーザーの詳細情報を同期するには、[追加のユーザーの詳細を同期]チェックボックスをオンにします。追加の詳細には、会社名とオフィスの電話番号が含まれます。
- [保存]をクリックします。
- [閉じる]をクリックします。
- 次のオプションタスクのいずれかを実行します。
- ディレクトリ接続を削除すると、そのディレクトリからUEMに追加されていたすべてのユーザーがローカルユーザーに変換されます。ユーザーがローカルユーザーに変換されると、後で会社のディレクトリへの接続を再び追加しても、ディレクトリにリンクされたユーザーには変換できません。ユーザーは引き続きローカルユーザーとして機能しますが、UEMは会社のディレクトリからの更新を同期することはできません。