Dropbox Active Directory Connector

ステップ 1：AD Connector のベスト プラクティスを確認する

必須

• Active Directory から同期対象にしたいユーザーが、1 つの AD ドメインでアクティブ状態にあること
• PowerShell 4.0 以降
• Windows Server 2008 以降
• 遠隔サーバー管理ツール

推奨

• プロビジョニング対象のメンバー全員を含む、「Dropbox」というグループを 1 つ作成します。Dropbox グループにユーザーとグループの両方を含めることができます。
• 読み取り専用アクセスがあるサーバーに AD Connector をインストールします（AD Connector は AD で行った変更のみを同期します）。
• AD Connector の旧バージョンからのアップグレード：バージョン 2.0.1 からバージョン 2.0.2 にアップグレードする場合、インストールのみでアップデートできます。ただし、メジャー バージョンからメジャー バージョン（バージョン 1.0 からバージョン 2.0）にアップグレードする場合は、新しいバージョンに更新する前に現在のバージョンをアンインストールする必要があります。
• 現在リリースされている AD Connector では、同期する Active Directory のユーザー数を 1　万人未満にすることをおすすめします。AD Connector を 1 万人以上のユーザーと共有する場合は、Dropbox カスタマー サクセス チームにお問い合わせください。

ステップ 2：AD Connector Microsoft Installer（MSI）をダウンロードする

ステップ 3：AD Connector をインストールする

1. Dropbox-AD-Connector.msi インストーラを検索し実行します。
2. ［Next］をクリックして、インストール ウィザードを続行します。
3. 利用規約に同意するチェックボックスをオンにして、［Next］をクリックします。
4. ［Next］をクリックして、デフォルト パスにインストールします。
5. User Account Control（UAC）のプロンプトが表示された場合は［Install］、［Yes］の順にクリックします。
6. ［Getting Started］のチェックボックスはデフォルトでオンになっています。このガイドをすでに開いている場合はチェックボックスをオフにしてください。
7. ［Finish］をクリックしてインストールを完了します。

ステップ 4：AD Connector の設定を完了する

セットアップ

1. Configure AD Connector のショートカットをデスクトップで検索して開きます。
2. ［Get OAuth2 Token］をクリックして、Dropbox アカウントにリンクします。
   • 必要であれば、管理者の資格情報を使用して Dropbox にログインします。
   • 必要であれば、AD Connector アプリを許可します。
3. トークンをコピーします。
4. コピーしたトークンを［OAuth 2 DfB Token］のフィールドに貼り付けます。
5. セットアップ テストを実行する場合は、［Simulation Mode］のチェックボックスをオンにします。
   •  注：Simulation Mode にすると、チーム用 Dropbox には変更が反映されません。

Active Directory ユーザーの同期

1. Dropbox チームと同期させる Active Directory グループを選択します。
   • 「Dropbox」というグループ名の Active Directory を作成することがもっとも簡単な方法です
2. ［Email Attribute］が［Email Address］に設定されているか確認します。
3. ［Manage existing users］をオンにし、管理コンソールで手動で作成したユーザーに変更内容が同期されるようにします。

Active Directory グループの同期

1. Dropbox チームにグループを同期するかどうか選択します（グループの同期は省略可）。
2. グループを同期する際に、個人ユーザーの同期で選択したグループと同じグループを使用するかどうか選択します。
3. グループの同期に別のグループを使用することを選択した場合は、そのグループの名前を選択します。

ログ

1. ログ ファイルに別のパスを提供したい場合は［Change］をクリックします。
   • 注：別のファイル パスを指定しないと、ログは既定の場所（C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log）に保存されます。

メール通知

1. 同期エラーに関する通知メールが届くようにするには、［Settings］をクリックします。
   • 注：暗号化されていないポート 587 またはポート 25 を使用してください。現在、ポート 465 はご利用いただけません。
2. 各セクションを完了したら、［Test Connection］をクリックして設定が適切であることを確認します。
3. メール オプションの設定が完了したら、［OK］をクリックします。

完了

4. ［Save］をクリックし、すべての設定を保存します。

ステップ5：AD Connectorを実行してテスト実行を行い、正常に動作していることを確認します

テスト実行の方法：

1. デスクトップで Run AD Connector のショートカットを探します。
2. ［Run AD Connector］ツールを右クリックし、［Run as Administrator］を選択します。
3. 対象ユーザーがリストに含まれているか確認します。
4. 含まれている場合は Config AD Connector ツールを再び開き、［Simulation Mode］のチェックボックスをオフにします。
5. ［Run AD Connector］ツールを使用して、新規メンバーを Dropbox チームに同期します。

ステップ6：スケジュールされたタスクを見つけ、実行できるようにします

手順は以下のとおりです。

1. ［Program Files］、［Dropbox］、［AD Connector］、［Helpers］の順にアクセスします。
2. AD-Connector-CreateTask.bat のファイルを右クリックし、管理者として実行します。
3. Windows Server 用タスク スケジューラのアプリケーションを開きます。
4. 「Dropbox タスク」フォルダを開きます。
5. Dropbox AD Connector タスクを右クリックし、［Enable］をクリックします。
   • 注：タスクが見つからない場合は、タスク スケジューラ ライブラリを右クリックしてから［最新の情報に更新］をクリックしてください。
6. タスクを右クリックし、［Run］を選択します。
7. AD Connector の同期ログを検索、確認し、問題なくテストが実行されたことを確認します。
8. 管理コンソールにある［メンバー］ページで、チーム メンバーに招待メールが送信されたことを確認します。

詳細設定とトラブルシューティング（オプション）

グループと Dropbox Active Directory Connector

Active Directory のグループは Dropbox と同期しますが、Dropbox のグループは AD と同期しません。Dropbox で加えた変更は Active Directory には同期されません。Dropbox でグループを削除しても、Active Dorectory からそのグループが削除されることはありません。

特定のグループを Dropbox と Active Directory の双方から削除するには、次の手順を実行する必要があります。

• Active Directory の同期グループからメンバー全員を削除する
• ［設定］の手順で同期グループを削除する

ユーザーとグループの両方を同期する際に同じグループを選択するとどうなりますか？

同期グループに含まれていないユーザーがいるグループは Dropbox には同期されません。

別の Active Directory グループを使用してユーザー アカウントを同期した場合、グループはどのように Dropbox に同期しますか？

ユーザー同期グループ内のユーザー全員が同期されます。ユーザー同期グループ内のグループはすべて無視されます。グループ同期グループに分類されているユーザーは、ユーザー同期グループにも同じく分類されていない限り無視されます。ユーザー同期グループに分類されているグループは、グループ同期グループにも同じく分類されていない限り無視されます。

アカウント移行と Dropbox Active Directory Connector

AD Connecter は別のチーム メンバーのアカウントへの自動移行には対応していません。ただし、削除済みのアカウント（それに関連するすべてのファイルも含む）は管理コンソールで保持されますので、アカウントを移行または完全に削除することができます。

削除したユーザーのファイルを移行する方法をご覧ください。

遠隔削除と Dropbox Active Directory Connector

AD Connector を利用してユーザーを使用停止にしたり、削除したりすると、すべてのデバイスが自動的に遠隔削除されます。すべてのコンテンツを遠隔削除せずにユーザーやデバイスを削除するには、管理コンソールを使用してください。

Active Directory Connector の同期に失敗した場合、どうすればよいですか？

AD Connector を実行するたびに、ログ ファイルの末尾に終了コードが追加されます。このコードを見ると、失敗の原因や、処理のどの部分が失敗したのかがわかります。下記の表に失敗の原因をすべて例示しています。

実行が問題なく完了すると、AD Connector は「0」と記録します。

AD Connector の実行プロセスの段階は？

ステージ 1：管理対象ユーザーを確認する

AD Connector は管理対象ユーザーのみを更新します。次の項目に該当した場合、管理対象ユーザーを確認します。

1. AD Connector は最初にプロビジョニングを完了します。プロビジョニングは次の場合に行われます。
   • 設定済みの Active Directory グループにユーザーのメール アドレスが追加された場合
   • メール アドレスが Dropbox にない場合
2. Dropbox チームの既存ユーザーであること。「既存ユーザー」であるには、ユーザーのメール アドレスがチームおよび設定済みの Active Directory グループ間で一致しなければなりません。

ステージ 2：管理対象ユーザーのみユーザー情報を更新する

• ユーザーの名
• ユーザーの姓
• ユーザーのメール アドレス

ステージ 1 で確認した管理対象ユーザーについては、Dropbox と AD 間でユーザーの外部 ID が一致しているかどうかを AD Connector が確認します。

例外：AD Connector は、Dropbox で「招待済み」の状態にあるユーザーの情報を更新しません。AD Connector は次の実行時に更新を再試行します。

ステージ 3：管理対象ユーザーのみユーザー ステータスを更新する

管理対象ユーザーを無効にしても Dropbox チームから削除したことにはなりません。Active Directory の同期グループからユーザーを移動した場合も同様です。代わりに、これらのユーザーは Dropbox チームで使用停止になります。

ステージ 1 に該当する管理対象ユーザー：AD Connector は Dropbox のユーザーの状態（アクティブ、無効、削除）を更新し、AD でそのステータスが一致するようにします。