Dropbox Active Directory Connector

2022 年 4 月 13 日から、Active Directory Connector には TLS 1.2 以降を使用した呼び出しが必要となります。上記の日付以降、TLS 1.0 と 1.1 を使用した呼び出しのサポートは終了します。

サービスの中断を避けるため、できる限り早急に TLS 構成を更新してください。

特定の種類の管理者は Active Directory を使用してチーム用 Dropbox のメンバーシップを管理することができます。Dropbox Active Directory Connector では、Active Directory に加えた変更がすべて自動的に Dropbox に同期されます。

注：Dropbox 管理コンソールで管理対象となるユーザー設定を変更すると、AD（Active Directory）Connector により上書きされます。ただし、Dropbox 管理コンソールで管理対象外のユーザー設定を変更または追加しても、AD に反映されることはありません。

チーム用 Dropbox アカウントで AD Connector を設定する方法の詳細については、ID 管理パートナーにお問い合わせください。

この記事のセクション:

ステップ 1：AD Connector のベストプラクティスを確認する

必須事項:

Active Directory から同期対象にしたいユーザーが、1 つの AD ドメインでアクティブ状態にあること
PowerShell 4.0 以降
Windows Server 2008 以降
遠隔サーバー管理ツール

推奨手順:

プロビジョニング対象のメンバー全員を含む、「Dropbox」というグループを 1 つ作成します。Dropbox グループにユーザーとグループの両方を含めることができます。
読み取り専用アクセスがあるサーバーに AD Connector をインストールします（AD Connector は AD で行った変更のみを同期します）。
AD Connector の旧バージョンからのアップグレード：バージョン 2.0.1 からバージョン 2.0.2 にアップグレードする場合、インストールのみでアップデートできます。ただし、メジャーバージョンからメジャーバージョン（バージョン 1.0 からバージョン 2.0）にアップグレードする場合は、新しいバージョンに更新する前に現在のバージョンをアンインストールする必要があります。
現在リリースされている AD Connector では、同期する Active Directory のユーザー数を 1　万人未満にすることをおすすめします。AD Connector を 1 万人以上のユーザーと共有する場合は、Dropbox カスタマーサクセスチームにお問い合わせください。

ステップ 2：AD Connector Microsoft Installer（MSI）をダウンロードする

インストーラをダウンロード

ステップ 3：AD Connector をインストールする

Dropbox-AD-Connector.msi インストーラを検索し実行します。
［Next］をクリックして、インストールウィザードを続行します。
利用規約に同意するチェックボックスをオンにして、［Next］をクリックします。
［Next］をクリックして、デフォルトパスにインストールします。
User Account Control（UAC）のプロンプトが表示された場合は［Install］、［Yes］の順にクリックします。
［Getting Started］のチェックボックスはデフォルトでオンになっています。このガイドをすでに開いている場合はチェックボックスをオフにしてください。
［Finish］をクリックしてインストールを完了します。

ステップ 4：Configure AD Connector ツールをセットアップする

AD Connector の設定を完了するには、次の 5 つの手順を行います。

セットアップ
Active Directory ユーザーの同期
Active Directory グループの同期
ログ
メール通知

設定を完了するには、各手順に忠実に従ってください。

セットアップ

Configure AD Connector のショートカットをデスクトップで検索して開きます。
［Get OAuth2 Token］をクリックして、Dropbox アカウントにリンクします。
- 必要であれば、管理者のアカウント情報を使用して Dropbox にログインします
- 必要であれば、AD Connector アプリを許可します。
トークンをコピーします。
コピーしたトークンを［OAuth 2 DfB Token］のフィールドに貼り付けます。
セットアップテストを実行する場合は、［Simulation Mode］のチェックボックスをオンにします。
- 注：Simulation Mode にすると、チーム用 Dropbox には変更が反映されません。

Active Directory ユーザーの同期

Dropbox チームと同期させる Active Directory グループを選択します。
- 「Dropbox」というグループ名の Active Directory を作成することがもっとも簡単な方法です
［Email Attribute］が［Email Address］に設定されているか確認します。
［Manage existing users］をオンにし、管理コンソールで手動で作成したユーザーに変更内容が同期されるようにします。

Active Directory グループの同期

Dropbox チームにグループを同期するかどうか選択します（グループの同期は省略可）。
グループを同期する際に、個人ユーザーの同期で選択したグループと同じグループを使用するかどうか選択します。
グループの同期に別のグループを使用することを選択した場合は、そのグループの名前を選択します。

ログ

ログファイルに別のパスを提供したい場合は［Change］をクリックします。
- 注：別のファイルパスを指定しないと、ログは既定の場所（C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log）に保存されます。

メール通知

同期エラーに関する通知メールが届くようにするには、［Settings］をクリックします。
- 注：暗号化されていないポート 587 またはポート 25 を使用してください。現在、ポート 465 はご利用いただけません。
各セクションを完了したら、［Test Connection］をクリックして設定が適切であることを確認します。
メールオプションの設定が完了したら、［OK］をクリックします。

完了

［Save］をクリックし、すべての設定を保存します。

ステップ 5：Run AD Connector のテストを実行し、問題なく動作するか確認する

デスクトップで Run AD Connector のショートカットを探します。
［Run AD Connector］ツールを右クリックし、［Run as Administrator］を選択します。
対象ユーザーがリストに含まれているか確認します。
含まれている場合は Config AD Connector ツールを再び開き、［Simulation Mode］のチェックボックスをオフにします。
［Run AD Connector］ツールを使用して、新規メンバーを Dropbox チームに同期します。

ステップ 6：スケジュール設定されたタスクを見つけ、有効にして実行する

［Program Files］、［Dropbox］、［AD Connector］、［Helpers］の順にアクセスします。
AD-Connector-CreateTask.bat のファイルを右クリックし、管理者として実行します。
Windows Server 用タスクスケジューラのアプリケーションを開きます。
「Dropbox タスク」フォルダを開きます。
Dropbox AD Connector タスクを右クリックし、［Enable］をクリックします。
- 注：タスクが見つからない場合は、タスクスケジューラライブラリを右クリックしてから［最新の情報に更新］をクリックしてください。
タスクを右クリックし、［Run］を選択します。
問題なくテストが実行されたことを確認します。AD Connector の同期ログを検索しチェックしてください。
チームメンバーに招待メールが送信されたことを確認します。管理コンソールの［メンバー］ページで確認してください。

スケジュール設定されたタスクの作成に関する注意点:

デフォルトでは、このタスクは毎日 1 回 2:00 AM（現地時間）に実行するように設定されています。
タスクの実行頻度を増やす場合、3 時間に 1 回以上実行することはおすすめしません。
スケジュール設定されたタスク同士が互いを妨げることがないように、［Settings］タブにある［Do not start a new instance］オプションを選択してください。

詳細設定とトラブルシューティング（オプション）

グループと Dropbox Active Directory Connector

Active Directory のグループは Dropbox と同期しますが、Dropbox のグループは AD と同期しません。Dropbox で加えた変更は Active Directory には同期されません。Dropbox でグループを削除しても、Active Dorectory からそのグループが削除されることはありません。特定のグループを Dropbox と Active Directory の双方から削除するには、次の手順を実行する必要があります。

Active Directory の同期グループからメンバー全員を削除する
［設定］の手順で同期グループを削除する

注意点：

Active Directory と Dropbox に同じ名前のグループが複数ある場合、グループ同期は失敗し、エラーが記録されます。
Dropbox の他のグループ内にグループをネストすることはできません。Dropbox のグループは階層化できません。それぞれのグループは非階層型で、他のグループは含まれていません。

ユーザーとグループの両方を同期する際に同じグループを選択するとどうなりますか？

同期グループに含まれていないユーザーがいるグループは Dropbox には同期されません。

別の Active Directory グループを使用してユーザーアカウントを同期した場合、グループはどのように Dropbox に同期しますか？

ユーザー同期グループ内のユーザー全員が同期されます。ユーザー同期グループ内のグループはすべて無視されます。グループ同期グループに分類されているユーザーは、ユーザー同期グループにも同じく分類されていない限り無視されます。ユーザー同期グループに分類されているグループは、グループ同期グループにも同じく分類されていない限り無視されます。

アカウント移行と Dropbox Active Directory Connector

AD Connecter は別のチームメンバーのアカウントへの自動移行には対応していません。ただし、削除済みのアカウント（それに関連するすべてのファイルも含む）は管理コンソールで保持されますので、アカウントを移行または完全に削除することができます。

削除したユーザーのファイルを移行する方法をご覧ください。

遠隔削除と Dropbox Active Directory Connector

AD Connector を利用してユーザーを使用停止にしたり、削除したりすると、すべてのデバイスが自動的に遠隔削除されます。すべてのコンテンツを遠隔削除せずにユーザーやデバイスを削除するには、管理コンソールを使用してください。

Active Directory Connector の同期に失敗した場合、どうすればよいですか？

AD Connector を実行するたびに、ログファイルの末尾に終了コードが追加されます。このコードを見ると、失敗の原因や、処理のどの部分が失敗したのかがわかります。下記の表に失敗の原因をすべて例示しています。

注：実行が問題なく完了すると、AD Connector は「0」と記録します

コード	失敗の原因	エラーの解決方法
SSL/TLS のセキュリティで保護されているチャネルを作成できませんでした	サーバーまたはクライアントが TLS 1.2 に対応していません	最新バージョンの AD Connector にアップデートして（上の手順 2 を参照）、サーバーが TLS 1.2 に対応していることを確認してください
-1	Powershell のバージョンがサポートされていない	Powershell 4、5 以降にアップグレードしてください。
-10	設定ファイルを読み取れない	設定ファイルを手動で編集した場合、スクリプトで読み取れないファイルエラーが発生する場合があります。設定スクリプトを再度実行して、手動で行った編集を上書きしてください。設定ファイルの権限を確認してください。このファイルを実行する権限が実行スクリプトに付与されている必要があります。設定ファイルを再度実行して、新しいファイルを保存してください。
-11	スクリプトを管理権限で実行しなければならない	スクリプトを選択する際に、右クリックして［run with admin privileges（管理者権限で実行する）］を選択してください。
-12	Active Directory モジュールを初期化できなかった	AD が AD Connector と同じパソコン上で起動していることを確認してください。スクリプトの権限が AD に付与されていることを確認してください。同期グループのメンバー数がサブグループも含めて 5,000 名未満であることを確認してください（v2.0 ではこれ以上のユーザーはサポートされていません）。
-13	Dropbox API を初期化できなかった	status.dropbox.com で、dropbox.com にアクセス可能であることを確認してください。
-14	Dropbox API からチーム情報を取得できなかった	エラーコードを確認してください。 OAuth トークンが有効であることを確認してください（設定スクリプトを再度実行して新しい OAuth トークンを取得）。管理者が適切に認証されており、チームがまだ存在していることを確認してください。 status.dropbox.com で、dropbox.com にアクセス可能であることを確認してください。
-15	設定済みの Active Directory グループにユーザーが存在しない	選択したグループに同期するユーザーが含まれていることを確認してください（このグループ内のユーザーのみが Dropbox Business チームに同期されます）。
-16	Dropbox API からチームメンバーを取得できなかった	もう一度お試しください。一時的にネットワークエラーが発生していた可能性があります。 status.dropbox.com で、dropbox.com にアクセス可能であることを確認してください。
-17	同期中にエラーが発生した	もう一度お試しください。一時的にネットワークエラーが発生していた可能性があります。他の処理やエラーによってパソコンの動作が中断したかどうか確認してください。同期グループのメンバー数がサブグループも含めて 5,000 名未満であることを確認してください（v2.0 ではこれ以上のユーザーはサポートされていません）。現在のバージョン（v2.0）で同期グループのユーザー数を 2,000 名以下に制限することをおすすめします。 Dropbox サポートへのお問い合わせ

AD Connector の実行プロセスの段階は？

ステップ 1：管理対象ユーザーを確認する

AD Connector は管理対象ユーザーのみを更新します。次の項目に該当した場合、管理対象ユーザーを確認します。

AD Connector は最初にプロビジョニングを完了します。a）ユーザーのメールアドレスが設定済みの Active Directory グループに追加されると、プロビジョニングが行われます。b）このメールアドレスは Dropbox 内では見つかりません。
Dropbox チームの既存ユーザーであること。「既存ユーザー」であるには、ユーザーのメールアドレスがチームおよび設定済みの Active Directory グループ間で一致しなければなりません。

注：

AD Connector の設定で［Manage existing users（既存ユーザーを管理する）］のチェックボックスがオンになっている場合にこの確認が行われます。
上記 2 つの項目に該当しない場合、ユーザーは管理対象外とみなされます。AD Connector は管理対象外のユーザーを更新することはありません。大方の管理者にとっては、［Manage existing users］が最適なオプションです。

ステップ 2：管理対象ユーザーのみユーザー情報を更新する

ユーザーの名
ユーザーの姓
ユーザーのメールアドレス

ステージ 1 で確認した管理対象ユーザーについては、Dropbox と AD 間でユーザーの外部 ID が一致しているかどうかを AD Connector が確認します。

例外：AD Connector は、Dropbox で「招待済み」の状態にあるユーザーの情報を更新しません。AD Connector は次の実行時に更新を再試行します。

ステップ 3：管理対象ユーザーのみユーザーステータスを更新する

管理対象ユーザーを無効にしても Dropbox チームから削除したことにはなりません。Active Directory の同期グループからユーザーを移動した場合も同様です。代わりに、これらのユーザーは Dropbox チームで使用停止になります。
手順 1 に該当する管理対象ユーザー：AD Connector は Dropbox のユーザーの状態（アクティブ、無効、削除）を更新し、AD でそのステータスが一致するようにします。

この記事はお役に立ちましたか？