Dropbox Active Directory Connector
2022 年 4 月 13 日から、Active Directory コネクターには TLS 1.2 以降を使用した呼び出しが必要となります。上記の日付以降、TLS 1.0 と 1.1 を使用した呼び出しのサポートは終了します。
サービスの中断を避けるため、できる限り早急に TLS 構成を更新してください。
注:Dropbox 管理コンソールで管理対象となるユーザー設定を変更すると、AD Connector により上書きされます。ただし、Dropbox 管理コンソールで管理対象外のユーザー設定を変更または追加しても、AD に反映されることはありません。
ステップ 1:AD Connector のベスト プラクティスを確認する
必須
- Active Directory から同期対象にしたいユーザーが、1 つの AD ドメインでアクティブ状態にあること
- PowerShell 4.0 以降
- Windows Server 2008 以降
- 遠隔サーバー管理ツール
推奨
- プロビジョニング対象のメンバー全員を含む、「Dropbox」というグループを 1 つ作成します。Dropbox グループにユーザーとグループの両方を含めることができます。
- 読み取り専用アクセスがあるサーバーに AD Connector をインストールします(AD Connector は AD で行った変更のみを同期します)。
- AD Connector の旧バージョンからのアップグレード:バージョン 2.0.1 からバージョン 2.0.2 にアップグレードする場合、インストールのみでアップデートできます。ただし、メジャー バージョンからメジャー バージョン(バージョン 1.0 からバージョン 2.0)にアップグレードする場合は、新しいバージョンに更新する前に現在のバージョンをアンインストールする必要があります。
- 現在リリースされている AD Connector では、同期する Active Directory のユーザー数を 1 万人未満にすることをおすすめします。AD Connector を 1 万人以上のユーザーと共有する場合は、Dropbox カスタマー サクセス チームにお問い合わせください。
ステップ 2:AD Connector Microsoft Installer(MSI)をダウンロードする
ステップ 3:AD Connector をインストールする
- Dropbox-AD-Connector.msi インストーラを検索し実行します。
- [Next]をクリックして、インストール ウィザードを続行します。
- 利用規約に同意するチェックボックスをオンにして、[Next]をクリックします。
- [Next]をクリックして、デフォルト パスにインストールします。
- User Account Control(UAC)のプロンプトが表示された場合は[Install]、[Yes]の順にクリックします。
- [Getting Started]のチェックボックスはデフォルトでオンになっています。このガイドをすでに開いている場合はチェックボックスをオフにしてください。
- [Finish]をクリックしてインストールを完了します。
ステップ 4:AD Connector の設定を完了する
セットアップ
- Configure AD Connector のショートカットをデスクトップで検索して開きます。
- [Get OAuth2 Token]をクリックして、Dropbox アカウントにリンクします。
- 必要であれば、管理者の資格情報を使用して Dropbox にログインします。
- 必要であれば、AD Connector アプリを許可します。
- トークンをコピーします。
- コピーしたトークンを[OAuth 2 DfB Token]のフィールドに貼り付けます。
- セットアップ テストを実行する場合は、[Simulation Mode]のチェックボックスをオンにします。
- 注:Simulation Mode にすると、チーム用 Dropbox には変更が反映されません。
Active Directory ユーザーの同期
- Dropbox チームと同期させる Active Directory グループを選択します。
- 「Dropbox」というグループ名の Active Directory を作成することがもっとも簡単な方法です
- [Email Attribute]が[Email Address]に設定されているか確認します。
- [Manage existing users]をオンにし、管理コンソールで手動で作成したユーザーに変更内容が同期されるようにします。
Active Directory グループの同期
- Dropbox チームにグループを同期するかどうか選択します(グループの同期は省略可)。
- グループを同期する際に、個人ユーザーの同期で選択したグループと同じグループを使用するかどうか選択します。
- グループの同期に別のグループを使用することを選択した場合は、そのグループの名前を選択します。
ログ
- ログ ファイルに別のパスを提供したい場合は[Change]をクリックします。
- 注:別のファイル パスを指定しないと、ログは既定の場所(C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log)に保存されます。
メール通知
- 同期エラーに関する通知メールが届くようにするには、[Settings]をクリックします。
- 注:暗号化されていないポート 587 またはポート 25 を使用してください。現在、ポート 465 はご利用いただけません。
- 各セクションを完了したら、[Test Connection]をクリックして設定が適切であることを確認します。
- メール オプションの設定が完了したら、[OK]をクリックします。
完了
- [Save]をクリックし、すべての設定を保存します。
ステップ 5:Run AD Connector のテストを実行し、問題なく動作するか確認する
- デスクトップで Run AD Connector のショートカットを探します。
- [Run AD Connector]ツールを右クリックし、[Run as Administrator]を選択します。
- 対象ユーザーがリストに含まれているか確認します。
- 含まれている場合は Config AD Connector ツールを再び開き、[Simulation Mode]のチェックボックスをオフにします。
- [Run AD Connector]ツールを使用して、新規メンバーを Dropbox チームに同期します。
ステップ 6:スケジュール設定されたタスクを見つけ、有効にして実行する
- [Program Files]、[Dropbox]、[AD Connector]、[Helpers]の順にアクセスします。
- AD-Connector-CreateTask.bat のファイルを右クリックし、管理者として実行します。
- Windows Server 用タスク スケジューラのアプリケーションを開きます。
- 「Dropbox タスク」フォルダを開きます。
- Dropbox AD Connector タスクを右クリックし、[Enable]をクリックします。
- 注:タスクが見つからない場合は、タスク スケジューラ ライブラリを右クリックしてから[最新の情報に更新]をクリックしてください。
- タスクを右クリックし、[Run]を選択します。
- AD Connector の同期ログを検索、確認し、問題なくテストが実行されたことを確認します。
- 管理コンソールにある[メンバー]ページで、チーム メンバーに招待メールが送信されたことを確認します。
スケジュール設定されたタスクの作成に関する注意点:
- デフォルトでは、このタスクは毎日 1 回 2:00 AM(現地時間)に実行するように設定されています。
- タスクの実行頻度を増やす場合、3 時間に 1 回以上実行することはおすすめしません。
詳細設定とトラブルシューティング(オプション)
グループと Dropbox Active Directory Connector
Active Directory のグループは Dropbox と同期しますが、Dropbox のグループは AD と同期しません。Dropbox で加えた変更は Active Directory には同期されません。Dropbox でグループを削除しても、Active Dorectory からそのグループが削除されることはありません。
特定のグループを Dropbox と Active Directory の双方から削除するには、次の手順を実行する必要があります。
- Active Directory の同期グループからメンバー全員を削除する
- [設定]の手順で同期グループを削除する
重要:
- Active Directory と Dropbox に同じ名前のグループが複数ある場合、グループ同期は失敗し、エラーが記録されます。
- Dropbox の他のグループ内にグループをネストすることはできません。Dropbox のグループは階層化できません。それぞれのグループは非階層型で、他のグループは含まれていません。
ユーザーとグループの両方を同期する際に同じグループを選択するとどうなりますか?
同期グループに含まれていないユーザーがいるグループは Dropbox には同期されません。
別の Active Directory グループを使用してユーザー アカウントを同期した場合、グループはどのように Dropbox に同期しますか?
ユーザー同期グループ内のユーザー全員が同期されます。ユーザー同期グループ内のグループはすべて無視されます。グループ同期グループに分類されているユーザーは、ユーザー同期グループにも同じく分類されていない限り無視されます。ユーザー同期グループに分類されているグループは、グループ同期グループにも同じく分類されていない限り無視されます。
アカウント移行と Dropbox Active Directory Connector
AD Connecter は別のチーム メンバーのアカウントへの自動移行には対応していません。ただし、削除済みのアカウント(それに関連するすべてのファイルも含む)は管理コンソールで保持されますので、アカウントを移行または完全に削除することができます。
遠隔削除と Dropbox Active Directory Connector
AD Connector を利用してユーザーを使用停止にしたり、削除したりすると、すべてのデバイスが自動的に遠隔削除されます。すべてのコンテンツを遠隔削除せずにユーザーやデバイスを削除するには、管理コンソールを使用してください。
Active Directory Connector の同期に失敗した場合、どうすればよいですか?
AD Connector を実行するたびに、ログ ファイルの末尾に終了コードが追加されます。このコードを見ると、失敗の原因や、処理のどの部分が失敗したのかがわかります。下記の表に失敗の原因をすべて例示しています。
実行が問題なく完了すると、AD Connector は「0」と記録します。
コード |
失敗の原因 |
エラーの解決方法 |
SSL/TLS のセキュリティで保護されているチャネルを作成できませんでした |
サーバーまたはクライアントが TLS 1.2 に対応していない |
|
-1 |
Powershell のバージョンがサポートされていない |
|
-10 |
設定ファイルを読み取れない |
|
-11 |
スクリプトを管理権限で実行しなければならない |
|
-12 |
Active Directory モジュールを初期化できなかった |
|
-13 |
Dropbox API を初期化できなかった |
|
-14 |
Dropbox API からチーム情報を取得できなかった |
|
-15 |
設定済みの Active Directory グループにユーザーが存在しない |
|
-16 |
Dropbox API からチーム メンバーを取得できなかった |
|
-17 |
同期中にエラーが発生した |
|
AD Connector の実行プロセスの段階は?
ステージ 1:管理対象ユーザーを確認する
AD Connector は管理対象ユーザーのみを更新します。次の項目に該当した場合、管理対象ユーザーを確認します。
- AD Connector は最初にプロビジョニングを完了します。プロビジョニングは次の場合に行われます。
- 設定済みの Active Directory グループにユーザーのメール アドレスが追加された場合
- メール アドレスが Dropbox にない場合
- Dropbox チームの既存ユーザーであること。「既存ユーザー」であるには、ユーザーのメール アドレスがチームおよび設定済みの Active Directory グループ間で一致しなければなりません。
注:
- AD Connector の設定で[Manage existing users(既存のユーザーを管理する)]のチェックボックスがオンになっている場合にこの確認が行われます。
- 上記 2 つの項目に該当しない場合、ユーザーは管理対象外とみなされます。AD Connector は管理対象外のユーザーを更新することはありません。ほとんどの場合、[Manage existing users(既存のユーザーを管理する)]が最適なオプションです。
ステージ 2:管理対象ユーザーのみユーザー情報を更新する
- ユーザーの名
- ユーザーの姓
- ユーザーのメール アドレス
ステージ 1 で確認した管理対象ユーザーについては、Dropbox と AD 間でユーザーの外部 ID が一致しているかどうかを AD Connector が確認します。
例外:AD Connector は、Dropbox で「招待済み」の状態にあるユーザーの情報を更新しません。AD Connector は次の実行時に更新を再試行します。
ステージ 3:管理対象ユーザーのみユーザー ステータスを更新する
管理対象ユーザーを無効にしても Dropbox チームから削除したことにはなりません。Active Directory の同期グループからユーザーを移動した場合も同様です。代わりに、これらのユーザーは Dropbox チームで使用停止になります。
ステージ 1 に該当する管理対象ユーザー:AD Connector は Dropbox のユーザーの状態(アクティブ、無効、削除)を更新し、AD でそのステータスが一致するようにします。