Dropbox Active Directory Connector

特定の種類の管理者は Active Directory を使用してチーム用 Dropbox のメンバーシップを管理することができます。Dropbox Active Directory (AD) Connector では、Active Directory に加えた変更がすべて自動的に Dropbox に同期されます。

チーム用 Dropbox で AD Connector を設定する方法の詳細については、ID 管理パートナーにお問い合わせください。

ステップ 1：AD Connector のベスト プラクティスを確認する

必須

• Active Directory から同期対象にしたいユーザーが、1 つの AD ドメインでアクティブ状態にあること
• PowerShell 4.0 以降
• Windows Server 2008 以降
• 遠隔サーバー管理ツール

推奨

• プロビジョニング対象のメンバー全員を含む、「Dropbox」というグループを 1 つ作成します。Dropbox グループにユーザーとグループの両方を含めることができます。
• 読み取り専用アクセスがあるサーバーに AD Connector をインストールします（AD Connector は AD で行った変更のみを同期します）。
• AD Connector の旧バージョンからのアップグレード：バージョン 2.0.1 からバージョン 2.0.2 にアップグレードする場合、インストールのみでアップデートできます。ただし、メジャー バージョンからメジャー バージョン（バージョン 1.0 からバージョン 2.0）にアップグレードする場合は、新しいバージョンに更新する前に現在のバージョンをアンインストールする必要があります。
• 現在リリースされている AD Connector では、同期する Active Directory のユーザー数を 1　万人未満にすることをおすすめします。AD Connector を 1 万人以上のユーザーと共有する場合は、Dropbox カスタマー サクセス チームにお問い合わせください。

ステップ 2：AD Connector Microsoft Installer（MSI）をダウンロードする

ステップ 3：AD Connector をインストールする

1. Dropbox-AD-Connector.msi インストーラを検索し実行します。
2. ［Next］をクリックして、インストール ウィザードを続行します。
3. 利用規約に同意するチェックボックスをオンにして、［Next］をクリックします。
4. ［Next］をクリックして、デフォルト パスにインストールします。
5. User Account Control（UAC）のプロンプトが表示された場合は［Install］、［Yes］の順にクリックします。
6. ［Getting Started］のチェックボックスはデフォルトでオンになっています。このガイドをすでに開いている場合はチェックボックスをオフにしてください。
7. ［Finish］をクリックしてインストールを完了します。

ステップ 4：AD Connector の設定を完了する

セットアップ

1. Configure AD Connector のショートカットをデスクトップで検索して開きます。
2. ［Get OAuth2 Token］をクリックして、Dropbox アカウントにリンクします。
   • 必要であれば、管理者の資格情報を使用して Dropbox にログインします。
   • 必要であれば、AD Connector アプリを許可します。
3. トークンをコピーします。
4. コピーしたトークンを［OAuth 2 DfB Token］のフィールドに貼り付けます。
5. セットアップ テストを実行する場合は、［Simulation Mode］のチェックボックスをオンにします。
   •  注：Simulation Mode にすると、チーム用 Dropbox には変更が反映されません。

Active Directory ユーザーの同期

1. Dropbox チームと同期させる Active Directory グループを選択します。
   • 「Dropbox」というグループ名の Active Directory を作成することがもっとも簡単な方法です
2. ［Email Attribute］が［Email Address］に設定されているか確認します。
3. ［Manage existing users］をオンにし、管理コンソールで手動で作成したユーザーに変更内容が同期されるようにします。

Active Directory グループの同期

1. Dropbox チームにグループを同期するかどうか選択します（グループの同期は省略可）。
2. グループを同期する際に、個人ユーザーの同期で選択したグループと同じグループを使用するかどうか選択します。
3. グループの同期に別のグループを使用することを選択した場合は、そのグループの名前を選択します。

ログ

1. ログ ファイルに別のパスを提供したい場合は［Change］をクリックします。
   • 注：別のファイル パスを指定しないと、ログは既定の場所（C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log）に保存されます。

メール通知

1. 同期エラーに関する通知メールが届くようにするには、［Settings］をクリックします。
   • 注：暗号化されていないポート 587 またはポート 25 を使用してください。現在、ポート 465 はご利用いただけません。
2. 各セクションを完了したら、［Test Connection］をクリックして設定が適切であることを確認します。
3. メール オプションの設定が完了したら、［OK］をクリックします。

完了

1. ［Save］をクリックし、すべての設定を保存します。

ステップ 5：Run AD Connector のテストを実行し、問題なく動作するか確認する

1. デスクトップで Run AD Connector のショートカットを探します。
2. ［Run AD Connector］ツールを右クリックし、［Run as Administrator］を選択します。
3. 対象ユーザーがリストに含まれているか確認します。
4. 含まれている場合は Config AD Connector ツールを再び開き、［Simulation Mode］のチェックボックスをオフにします。
5. ［Run AD Connector］ツールを使用して、新規メンバーを Dropbox チームに同期します。

ステップ 6：スケジュール設定されたタスクを見つけ、有効にして実行する

1. ［Program Files］、［Dropbox］、［AD Connector］、［Helpers］の順にアクセスします。
2. AD-Connector-CreateTask.bat のファイルを右クリックし、管理者として実行します。
3. Windows Server 用タスク スケジューラのアプリケーションを開きます。
4. 「Dropbox タスク」フォルダを開きます。
5. Dropbox AD Connector タスクを右クリックし、［Enable］をクリックします。
   • 注：タスクが見つからない場合は、タスク スケジューラ ライブラリを右クリックしてから［最新の情報に更新］をクリックしてください。
6. タスクを右クリックし、［Run］を選択します。
7. AD Connector の同期ログを検索、確認し、問題なくテストが実行されたことを確認します。
8. 管理コンソールにある［メンバー］ページで、チーム メンバーに招待メールが送信されたことを確認します。

スケジュール設定されたタスク同士が互いを妨げることがないように、［Settings］タブにある［Do not start a new instance］オプションを選択してください。

詳細設定とトラブルシューティング（オプション）

グループと Dropbox Active Directory Connector

Active Directory のグループは Dropbox と同期しますが、Dropbox のグループは AD と同期しません。Dropbox で加えた変更は Active Directory には同期されません。Dropbox でグループを削除しても、Active Dorectory からそのグループが削除されることはありません。

特定のグループを Dropbox と Active Directory の双方から削除するには、次の手順を実行する必要があります。

• Active Directory の同期グループからメンバー全員を削除する
• ［設定］の手順で同期グループを削除する

 

ユーザーとグループの両方を同期する際に同じグループを選択するとどうなりますか？

同期グループに含まれていないユーザーがいるグループは Dropbox には同期されません。

別の Active Directory グループを使用してユーザー アカウントを同期した場合、グループはどのように Dropbox に同期しますか？

ユーザー同期グループ内のユーザー全員が同期されます。ユーザー同期グループ内のグループはすべて無視されます。グループ同期グループに分類されているユーザーは、ユーザー同期グループにも同じく分類されていない限り無視されます。ユーザー同期グループに分類されているグループは、グループ同期グループにも同じく分類されていない限り無視されます。

アカウント移行と Dropbox Active Directory Connector

AD Connecter は別のチーム メンバーのアカウントへの自動移行には対応していません。ただし、削除済みのアカウント（それに関連するすべてのファイルも含む）は管理コンソールで保持されますので、アカウントを移行または完全に削除することができます。

削除したユーザーのファイルを移行する方法をご覧ください。

遠隔削除と Dropbox Active Directory Connector

AD Connector を利用してユーザーを使用停止にしたり、削除したりすると、すべてのデバイスが自動的に遠隔削除されます。すべてのコンテンツを遠隔削除せずにユーザーやデバイスを削除するには、管理コンソールを使用してください。

Active Directory Connector の同期に失敗した場合、どうすればよいですか？

AD Connector を実行するたびに、ログ ファイルの末尾に終了コードが追加されます。このコードを見ると、失敗の原因や、処理のどの部分が失敗したのかがわかります。下記の表に失敗の原因をすべて例示しています。

実行が問題なく完了すると、AD Connector は「0」と記録します。

コード	失敗の原因	エラーの解決方法
SSL/TLS のセキュリティで保護されているチャネルを作成できませんでした	サーバーまたはクライアントが TLS 1.2 に対応していない	最新バージョンの AD Connector にアップデートして（上の手順 2 を参照）、サーバーが TLS 1.2 に対応していることを確認してください
-1	Powershell のバージョンがサポートされていない	Powershell 4、5 以降にアップグレードしてください。
-10	設定ファイルを読み取れない	設定ファイルを手動で編集した場合、スクリプトで読み取れないファイル エラーが発生する場合があります。設定スクリプトを再度実行して、手動で行った編集を上書きしてください。 設定ファイルの権限を確認してください。このファイルを実行する権限が実行スクリプトに付与されている必要があります。 設定ファイルを再度実行して、新しいファイルを保存してください。
-11	スクリプトを管理権限で実行しなければならない	スクリプトを選択する際に、右クリックして［run with admin privileges（管理者権限で実行する）］を選択してください。
-12	Active Directory モジュールを初期化できなかった	AD が AD Connector と同じパソコン上で起動していることを確認してください。 スクリプトの権限が AD に付与されていることを確認してください。 同期グループのメンバー数がサブ グループも含めて 5,000 名未満であることを確認してください（v2.0 ではこれ以上のユーザーはサポートされていません）。
-13	Dropbox API を初期化できなかった	status.dropbox.com で、dropbox.com にアクセス可能であることを確認してください。
-14	Dropbox API からチーム情報を取得できなかった	エラー コードを確認してください。 OAuth トークンが有効であることを確認してください（設定スクリプトを再度実行して新しい OAuth トークンを取得）。 管理者が適切に認証されており、チームがまだ存在していることを確認してください。 status.dropbox.com で、dropbox.com にアクセス可能であることを確認してください。
-15	設定済みの Active Directory グループにユーザーが存在しない	選択したグループに同期するユーザーが含まれていることを確認してください（このグループ内のユーザーのみが Dropbox チーム アカウントに同期されます）。
-16	Dropbox API からチーム メンバーを取得できなかった	もう一度お試しください。一時的にネットワーク エラーが発生していた可能性があります。 status.dropbox.com で、dropbox.com にアクセス可能であることを確認してください。
-17	同期中にエラーが発生した	もう一度お試しください。一時的にネットワーク エラーが発生していた可能性があります。 他の処理やエラーによってパソコンの動作が中断したかどうか確認してください。 同期グループのメンバー数がサブ グループも含めて 5,000 名未満であることを確認してください（v2.0 ではこれ以上のユーザーはサポートされていません）。 現在のバージョン（v2.0）で同期グループのユーザー数を 2,000 名以下に制限することをおすすめします。 Dropbox サポートへのお問い合わせ

AD Connector の実行プロセスの段階は？

ステージ 1：管理対象ユーザーを確認する

AD Connector は管理対象ユーザーのみを更新します。次の項目に該当した場合、管理対象ユーザーを確認します。

1. AD Connector は最初にプロビジョニングを完了します。プロビジョニングは次の場合に行われます。
   • 設定済みの Active Directory グループにユーザーのメール アドレスが追加された場合
   • メール アドレスが Dropbox にない場合
2. Dropbox チームの既存ユーザーであること。「既存ユーザー」であるには、ユーザーのメール アドレスがチームおよび設定済みの Active Directory グループ間で一致しなければなりません。

ステージ 2：管理対象ユーザーのみユーザー情報を更新する

• ユーザーの名
• ユーザーの姓
• ユーザーのメール アドレス

ステージ 1 で確認した管理対象ユーザーについては、Dropbox と AD 間でユーザーの外部 ID が一致しているかどうかを AD Connector が確認します。

例外：AD Connector は、Dropbox で「招待済み」の状態にあるユーザーの情報を更新しません。AD Connector は次の実行時に更新を再試行します。

ステージ 3：管理対象ユーザーのみユーザー ステータスを更新する

管理対象ユーザーを無効にしても Dropbox チームから削除したことにはなりません。Active Directory の同期グループからユーザーを移動した場合も同様です。代わりに、これらのユーザーは Dropbox チームで使用停止になります。

ステージ 1 に該当する管理対象ユーザー：AD Connector は Dropbox のユーザーの状態（アクティブ、無効、削除）を更新し、AD でそのステータスが一致するようにします。