管理員可以利用 Active Directory 管理 Dropbox Business 團隊的成員資格。有了 Dropbox Active Directory 連接器,Active Directory 上的任何變更都會自動同步到 Dropbox。
在 Dropbox 管理員主控台對 AD 進行的變更,皆不適用於 AD 連接器。AD 連接器會覆寫管理員主控台中對受管理成員的變更。
您可以聯絡我們的身分管理合作夥伴,讓他們進一步協助您設定 Dropbox Business 帳戶的 AD 連接器。
Dropbox 的 Active Directory 連接器
這篇文章的區段:
步驟 1:查閱 AD 連接器的最佳操作方式。
操作需求:
- 所有您想由 Active Directory 同步至 Dropbox 的使用者,都必須是位於單一 AD 網域的有效使用者
- PowerShell 4.0 或更高版本
- Windows 伺服器 2008 (或更高版本)
- 遠端伺服器管理工具
建議事項:
- 建立一個叫「Dropbox」的群組,並把您想要佈建的所有成員都加進來。您可以把使用者和群組都加至此 Dropbox 群組。
- 以唯讀模式將 AD 連接器安裝至伺服器 (AD 連接器僅會同步 AD 方的變更)。
- 由舊版 AD 連接器升級:若您要將 AD 連接器由 2.0.1 版升級至 2.0.2 版,通常只需安裝新版,即可正確更新。不過,若您是從主版本升級至另一主版本 (由 1.0 版升級至 2.0 版),必須先取消安裝目前的版本,才能更新成新版本。
- 使用目前的 AD 連接器時,我們建議您不要一次由 Active Directory 同步超過 10,000 名使用者。若您想要藉由 AD 連接器同步 10,000 名以上的使用者,請與您的 Dropbox 客戶關係團隊聯絡。
步驟 2:下載 AD 連接器 Microsoft 安裝程式 (MSI)。
步驟 3:安裝 AD 連接器。
- 找到並執行 Dropbox-AD-Connector.msi 安裝程式。
- 按一下 [Next],繼續安裝精靈。
- 勾選方格接受條款,再按一下 [Next]。
- 按一下 [Next],在預設路徑進行安裝。
- 按一下 [Install],若出現「User Account Control (UAC)」視窗,請選擇 [Yes]。
- 新手指南 (Get Started) 已預設勾選,如果您已開啟此份指南,請取消勾選。
- 選擇 [Finish] 結束安裝。
步驟 4:設定配置 AD 連接器工具。
完成配置 AD 連接器有五個步驟:
- 設定。
- 同步 Active Directory 中的使用者。
- 同步 Active Directory 中的群組。
- 紀錄。
- 電子郵件通知。
請仔細遵照每一步驟進行,以完成設定:
設定
- 在您的桌面上找到並打開 Configure AD Connector 捷徑。
- 按一下 [Get OAuth2 Token],連結至您 Dropbox Business 團隊的團隊管理員。
- 若需要的話,以 Dropbox Business 團隊的管理員身分登入 Dropbox
- 若需要的話,請准許 AD 連接器存取應用程式
- 複製憑證。
- 把複製的憑證貼上 [OAuth 2 DfB Token] 欄位。
- 若您想測試設定,請勾選 [Simulation Mode]。
- 備註:執行模擬模式時,您的 Dropbox Business 團隊不會遭到任何變更
同步 Active Directory 的使用者
- 選擇您想要與 Dropbox Business 團隊同步的 Active Directory 群組。
- 最簡單的就是建立一個叫做「Dropbox」的 Active Directory 群組
- 確認您已將 [Email Attribute] 設為 [Email Address]。
- 選擇 [Manage existing users],將變更內容同步至透過 Dropbox Business 管理員主控台中手動建立的使用者。
同步 Active Directory 的群組
- 選擇您是否要同步群組至您的 Dropbox Business 團隊 (非必要)。
- 若要同步群組,請選擇您是否要續用您用來同步使用者的群組。
- 若您選擇將群組同步至不同的群組,請選擇群組名稱。
紀錄
- 如果您想把紀錄檔儲存在不同的路徑,請點選 [Change]。
- 注意:若您沒有提供不同的檔案路徑,紀錄檔便會儲存至預設位置:C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log
電子郵件通知
- 若您希望收到所有同步錯誤的電子郵件通知,請點選 [Settings]。
- 注意:請使用連接埠 587 或 25 (未加密);連接埠 465 目前未受支援
- 完成所有區塊後,請使用 [Test Connection],確認配置無誤。
- 完成電子郵件設定後,請點選 [OK]。
完成
- 按一下 [Save] 以保留所有設定。
步驟 5:執行 AD 連接器測試,確認運作正常。
- 在桌面找到 [Run AD Connector] 捷徑。
- 在 [Run AD Connector] 工具上按右鍵,選擇 [Run as Administrator]。
- 查看結果,確保使用者都如預期般列入清單。
- 如果是的話,重新開啟 Config AD Connector 工具,並取消勾選 [Simulation Mode]。
- 使用 [Run AD Connector] 工具,將新成員同步至您的 Dropbox Business 團隊。
步驟 6:找到排定工作並執行。
- 前往 Program Files \ Dropbox \ AD Connector \ Helpers。
- 在 [AD-Connector-CreateTask.bat] 上按右鍵,選擇 [Run as Administrator]。
- 開啟 Windows 伺服器專用的工作排程器 (Task Scheduler) 應用程式。
- 開啟 [Dropbox Tasks] 資料夾。
- 在 Dropbox AD 連接器工作上按右鍵,並選擇 [Enable]。
- 備註:若您找不到此項工作,請在工作排程器資料庫上按右鍵,並點選 [Refresh]。
- 在工作上按右鍵,並選擇 [Run]。
- 確認測試執行成功:請查看 AD 連接器同步紀錄。
- 確認邀請已送給團隊成員:查看 Dropbox Business 管理員主控台中的 [成員] 頁面。
建立排程工作時的注意事項:
- 預設上,這項作業會在當地時間每天早上 2 點執行一次
- 您可以增加此工作的頻率,但我們建議每次間隔不要少於三小時
- 為確保各個排程工作不相互干擾,在 [Settings] 分頁中選擇 [Do not start a new instance]:
進階設定與疑難排解 (選擇性)
群組與 Dropbox Active Directory 連接器
Active Directory 中的群組會與 Dropbox 同步,但 Dropbox 上的群組不會同步到 AD。Dropbox Business 中的變更內容不會同步回 Active Directory。從 Dropbox Business 刪除群組,並不會同時在 Active Directory 刪除該群組。如要同時刪除 Dropbox Business 和 Active Directory 裡的群組,您必須:
- 移除 Active Directory 同步群組中的所有成員
- 從配置步驟中移除該同步群組
提醒您:
- 如果您在 Active Directory 和 Dropbox Business 中有多個名稱相同的群組,群組會同步失敗。系統會產生一筆錯誤紀錄。
- 您無法在 Dropbox 上將群組置於其他群組中。Dropbox Business 中的群組不能有多層結構。每個群組皆是單層結構,不能容納其他群組。
若選擇將使用者和群組同步至單一群組會怎樣?
若群組中有使用者不在受同步的群組中,該群組便不會同步至 Dropbox Business。
如果我以另一個 Active Directory 群組與使用者帳戶同步,原本的群組會以什麼方式同步到 Dropbox?
系統會同步使用者同步群組中的所有使用者,而在使用者同步群組中的群組則會被忽略。在群組同步群組中的使用者也會被系統略過,除非該使用者同時也存在使用者群組中。放置在使用者同步群組中的群組會被系統略過,除非該群組也存在群組同步群組中。
帳戶移轉與 Dropbox Active Directory 連接器
AD 連接器並不支援將帳戶自動移轉給另一名團隊成員。不過,已刪除的帳戶 (及任何相關檔案) 都會保存在管理員主控台,您可以從 Dropbox 管理員主控台移轉或永久刪除帳戶內容。團隊管理員可以透過 Dropbox 管理員主控台移轉帳戶。
遠端清除與 Dropbox Active Directory 連接器
透過 AD 連接器暫停使用者權限或刪除使用者時,所有裝置都會自動被遠端移除。若您要移除使用者或裝置,但不要遠端移除所有內容,請改用管理員主控台。
如果 Active Directory 連接器同步失敗,我該怎麼做?
每次執行 AD 連接器時,紀錄檔尾端都會多出一個結束代碼,該代碼可以說明發生錯誤的原因或是指明出錯的環節。下列表格列舉了發生錯誤的可能原因。
- 備註:若執行成功,AD 連接器會記錄下「0」
程式碼 |
失敗原因 |
修正錯誤的方法 |
-1 |
Powershell 版本未受支援 |
|
-10 |
無法讀取配置檔 |
|
-11 |
必須有管理員權限才能執行程式碼 |
|
-12 |
無法初始化 Active Directory 模組 |
|
-13 |
初始化 Dropbox Business API 失敗 |
|
-14 |
無法由 Dropbox Business API 擷取團隊資料 |
|
-15 |
在已配置的 Active Directory 群組中找不到使用者 |
|
-16 |
無法由 Dropbox Business API 取得團隊成員 |
|
-17 |
同步時發生錯誤 |
|
AD 連接器執行程序有哪些階段?
第 1 階段:辨識受管理的使用者。
AD 連接器只會更新受管理的使用者。在以下條件符合時會辨識受管理的使用者:
- AD 連接器會先完成佈建工作。a) 使用者的電子郵件地址加入已配置的 Active Directory 群組中,且 b) 該電子郵件地址不存在於 Dropbox Business 中時,便會進行佈建。
- 使用者是您 Dropbox Business 團隊的現有使用者。「現有使用者」表示該電子郵件地址同時出現在團隊成員清單和已配置的 Active Directory 群組中。
備註:
- 此項只有在 AD 連接器配置中勾選了管理現有使用者的方塊時才會執行。
- 如果上述兩個條件有一項不符合,該使用者就會認定為未受管理,不會經由 AD 連接器更新。對大多數的管理員來說,管理現有使用者是最佳的執行選項。
第 2 階段:僅更新受管理使用者的使用者資訊。
- 使用者名字
- 使用者姓氏
- 使用者電子郵件地址
AD 連接器能確保 Dropbox Business 和第 1 階段中受管理使用者 AD 的外部 ID 相符。
例外:AD 連接器並不會更新 Dropbox Business 中處於「已邀請」(但未加入) 狀態的使用者資訊。AD 連接器會在後續的執行過程中,重新嘗試更新。
第 3 階段:僅更新受管理使用者的使用者狀態。
- 停用受管理的使用者並不會將使用者從您的 Dropbox Business 團隊中移除,也不會由 AD 同步群組中移除使用者。這些使用者只是在您的 Dropbox Business 中,被暫停權限而已。
- 對於在第一步被認定為受管理的使用者來說:AD 連接器會更新 Dropbox Business 中的使用者狀態 (有效、已停用、或已刪除),以符合 AD 中的使用者狀態。
身分管理合作夥伴 (選擇性)
若要整合 Dropbox 與 Active Directory,您必須:
- 要是 Dropbox Business 帳戶的團隊管理員
- 擁有 Dropbox 身分管理服務夥伴的帳戶,或以 Dropbox Business API 執行的整合工具
您可以聯絡我們的身分管理服務夥伴,進一步瞭解他們提供的 Dropbox 專屬方案:
- Ping Identity
- OneLogin
- Okta
- Centrify
Dropbox 與 Active Directory 的整合讓使用者能輕鬆管理帳戶及使用單一登入 (SSO)。若您對此整合服務有其他問題,請聯絡 Dropbox 銷售團隊或 Okta 及 OneLogin 的技術支援服務。
這篇文章有多大幫助?
感謝您的意見。
