Directory Syncの同期対象を管理するためのActive Directoryグループを準備します。

同期対象を管理するActive Directoryグループがすでに用意されている場合は、準備の必要はありません。

Active Directoryグループの推奨構成

IIJ IDサービスではグループごとにアプリケーションの利用者設定やログインポリシーなどを設定できます。

Directory Syncで同期したグループを利用者やログインポリシーに割り当てることで、以降はActive Directoryでのグループメンバーの操作のみで利用者の追加・削除やログインポリシーの変更などが行えます。

これらを実現するため、次のようなActive Directoryグループの作成を推奨します。

• IIJ IDサービス上で利用するケースごとに、グループを準備
  • 例）Microsoft 365利用グループ、社外アクセス許可グループなど
  • Active Directoryのユーザオブジェクト、グループオブジェクトは、このグループのメンバーとして配置します
• Directory Syncの同期対象として指定するグループを準備
  • 例）IIJ IDサービス利用グループ
  • 上で準備した利用ケースごとのグループを、このグループのメンバーとして配置します

また、次の例のようなActive Directoryのディレクトリ情報ツリーでの配置を推奨します。

上記の内容で設定した場合、「Active Directory ユーザとコンピューター」は以下のような状態になります。

「IIJ IDサービス利用者グループ」のプロパティを開くと以下の画面が表示されます。

「Microsoft 365利用者グループ」のプロパティを開くと以下の画面が表示されます。