同期対象を管理するためのActive Directoryグループの準備

Directory Syncの同期対象を管理するためのActive Directoryグループを準備します。

同期対象を管理するActive Directoryグループがすでに用意されている場合は、準備の必要はありません。

Active Directoryグループの推奨構成

IIJ IDサービスではグループごとにアプリケーションの利用者設定やログインポリシーなどを設定できます。

Directory Syncで同期したグループを利用者やログインポリシーに割り当てることで、以降はActive Directoryでのグループメンバーの操作のみで利用者の追加・削除やログインポリシーの変更などが行えます。

これらを実現するため、次のようなActive Directoryグループの作成を推奨します。

  • IIJ IDサービス上で利用するケースごとに、グループを準備
    • 例)Office 365利用グループ、社外アクセス許可グループなど
    • Active Directoryのユーザオブジェクト、グループオブジェクトは、このグループのメンバーとして配置します
  • Directory Syncの同期対象として指定するグループを準備
    • 例)IIJ IDサービス利用グループ
    • 上で準備した利用ケースごとのグループを、このグループのメンバーとして配置します

また、次の例のようなActive Directoryのディレクトリ情報ツリーでの配置を推奨します。