Splashtop Secure Workspace の Active Directory 同期は、Active Directory および Windows ドメインユーザーのパスワードを定期的に更新し、更新されたパスワードをワークスペースのシークレットボルトに保存します。
IT 管理者の準備: コネクタのデプロイとアクセス許可の設定
Active Directoryの同期を開始する前に、IT管理者は、組織のプライベートネットワークまたはクラウド環境内で2つの主要な準備手順を実行する必要があります。
- コネクタのデプロイ: 『Deploy Connectors Guide 』に記載されている詳細な手順に従って、コネクタをデプロイします。このガイドでは、セキュアワークスペースと内部ネットワーク間のセキュアな通信を容易にするために重要なコネクタの設定プロセスについて概説します。
-
コネクタ操作の強化された特権: Active Directory の同期をスムーズにするために、特に非ドメイン コントローラー マシンにコネクタをデプロイする場合、コネクタ サーバーのログオン ユーザーのアクセス許可と設定に関する詳細な要件を次に示します。
a.デプロイ場所:
コネクタは、ドメイン コントローラー以外のマシンにデプロイできます。これにより、システムアーキテクチャの柔軟性が向上し、分散管理が可能になります。
b.サーバーログオンユーザー設定:
・ドメイン メンバー ユーザー:
サーバー ログオン ユーザーがドメインのメンバーであることを確認します。これは、Active Directory との適切な通信と必要な操作の実行に不可欠です。
・Account Operator Group のメンバー:
サーバー ログオン ユーザーを Account Operator グループのメンバーとして設定します。Account Operator グループのメンバーは、通常、同期プロセスに不可欠な Active Directory ユーザー パスワードを変更するために必要なアクセス許可を持っているため、この手順は重要です。
・ローカル管理者特権:
サーバー ログオン ユーザーを、コネクタを実行しているマシンのローカル管理者 (ローカル管理者) として設定することをお勧めします。これにより、ユーザーはサービスの開始とログの書き込みに十分な権限を持つことができ、コネクタの効果的な操作とトラブルシューティング機能を確保できます。
ステップ 1: Active Directory 設定へのアクセス
- Splashtop Secure Workspace のスーパー管理者または組織管理者アカウントにログインします。
- Secrets Manager に移動し、[AD Sync] セクションを選択して [AD 同期] ページにアクセスします。
Active Directory 同期設定
AD 同期について、次の設定を構成します。
- 同期名: 同期プロセスの一意の名前を入力します。
- 表示名: 識別しやすいように表示名を指定します。
- コネクタ: コネクタが管理者権限を持つドメイン コントローラーで実行されていることを確認します。 [テスト ] ボタンを使用して、適切な権限を確認します。
- ターゲット フォルダー: 同期されたユーザー パスワードを保存するフォルダーをシークレット マネージャーで指定します。このフォルダーは、テナントの共有フォルダー内にある必要があります。フォルダパスを指定し、必要に応じて新しいフォルダを作成します。
- 同期間隔: 同期の頻度を設定します (特定の時刻の日単位または時間単位)。
- パスワード設定: パスワードの長さ (デフォルトは 10) を定義し、複雑なパスワードの要件を切り替えます (パスワードは複雑さの要件を満たす必要があります)。
制御されたADユーザー管理
- 検索機能:右上隅にある検索機能を使用して、ユーザーをすばやく見つけます。
- 同期ユーザーの追加: クリックすると、同期にユーザーが追加されます。コネクタは、ドメイン コントローラーからすべてのユーザーを取得し、ユーザー名とプリンシパル名を表示します。特定のユーザーを検索したり、一度に複数のユーザーを追加したりできます。
ユーザー同期テーブル
このテーブルには、次の列が表示されます。
- ユーザー名
- シークレットタイトル
- ステータス (同期済み、失敗)
- 最終同期日
-
アクション (変更または削除)
・変更:
このオプションを使用すると、ユーザーのパスワードの Vault に保存されている既存のシークレットを直接編集できます。「変更」を選択すると、その特定のユーザーに関連付けられたシークレットのパスワードまたはその他の関連詳細を更新できます。これは、システム内の最新の正確な資格情報を維持するために重要です。
・[削除]:
同期リストからユーザを削除します。このアクションでは、ユーザーは Active Directory から削除されませんが、このシステムを介したパスワードの同期と管理は停止されます。
同期の終了と実行
- すべての設定を構成したら、変更を保存して適用します。
- 必要に応じて、[ 今すぐ同期 ] ボタンを使用して、同期をすぐに開始します。