1. エージェントをダウンロードする

1. Zoho Directory にサインインします。左側メニューで[Admin Panel]をクリックします。
   
2. [Directory ストア]タブに移動します。[Directory を追加]をクリックします。
   
3. [Active Directory]を探して[追加]をクリックします。
   
4. [エージェントのダウンロード]画面で次を行います。
1. 前提条件を確認します。
   
2. 表示されているインストールキーをコピーします。
   
3. [エージェントをダウンロード]をクリックし、ダウンロードが完了するまで待ちます。
   

2. エージェントをインストールする

1. ダウンロードしたファイル ZohoDirectory_IdentityConnect.msi を実行して、インストールを開始します。
   
2. インストールキーを貼り付けます。正しく検証されると、自動的に設定ウィザードが表示され、残りのインストール手順を完了できます。
   
3. [ようこそ]画面で、使用する言語を選択します。
   
4. ソフトウェア使用許諾契約をよく読み、条件に同意します。[続行]をクリックします。一部のレガシーシステムでは、URL をクリックしても自動的にページへリダイレクトされない場合があります。その場合は、🔗をクリックして URL をコピーし、ブラウザーに貼り付けて使用許諾契約を確認してください。
   
        
   
   
5. ブラウザーで、表示されたログイン URL を開きます。
   
        
   
   
6. まだサインインしていない場合は、Zoho Directory の管理者アカウントにサインインします。
   
7. インストーラーに表示されている確認コードを入力します。
   
8. サインインに成功すると、Zoho アカウントのメールアドレスと表示名が記載された確認画面が表示されます。[続行]をクリックします。
   
        
   
   
9. エージェントのインストールが完了したら、Zoho Directory で同期設定を行います。
   

   この手順で発生する可能性のあるエラーと対処方法

   エラー	対処方法
   確認コードには有効期限があり、期限（5 分）を過ぎると無効になります。	[再試行]をクリックして新しいコードを生成し、そのコードを使用してサインインし、LDAP 設定の構成を続行します。
   ネットワークの問題により、エージェントが Zoho サーバーに接続できない場合があります。	[再試行]をクリックします。エラーが解消しない場合は、サポートにお問い合わせください。

   
   

3. Zoho Directory で同期を設定する
   

1. LDAP 接続情報を設定する
   

1. この手順は重要です。ここで、エージェントが Active Directory に接続し、同期対象となるユーザーとグループのデータを取得できるようにします。
   
2. ディレクトリ情報を入力します：ドメイン名、ドメイン コントローラー、ユーザーの識別名 (DN)、パスワード。すべて有効な値であることを確認してください。
   
        
   
   
3. 安全な接続のために SSL を有効にします。
   
4. SSL を有効にすることで、送信中の機密ディレクトリ データを保護できます。
   
5. SSL を使用するには：
   
1. ドメイン コントローラーに、そのドメイン向けに発行された有効な SSL 証明書がインストールされている必要があります。
   
2. ドメイン コントローラー名を入力する項目には、必ず FQDN（完全修飾ドメイン名）を使用してください（例：ldap-server-1.zylker.com）。ホスト名のみを使用すると、SSL 接続に失敗します。
   
6. [次へ]をクリックして LDAP 設定を検証します。'LDAP server goes unreachable' エラーが表示された場合は、[再試行]をクリックして再度接続を試してください。エージェント マシンと LDAP サーバー間の接続に問題がないことを確認してください。

2. インストールを完了する
   

1. [Install]をクリックして、エージェントのセットアップを完了します。インストールが正常に完了すると、エージェントが起動します。
   メモ:組織の省電力設定やログイン ポリシーに応じて、エージェント マシンのネットワーク接続が継続的に維持されるようにしてください。
2. をクリックして、次の操作を実行します。
   
1. 担当者を変更 - エージェントに関連付けられている Zoho Directory 管理者アカウントを切り替えます。元の管理者が組織を離れた場合や、LDAP へのアクセス権を失った場合に使用します。
   
        
   
   
2. LDAP 設定を変更 - ここで LDAP サーバーの詳細を変更できます。変更後、[更新]をクリックして保存します。
   
3. Zoho Directory の Admin Panel に戻り、残りの設定を完了します。
   

3. 同期オプションを設定する

1. 組織単位 (OU) を選択する
   

1. Admin Panel で、[Active Directory] に移動します。
   
2. Zoho Directory と同期する OU を選択します。
   
3. 同期に含めるオブジェクト種別を選択します：
   
1. ユーザー
   
2. グループ
   
3. セキュリティ グループ
   
4. カスタム LDAP クエリー - 有効な LDAP クエリーを入力し、[保存]をクリックして、特定の LDAP 属性に基づいて同期します。
   
4. 選択した OU を確認します。
   
1. 既存の OU 設定を編集または削除します。
2. 別の OU を追加するには、[OU を追加]をクリックします。
   
3. 設定が完了したら、[追加して続行]をクリックします。
   

2. Zoho Directory の項目と LDAP 項目をマッピングする

1. ユーザー データが正しく移行されるようにするための重要な設定です。
   
2. [ユーザー マッピング]と[グループ マッピング]を切り替えて設定します。
   
3. 項目は自動提案されますが、手動でマッピングすることもできます。
   
4. タブを使用して、[すべての項目]、[マッピング済み]、[未マッピング]でフィルターできます。たとえば、Zoho Directory の「姓」項目を、LDAP の「Surname」属性にマッピングできます。
   
5. カスタム属性の場合：
   
1. 表示されている既定の属性の横にある[編集]をクリックします。
   
2. [カスタム AD 属性]を選択します。
   
3. 属性名を入力して保存します。
   

3. 同期条件を定義する
   

1. [SET SYNC CRITERIA] 画面で、同期対象とするユーザーやグループを指定します。必要に応じて [Groups] タブに切り替えます。
   
2. インポート方法を選択します：[条件に基づく] または [すべてのユーザー]
   
3. 条件を使用する場合は、項目、条件、値を定義します。[保存して次へ]をクリックします。
   

4. 同期設定を構成する

1. パスワード同期エージェント（別途インストール）
   

1. メインの Identity Connect エージェントは、有効な Active Directory 情報と連携することで、複数のパスワード同期エージェント（ドメイン コントローラーごとに 1 つ）をデプロイできるようにし、これらのドメイン コントローラー上で行われたパスワード変更を即座に検出して Zoho Directory に安全に同期します。
   
2. パスワード同期エージェントを使用するための前提条件:
1. ドメイン管理者レベルの権限を持つ LDAP アカウントを使用します。Identity Connect の設定時に指定したのと同じアカウント資格情報が、このインストールでも使用されます。
   
2. パスワード同期エージェントをインストールする予定の各ドメイン コントローラーで、Powershell リモート（WinRM）が有効になっていることを確認します。エージェントをインストールしないドメイン コントローラーでは、WinRM を有効にする必要はありません。WinRM を有効にする方法を参照
   
3. インストールを実行するマシンと対象のドメイン コントローラーの両方で SMB（Server Message Block）が有効になっており、ファイアウォールで許可されていることを確認します（SMB は通常 ポート 445 を使用します）。SMB を検出および有効化する方法を参照
   
4. Identity Connect エージェントをインストールしているマシンは、有効な Active Directory ドメインに参加している必要があります。
   
3. 有効化手順:
   
1. トグルを有効にして、ユーザーのパスワードを Active Directory から Zoho Directory へ安全に同期します。（ドメイン名は、Identity Connect エージェントのインストール時に入力した情報に基づいて自動入力されます。）
   
2. パスワード同期が必要なドメイン コントローラーを選択し、すべてのコントローラーがこのエージェントを配置するための前提条件を満たしていることを確認します。
   
   

   Zoho Directory Identity Connect エージェントは、選択したドメイン コントローラーに対して SMB 経由でパスワード同期エージェントのインストーラー ファイルを転送します。SMB が無効またはブロックされている場合、ファイル転送は失敗し、インストールを続行できません。
   転送されるファイルはパスワード同期エージェントの MSI インストーラー ファイル（ZohoDirectory_PasswordSynchronizer.msi）であり、Zoho Directory Identity Connect エージェントがインストールされているマシンから、選択したドメイン コントローラーへ正常にコピーされる必要があります。SMB が必要となるのはこのファイル転送の段階のみです。インストールが完了した後は、SMB は不要になります。
3. インストール後にドメイン コントローラーを自動的に再起動するかどうかを選択します。どちらを選択した場合でも、パスワード同期エージェントが有効になるのは、ドメイン コントローラーの再起動後です。
   
4. インストールが失敗した場合、インストーラーには「Installation 失敗」とのみ表示されます。これは、前提条件のいずれかが満たされていないことが主な原因です。
   
1. 指定されたアカウントにドメイン管理者権限がない
   

   

   権限不足が原因でインストールに失敗した場合
   

   パスワード同期エージェントのインストールでは、ドメイン コントローラー上でのファイル転送やコマンド実行などのリモート操作を行うために、昇格された権限が必要です。Identity Connect エージェントで設定されているアカウントに十分な権限がない場合、インストールは失敗する可能性があります。
   

   解決方法:
   

   1. Identity Connect エージェントを、インストールされているマシン上で開きます。
      
   2. ディレクトリの資格情報を、ドメイン管理者権限を持つアカウントに更新します。
      
   3. 変更を保存し、管理者パネルからパスワード同期エージェントのインストールを再試行します。
      

   
   

   資格情報の更新にあたって、Identity Connect エージェント自体を再インストールする必要はありません。権限、WinRM、SMB の利用可否を確認してもインストールに失敗する場合は、Zoho Directory サポートにお問い合わせください。
   
2. ドメイン コントローラーで WinRM が有効になっていない。
   
3. エージェント ファイルをドメイン コントローラーに転送できませんでした。これは、いずれかのマシンで SMB サービスが無効になっているか、ファイアウォールによってブロックされている（ポート 445）ためです。
   
   メモ:ディレクトリ同期されたユーザーが Zoho Directory から削除された場合、そのユーザーを Zoho Directory 上で再プロビジョニングしない限り、Active Directory でのそのユーザーのパスワード変更は同期されません。

2. ユーザー同期設定
   

1. Active Directory の変更内容に基づいて、ユーザー アカウントをどのように処理するかの自動ルールを設定します。
   

   Setting	What it is for	設定
   パスワード通知	新規ユーザーに初期パスワードをどのように通知するかを決定します	ユーザーにメールで OTP を送信 - 新規ユーザーには、登録済みメールアドレス宛に OTP を記載したメールが直接送信されます。 管理者にメールで OTP を送信 - 管理者が OTP または設定情報を受け取り、その後ユーザーに手動で転送します。 通知しない - 自動通知は送信されません。管理者が別の手段でユーザーにログイン資格情報を手動で通知する必要があります。
   ステータス同期	ユーザーの AD アカウント ステータスの変更を Zoho Directory にどのように反映するかを選択します。	反映する - AD で無効になった場合、ZD アカウントも無効になります（復元された場合は再度有効になります）。 何もしない - AD のステータス変更を無視します。 「何もしない」を選択した場合、システムはユーザー ステータスを管理しなくなります。「ユーザーが選択済み OU を離れたとき」の設定は無効化され、使用できません。この設定にはステータス同期が有効であることが必要なためです。この相互動作の詳細は、表の後に示す説明を参照してください。
   メール通知	同期されたユーザーに通知メールを送信するかどうかを選択します。	送信する - 新たに同期されたユーザーにメールを送信し、保留中ユーザーには招待リンクを再送信します。 送信しない - ユーザーにはメール通知を送信しません。
   ユーザーが選択済み OU を離れたとき	ユーザーが選択済み／同期対象の AD OU から移動されたときに、Zoho Directory でどのように処理するかを定義します。	無効にする - ユーザーの Zoho アカウントを自動的に無効にします。 何もしない - ユーザーの Zoho アカウントは有効のままですが、今後の同期処理には含まれなくなります。

1. 重要なメモ:設定 2 と設定 4 の間には重要な連動があります。「ユーザーが選択済み OU を離れたとき」の設定は、ステータス同期に依存しています。前者は、後者がZoho Directory に反映に設定されている場合にのみ利用できます。ステータス変更に対して何もしないを選択した場合、システムは OU メンバーシップに基づいてユーザー ステータスを管理できません。そのため、設定 4 は完全に無効になります。
   

   例として、AD に Dexter という名前のユーザーがいると仮定し、次の 2 つの設定で同期時にどのような影響を受けるかを見てみましょう。

   ステータス同期	ユーザーが選択済み OU から移動したとき	Dexter に対して AD 上で行われる操作	結果（ZD 上）
   ZD に反映	ZD で無効にする	Dexter が OU から削除されるが、AD 上では有効なまま	Dexter の Zoho アカウントは無効になる（OU ルールが適用）
   何もしない	（「何もしない」を選択すると、この項目は無効になります）	Dexter が OU から削除される	Dexter の Zoho アカウントは有効のままですが、同期は行われなくなります（ステータス同期設定がステータス変更を無視しており、OU ベースの処理もオフになっているため）。
2. 有効ディレクトリでのユーザーの完全削除を Zoho Directory に反映する:
   Zoho Directory Identity 接続が有効な場合、有効ディレクトリがユーザー検出のデータソースとして機能します。有効ディレクトリでユーザーが削除または無効化されると、Zoho Directory で実行される対応処理は、設定されているステータス同期設定に依存します。
   

   ステータス同期が「反映」に設定されている場合、有効ディレクトリで無効化または削除されたユーザーは、Zoho Directory でも無効化されます。組織として、ユーザーを単に無効化するのではなく Zoho Directory から完全に削除したい場合は、この設定をアカウントで有効にするために Zoho Directory サポートにお問い合わせください。削除の伝播を有効にすると、有効ディレクトリ側でユーザーが無効化または削除されたタイミングで、Zoho Directory 上のユーザーも完全に削除されます。
   

   ユーザーの削除手順や担当者の引き継ぎ方法については、ユーザーを削除する方法
   を参照してください。

   管理者削除に関するメモ:各 Identity 接続設定には、Zoho Directory 管理者が関連付けられています。同期を中断させないため、システムは依存関係を持つ管理者アカウントの削除や無効化を許可しません。まずトレイアプリで担当者を変更オプションを使用し、依存関係を別の管理者に引き継いでから、元のアカウントを削除する必要があります。担当者は必ず別の管理者に再割り当てしてください。依存関係を解消せずに削除しようとすると、システムは操作をブロックし、そのユーザーをすべての依存関係が解消されるまで「削除保留中」状態にします。
   
1. Zoho Directory からディレクトリ同期ユーザーを削除する場合:Zoho Directory でユーザーを削除しても、有効ディレクトリ側のユーザーは削除されません。
   

   データ損失に関する注意: 「ZD で削除」が有効な場合、有効ディレクトリからユーザーを削除すると、そのユーザーの Zoho メール、ファイル、各種サービスのデータは完全に消去されます。このデータは、後からユーザーを有効ディレクトリから再同期しても復元できません。

   ユーザー削除後の一般的な同期シナリオ

   以下のシナリオは、代表的な設定に基づく一般的な結果を示したものです。実際の結果は、同期条件やステータス設定によって異なります。
   

   
   

   シナリオ	ZD 側の操作	AD 側の操作	手動同期の結果	スケジュール同期の結果
   手動での再作成	ユーザー削除	ユーザーは存在し、条件を満たしている	ユーザーが「作成対象ユーザー」に表示される	ユーザーが自動的に再作成される
   完全削除	ユーザー削除	ユーザー削除	操作なし	再プロビジョニングなし（ユーザーは削除されたまま）
   Zoho と AD の混在処理（または）矛盾する処理	ユーザー削除	ユーザー削除 または ユーザーを無効化 / 同期対象 OU の外へ移動	ステータス同期設定に依存	ステータス同期設定に依存

   
   

3. 同期スケジュールの設定
   

1. 同期の頻度（毎日 / 週次 / 月次）と実行時間を設定します。[保存して次へ]をクリックします。
   有効ディレクトリまたは Zoho Directory での変更は、設定した同期スケジュールに基づいて反映されるため、すぐには反映されない場合があります。

4. 同期内容の確認と確定

1. インポートされた一覧から Zoho Directory に追加するユーザーを確認・選択します。この画面では、次のフィルターでユーザーを確認できます。
   
1. 新規ユーザー - ディレクトリには存在するが、まだ Zoho Directory には存在しないユーザー。
   
2. 更新対象ユーザー - 次回の同期で、ディレクトリの情報に基づいて情報が更新される既存の ZD ユーザー。
   
3. 有効化 / 無効化対象 - ディレクトリ上のステータスに基づき、有効化または無効化されるユーザー。このカテゴリのユーザーについては、アクセス権が意図せず変更されることを防ぐため、同期を実行する前に必ず内容を確認してください。
   
4. 無視 - 定義した同期条件を満たさないユーザー。
   
2. [追加して続行]をクリックします。
   
3. 概要を確認し、[完了]をクリックして設定を完了します。複数のドメインコントローラーにインストールされている場合でも、パスワード同期エージェントは同じ Identity 接続設定の下で連携し、追加の手作業なしで、すべてのパスワード更新を同期します。
   

「切断」ステータスのトラブルシューティング

1. マシンがインターネットに正常に接続できていることを確認します。
2. マシンのシステム日付と時刻が正しいことを確認します。