オンプレミスディレクトリをZoho Directory Identity Connectと連携する方法

オンプレミスディレクトリをZoho Directory Identity Connectと連携する方法

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

この操作を実行するために必要なロール

  1. 組織管理者
  2. 組織担当者
Zoho Directory Identity 接続は、組織の Active Directory を Zoho One に接続するオンプレミス エージェントです。ユーザー、グループ、ディレクトリ属性をオンプレミスのディレクトリから Zoho One へ自動同期できるため、ユーザー管理を手動で行う必要が大幅に減ります。
Identity 接続エージェントは組織のネットワーク内で動作し、Zoho One と安全に通信して、組織単位、属性、フィルターなど、定義した同期ルールに基づいてディレクトリ データを最新の状態に保ちます。
Identity 接続エージェントは、ネットワーク接続が利用可能である限り、Windows マシン上で継続的に動作し、同期を維持します。管理者が設定を管理できる構成インターフェイス(トレイ アプリ)もインストールされます。
Identity 接続は、オプション機能としてパスワード同期エージェントにも対応しています。これは、選択したドメイン コントローラーにインストールして、Active Directory のパスワード変更を取得し、ほぼリアルタイムで Zoho One に同期できます。これにより、ユーザーは Active Directory の認証情報を使って Zoho サービスへのサインインを継続できます。
Identity 接続を有効にすると、ユーザーの検出とライフサイクル管理において、Active Directory がプライマリの信頼できるデータソースとなり、Zoho Directory はディレクトリの状態と同期ルールに基づいて変更内容を反映します。
Notes
パスワード同期を有効にする予定がある場合は、このガイドの後半にあるパスワード同期エージェントの前提条件を確認してください。
このガイドでは、Identity 接続のインストール、ディレクトリ同期の設定、必要に応じたパスワード同期エージェントのセットアップ手順を説明します。

この連携の設定手順は、Zoho One でサポートされている 2 つのユーザーインターフェイス バージョンによって異なります。下のタブから使用している UI バージョンを選択し、そのタブ内の手順に従ってください。 
Spaces UI
UUI
Spaces UI
以下の要件を満たすマシンに Identity 接続エージェントをダウンロードしてインストールします
  1. サポート対象プラットフォーム:64 ビット Windows Server 2008 以降 / Windows 10 以降
  2. ディレクトリを読み取り可能な LDAP ユーザー認証情報
  3. エージェントは、LDAP サーバーと同一ネットワーク内のマシンにインストールする必要があります(パスワード同期エージェントもインストールする場合は、ドメイン コントローラーへのインストールを推奨)。

  1. エージェントをダウンロードする

    1. Zoho One にサインインします。右上隅の をクリックします。
    2. [Directory ストア] タブに移動します。[ディレクトリを追加] をクリックします。
    3. [Active Directory] を探して、[追加] をクリックします。
    4. [エージェントをダウンロード] 画面で次を行います。
      1. 前提条件を確認します。
      2. 表示されているインストール キーをコピーします。
      3. [エージェントをダウンロード] をクリックし、ダウンロードが完了するまで待ちます。

  2. エージェントをインストールする

    1. ダウンロードしたファイル ZohoDirectory_IdentityConnect.msi を実行して、インストールを開始します。
    2. インストール キーを貼り付けます。正しく検証されると、自動的に設定ウィザードが表示され、残りのインストール手順を完了できます。
    3. [ようこそ] 画面で、使用する言語を選択します。
    4. ソフトウェア ライセンス契約をよく読み、条件に同意します。[続ける] をクリックします。一部のレガシー システムでは、URL をクリックしても自動的にページへリダイレクトされない場合があります。その場合は 🔗 をクリックして URL をコピーし、ブラウザーに貼り付けて内容を確認してください。

           

    5. ブラウザーで、表示されたログイン URL を開きます。

           

    6. まだサインインしていない場合は、Zoho One の管理者アカウントにサインインします。
    7. インストーラーに表示されている確認コードを入力します。
    8. サインインに成功すると、Zoho アカウントのメールアドレスと表示名が記載された確認画面が表示されます。[続ける] をクリックします。

           

    9. エージェントのインストールが完了したら、Zoho One で同期設定を行います。

      この手順で発生する可能性のあるエラーと対処方法

      エラー
      対処方法
      確認コードには有効期限があり、期限(5 分)を過ぎると無効になります。
      [再試行] をクリックして新しいコードを生成し、そのコードを使用してサインインし、LDAP 設定の構成を続行します。
      ネットワークの問題により、エージェントが Zoho サーバーに接続できない場合があります。
      [再試行] をクリックします。エラーが解消しない場合は、サポートにお問い合わせください。

  3. Zoho One で同期を設定する

    1. LDAP 接続情報を設定する

      1. この重要な手順で、エージェントが Active Directory に接続し、同期対象のユーザーとグループのデータを取得できるようにします。
      2. ディレクトリ情報を入力します:ドメイン名、ドメイン コントローラー、ユーザーの識別名 (DN)、パスワード。すべて正しい値であることを確認してください。

             

      3. 安全な接続のために SSL を有効にします。
      4. SSL を有効にすると、送信中の機密ディレクトリ データが保護されるため推奨されます。
      5. SSL を使用するには:
        1. ドメイン コントローラーに、そのドメイン向けに発行された有効な SSL 証明書が必要です。
        2. ドメイン コントローラー名を入力する項目には、必ず FQDN(完全修飾ドメイン名)を使用してください(例:ldap-server-1.zylker.com)。ホスト名のみを使用すると、SSL が失敗します。
      6. [次へ] をクリックして LDAP 設定を検証します。LDAP サーバーに到達できないというエラーが表示された場合は、[再試行] をクリックして再度接続を試してください。エージェント マシンと LDAP サーバー間の接続に問題がないことを確認してください。

    2. インストールを完了する

      1. [Install] をクリックして、エージェントのセットアップを完了します。インストールが正常に完了すると、エージェントが起動します。
        メモ: 組織の省電力設定やログイン ポリシーに応じて、エージェント マシンのネットワーク接続が継続的に維持されるようにしてください。
      2. をクリックして、次の操作を行います。
        1. 担当者を変更 - 組織から元の管理者が退職した場合や LDAP へのアクセス権を失った場合に、エージェントに紐づく Zoho One 管理者アカウントを切り替えます。

               

        2. LDAP 設定を変更 - ここで LDAP サーバーの詳細を変更できます。変更後は [更新] をクリックして保存します。
      3. Zoho One の管理者パネルに戻り、残りの設定を完了します。

    3. 同期オプションを設定する

      1. 組織単位 (OU) を選択する

        1. Zoho One の Directory ストアから、[Active Directory] に移動します。
        2. Zoho One と同期する OU を選択します。
        3. 含めるオブジェクト種別を選択します:
          1. ユーザー
          2. グループ
          3. セキュリティ グループ
          4. カスタム LDAP クエリー - 有効な LDAP クエリーを入力し、[保存] をクリックすると、特定の LDAP 属性に基づいて同期されます。
        4. 選択した OU を確認します。
          1. 既存の OU 設定を編集または削除します。
          2. 他の OU を追加するには、[OU を追加] をクリックします。
          3. 設定が完了したら、[追加して続行] をクリックします。

      2. Zoho One の項目と LDAP 項目をマッピングする

        1. ユーザー データが正しく移行されるようにするための重要な設定です。
        2. [ユーザー マッピング][グループ マッピング] を切り替えて設定します。
        3. 項目は自動提案されますが、手動でマッピングすることもできます。
        4. タブを使用して、[すべての項目][マッピング済み][未マッピング] で絞り込めます。たとえば、Zoho One の「姓」項目を LDAP の「Surname」属性にマッピングできます。
        5. カスタム属性の場合:
          1. 表示されている既定の属性の横にある [編集] をクリックします。
          2. [カスタム AD 属性] を選択します。
          3. 属性名を入力して保存します。

      3. 同期条件を定義する

        1. [SET SYNC CRITERIA] 画面で、同期対象とするユーザーやグループを指定します。必要に応じて [Groups] タブに切り替えます。
        2. インポート方法を選択します:条件に基づく / すべてのユーザー
        3. 条件を使用する場合:項目、関係、値を定義し、[保存して次へ] をクリックします。

    4. 同期設定を構成する

      1. パスワード同期エージェント(別途インストール)

        1. メインの Identity Connect エージェントは、有効なディレクトリ情報と連携することで、複数のパスワード同期エージェント(ドメインコントローラーごとに 1 つ)をデプロイできるようにし、これらのドメインコントローラー上で行われたパスワード変更を即座に取得して Zoho One に安全に同期します。
        2. パスワード同期エージェントを使用するための前提条件:
          1. ドメイン管理者レベルの権限を持つ LDAP アカウントを使用します。Identity Connect の設定時に指定した同じアカウントの認証情報が、このインストールでも使用されます。
          2. パスワード同期エージェントをインストールする予定の各ドメインコントローラーで、Powershell リモート(WinRM)が有効になっていることを確認します。エージェントをインストールしないドメインコントローラーでは、WinRM を有効にする必要はありません。WinRM を有効にする方法を参照
          3. インストールを実行するマシンと対象のドメインコントローラーの両方で SMB(Server Message Block)が有効になっており、ファイアウォールで許可されていることを確認します(SMB は通常 ポート 445 を使用します)。SMB を検出および有効にする方法を参照
          4. Identity Connect エージェントをインストールしているマシンは、有効なディレクトリドメインに参加している必要があります。
        3. 有効化手順:
          1. トグルを有効にして、有効なディレクトリから Zoho One へユーザーのパスワードを安全に同期します。(ドメイン名は、Identity Connect エージェントのインストール時に入力した情報に基づいて自動入力されます。)
          2. パスワード同期が必要なドメインコントローラーを選択し、選択したすべてのドメインコントローラーが、このエージェントを配置するための要件を満たしていることを確認します。
            Info
            Zoho Directory Identity Connect エージェントは、SMB を使用して選択したドメインコントローラーにパスワード同期エージェントのインストーラー ファイルを転送します。SMB が無効になっているかブロックされている場合、ファイル転送は失敗し、インストールを続行できません。
            転送されるファイルはパスワード同期エージェントの MSI インストーラー ファイル(ZohoDirectory_PasswordSynchronizer.msi)であり、Zoho Directory Identity Connect エージェントがインストールされているマシンから、選択したドメインコントローラーへ正常にコピーされる必要があります。SMB が必要となるのはこのファイル転送の段階のみです。インストールが完了した後は、SMB は不要です。
          3. インストール後にドメインコントローラーを自動的に再起動するかどうかを選択します。どちらを選択した場合でも、パスワード同期エージェントが有効になるのは、ドメインコントローラーを再起動した後のみです。
        4. インストールが失敗した場合、インストーラーには Installation failed とだけ表示されます。主な原因は、前提条件のいずれかが満たされていない場合です。
          1. 指定されたアカウントにドメイン管理者権限がない
            Notes
            権限不足が原因でインストールに失敗した場合:
            パスワード同期エージェントのインストールでは、ドメインコントローラー上でのファイル転送やコマンド実行などのリモート操作を行うために、昇格された権限が必要です。Identity Connect エージェントで設定されているアカウントに十分な権限がない場合、インストールは失敗する可能性があります。
            解決方法:
            1. Identity Connect エージェントをインストールしているマシンで、Identity Connect エージェントを開きます。
            2. ディレクトリの認証情報を、ドメイン管理者権限を持つアカウントに更新します。
            3. 変更を保存し、管理者パネルからパスワード同期エージェントのインストールを再試行します。
            認証情報の更新にあたって、Identity Connect エージェント自体を再インストールする必要はありません。権限、WinRM、SMB の利用可否を確認してもインストールに失敗し続ける場合は、追加のサポートについて Zoho One サポートにお問い合わせください。
          2. ドメインコントローラーで WinRM が有効になっていない。
          3. エージェントファイルをドメインコントローラーに転送できませんでした。これは、いずれかのマシンで SMB サービスが無効になっているか、ファイアウォール(ポート 445)によってブロックされていることが原因です。

            メモ:ディレクトリ連携されたユーザーが Zoho One から削除された場合、そのユーザーを Zoho One 上で再プロビジョニングしない限り、有効なディレクトリでのそのユーザーのパスワード変更は同期されません。

      2. ユーザー同期設定

        1. 有効ディレクトリでの変更に基づいて、ユーザーアカウントを処理する自動ルールを設定します。
          設定項目
          用途
          設定内容
          パスワード通知
          新規ユーザーに初期パスワードをどのように通知するかを決定します。
          ユーザーにメールで OTP を送信 - 新規ユーザーの登録メールアドレス宛に、OTP を含むメールが直接送信されます。
          管理者にメールで OTP を送信 - 管理者が OTP または設定情報を受け取り、その内容を手動でユーザーに転送します。
          通知しない - 自動通知は送信されません。管理者が別の手段でユーザーに連絡し、ログイン認証情報を手動で共有する必要があります。
          ステータス同期

          ユーザーの AD アカウントステータスの変更を Zoho One にどのように反映するかを選択します。
          反映する - AD で無効化された場合、Zoho One アカウントも無効化されます(復元された場合は再度有効化されます)。
          何もしない - AD のステータス変更を無視します。

          「何もしない」を選択した場合、システムはユーザーステータスを管理しなくなります。「ユーザーが選択済み OU を離れたとき」の設定は、ステータス同期が有効であることを前提としているため、無効化され利用できなくなります。この相互動作の詳細な挙動については、表の後に示す説明を参照してください。
          メール通知
          同期されたユーザーに通知メールを送信するかどうかを選択します。
          送信する - 新たに同期されたユーザーにメールを送信し、保留中のユーザーには招待リンクを再送信します。
          送信しない - ユーザーにはメール通知を送信しません。
          ユーザーが選択済み OU を離れたとき
          ユーザーが選択済み/同期対象の AD OU から外れたときに、Zoho One でどのような処理を行うかを定義します。
          無効にする - ユーザーの Zoho アカウントを自動的に無効化します。
          何もしない - ユーザーの Zoho アカウントは有効のままですが、今後の同期処理には含まれなくなります。
          重要なメモ:設定 2 と設定 4 の間には重要な連動があります。「ユーザーが選択済み OU を離れたとき」の設定はステータス同期に依存しています。後者が Zoho One に反映に設定されている場合にのみ、前者を利用できます。ステータス変更に対して何もしないを選択した場合、システムは OU メンバーシップに基づいてユーザーステータスを管理できません。そのため、設定 4 は完全に無効になります。たとえば、AD に Dexter というユーザーがいると仮定し、次の 2 つの設定が同期時に Dexter にどのような影響を与えるかを見てみます。
          ステータス同期
          ユーザーが選択済み OU から移動したとき
          Dexter(AD 側)に対して行われる操作
          結果(Zoho 側)
          Zoho One に反映
          Zoho One で無効にする
          Dexter は OU から削除されますが、AD では有効のままです。
          Dexter の Zoho アカウントは無効になります(OU ルールが適用されます)。
          何もしない

          (「何もしない」を選択すると、この項目は無効になります)
          Dexter は OU から削除されます。
          Dexter の Zoho アカウントは有効のままですが、同期は行われなくなります(ステータス同期設定でステータス変更を無視しており、OU ベースの処理もオフになっているため)。
        2. 有効ディレクトリから Zoho One へのユーザーの完全削除(ハードデリート)の反映:
          Zoho Directory Identity 接続が有効な場合、有効ディレクトリはユーザー検出のデータソースとして機能します。有効ディレクトリでユーザーが削除または無効化された場合、Zoho One での対応処理は、設定されている ステータス同期設定に依存します。
          ステータス同期が「反映」に設定されている場合、有効ディレクトリで無効化または削除されたユーザーは、Zoho One でも無効化されます。組織として、ユーザーを単に無効化するのではなく Zoho One から完全に削除する必要がある場合は、この設定をアカウントで有効化するために Zoho One サポートにお問い合わせください。削除の伝播を有効にすると、有効ディレクトリでユーザーが無効化/削除されたタイミングで、Zoho One 上のユーザーも完全に削除されます。
          ユーザーの削除と担当者の引き継ぎ処理の手順については、ユーザーを削除する方法を参照してください。
          Notes管理者削除に関するメモ:各 Identity 接続設定は、1 人の Zoho One 管理者に関連付けられています。同期を中断させないため、システムは依存関係を持つ管理者アカウントの削除や無効化を許可しません。まずトレイアプリで 担当者を変更 オプションを使用して、依存関係を別の管理者に引き継ぐ必要があります。その後でのみ、元のアカウントを削除できます。必ず担当者を別の管理者に再割り当てしてください。依存関係を残したまま削除を試みると、システムは操作をブロックし、その管理者を「削除保留中」状態にして、すべての依存関係が解消されるまで削除を保留します。
          1. Zoho One からディレクトリ同期されたユーザーを削除する場合:Zoho One でユーザーを削除しても、有効ディレクトリ上のユーザーは削除されません。
            Warningデータ損失に関する注意: 「Zoho One で削除」が有効な場合、有効ディレクトリからユーザーを削除すると、そのユーザーの Zoho メール、ファイル、各種サービスデータは完全に消去されます。このデータは、有効ディレクトリからユーザーを再同期しても復元できません。

            ユーザー削除後の一般的な同期シナリオ:            以下のシナリオは、代表的な設定に基づく一般的な結果を示したものです。実際の結果は、同期条件やステータス設定によって異なります。

            シナリオ
            ZD 側の操作
            AD 側の操作
            手動同期の結果
            スケジュール同期の結果
            手動での再作成
            ユーザー削除
            ユーザーは存在し、同期条件を満たしている
            ユーザーは「作成するユーザー」に表示される
            ユーザーが自動的に再作成される
            完全な削除
            ユーザー削除
            ユーザー削除
            何も行われない
            再プロビジョニングなし(ユーザーは削除されたまま)
            Zoho と AD の混在処理(または)矛盾する処理
            ユーザー削除
            ユーザー削除/ユーザー無効化/同期対象 OU からの移動
            ステータス同期設定に依存
            ステータス同期設定に依存

      3. 同期スケジュール

        1. 同期の頻度(毎日/毎週/毎月)と実行時間を設定します。[保存して次へ] をクリックします。
          有効ディレクトリまたは Zoho One での変更は、設定された同期スケジュールに基づいて反映されるため、すぐには反映されない場合があります。

      4. 同期内容の確認と確定

        1. インポートしたリストから Zoho One に追加するユーザーを確認して選択します。この画面では次のように絞り込みできます:
          1. 新規ユーザー - ディレクトリには存在しますが、まだ Zoho One に追加されていないユーザーです。
          2. 更新対象ユーザー - 既存の Zoho One ユーザーで、次回の同期時にディレクトリの情報で更新されるユーザーです。
          3. 有効化/無効化対象 - ディレクトリ上のステータスに基づいて有効化または無効化されるユーザーです。意図しないアクセス権変更を防ぐため、同期を実行する前にこのカテゴリのユーザーを必ず確認してください。
          4. 無視 - 定義した同期条件を満たさないユーザーです。
        2. [追加して続行]をクリックします。
        3. 概要を確認し、[完了]をクリックして設定を完了します。複数のドメイン コントローラーにインストールすると、パスワード同期エージェントは同じ Identity 接続設定の下で連携し、追加の手動操作なしで、すべてのパスワード更新を同期状態に保ちます。
これで Identity 接続の設定は完了です。以降は、設定したルールに基づいて、AD のユーザーとグループが自動的に Zoho One と同期されます。
また、Identity 接続エージェントとパスワード同期エージェントの詳細なステータスを、次の形式で確認できます。

Identity 接続エージェント
ドメイン コントローラー:エージェントが同期するよう構成されているドメイン コントローラーです。
エージェント バージョン:エージェントの現在のバージョンです。
デバイス名:エージェントがインストールされているマシンの名前です。
ステータス:接続済み / Disconnected。
最終同期:最後に正常に同期された日時です。

パスワード同期エージェント
このセクションには、各ドメイン コントローラーとそのパスワード同期ステータスが一覧表示されます。ここに表示されるすべてのエージェントは同じ Identity 接続セットアップに属しており、複数のドメイン コントローラーを 1 か所からまとめて監視できます。
ステータス:接続済み / Disconnected.
インストール ステータス:インストール開始済み / インストール完了 / インストール失敗

Disconnected ステータスのトラブルシューティング

エージェントのステータスが Disconnected と表示される場合は、
  1. マシンが有効なインターネット接続を利用できることを確認します。
  2. マシンのシステム日付と時刻が正しいことを確認します。
それでもステータスが変わらない場合は、Zoho One サポートまでお問い合わせください。
UUI
以下の要件を満たすマシンに、Identity 接続エージェントをダウンロードしてインストールします
  1. 対応プラットフォーム: 64 ビット版 Windows Server 2008 以降 / Windows 10 以降
  2. ディレクトリを読み取り可能な LDAP ユーザーの認証情報
  3. エージェントは、LDAP サーバーと同一ネットワーク内のマシンにインストールする必要があります(パスワード同期エージェントもインストールする場合は、ドメイン コントローラーへのインストールを推奨します)。

  1. エージェントをダウンロードする

    1. Zoho One にサインインします。左側メニューから [Directory] をクリックします。
    2. [Directory ストア] タブに移動し、[ディレクトリを追加] をクリックします。
    3. [有効 Directory] を探し、[追加] をクリックします。
    4. [エージェントのダウンロード] 画面で次を行います。
      1. 前提条件を確認します。
      2. 表示されているインストールキーをコピーします。
      3. [エージェントをダウンロード] をクリックし、ダウンロードが完了するまで待ちます。

  2. エージェントをインストールする

    1. ダウンロードしたファイル ZohoDirectory_IdentityConnect.msi を実行して、インストールを開始します。
    2. インストールキーを貼り付けます。正しく検証されると、自動的に設定ウィザードが表示され、残りのインストール手順を完了できます。
    3. [ようこそ] 画面で、使用する言語を選択します。
    4. ソフトウェアライセンス契約をよく読み、条件に同意します。[続行] をクリックします。一部のレガシーシステムでは、URL をクリックしても自動的にページへリダイレクトされない場合があります。その場合は、🔗 をクリックして URL をコピーし、ブラウザーに貼り付けて内容を確認してください。

           

    5. ブラウザーで、表示されたログイン URL を開きます。

           

    6. まだサインインしていない場合は、Zoho One の管理者アカウントでサインインします。
    7. インストーラーに表示されている確認コードを入力します。
    8. サインインに成功すると、Zoho アカウントのメールアドレスと表示名が記載された確認画面が表示されます。[続行] をクリックします。

           

    9. エージェントのインストールが完了したら、Zoho One で同期設定を完了します。

      この手順で発生する可能性のあるエラー

      エラー
      対処方法
      確認コードには有効期限があり、期限(5 分)を過ぎると無効になります。
      [もう一度試す] をクリックして新しいコードを生成し、そのコードを使用してサインインし、LDAP 設定の構成を続行します。
      ネットワークの問題により、エージェントが Zoho サーバーに接続できない場合があります。
      [もう一度試す] をクリックします。エラーが解消しない場合は、サポートにお問い合わせください。

  3. Zoho One で同期を設定する

    1. LDAP 接続の詳細を設定する

      1. この手順は重要で、エージェントが有効 Directory に接続し、同期対象のユーザーとグループのデータを取得できるようにします。
      2. ディレクトリ情報を入力します: ドメイン名、ドメイン コントローラー、ユーザーの識別名 (DN)、パスワード。すべて有効な情報であることを確認してください。

             

      3. 安全な接続のために SSL を有効にします。
      4. SSL を利用すると、送信中の機密ディレクトリデータが保護されるため推奨されます。
      5. SSL を使用するには:
        1. ドメイン コントローラーに、そのドメイン宛てに発行された有効な SSL 証明書がインストールされている必要があります。
        2. ドメイン コントローラー名を入力する項目には、必ず FQDN(完全修飾ドメイン名)を使用してください(例: ldap-server-1.zylker.com)。ホスト名のみを使用すると、SSL が失敗します。
      6. [次へ] をクリックして LDAP 設定を検証します。'LDAP server goes unreachable' エラーが表示された場合は、[もう一度試す] をクリックして再度接続を試行します。エージェントが動作しているマシンと LDAP サーバー間に接続の問題がないことを確認してください。

    2. インストールを完了する

      1. [Install] をクリックして、エージェントのセットアップを完了します。インストールが正常に完了すると、エージェントが起動します。
        メモ:組織の省電力設定やログインポリシーに応じて、エージェントが動作するマシンのネットワーク接続が継続して維持されるようにしてください。
      2. をクリックして、次の操作を実行できます。
        1. 担当者を変更 - エージェントに紐づく Zoho One 管理者アカウントを切り替えます。元の管理者が組織を離れた場合や、LDAP へのアクセス権を失った場合に使用します。

               

        2. LDAP 設定を変更 - ここで LDAP サーバーの詳細を変更できます。変更後、[更新] をクリックして保存します。
      3. Zoho One 管理者パネルに戻り、残りの設定を完了します。

    3. 同期オプションを設定する

      1. 組織単位 (OU) を選択する

        1. Zoho One の Directory ストアから、[有効 Directory] に移動します。
        2. Zoho One と同期する OU を選択します。
        3. 同期に含めるオブジェクト種別を選択します:
          1. ユーザー
          2. グループ
          3. セキュリティグループ
          4. カスタム LDAP クエリ - 有効な LDAP クエリを入力し、[保存] をクリックすると、特定の LDAP 属性に基づいて同期できます。
        4. 選択した OU を確認します。
          1. 既存の OU 設定を編集または削除できます。
          2. 別の OU を追加するには、[OU を追加] をクリックします。
          3. 設定が完了したら、[追加して続行] をクリックします。

      2. Zoho One の項目と LDAP 項目をマッピングする

        1. ユーザーデータを正しく移行するために重要な設定です。
        2. [ユーザーのマッピング][グループのマッピング] を切り替えて設定します。
        3. 項目は自動提案されますが、手動でマッピングすることもできます。
        4. [すべての項目][マッピング済み][未マッピング] のタブを使って項目を絞り込めます。たとえば、Zoho One の「姓」項目を、LDAP の「Surname」属性にマッピングできます。
        5. カスタム属性の場合:
          1. 表示されている既定の属性の横にある [編集] をクリックします。
          2. [カスタム AD 属性] を選択します。
          3. 属性名を入力して保存します。

      3. 同期条件を定義する

        1. [SET SYNC CRITERIA] 画面で、同期に含めるユーザーやグループを指定します。必要に応じて [Groups] タブに切り替えます。
        2. インポート方法を選択します: 条件に基づく / すべてのユーザー
        3. 条件を使用する場合: 項目、条件、値を定義し、[保存して次へ] をクリックします。

    4. 同期設定を構成する

      1. パスワード同期エージェント(別途インストール)

        1. メインの Identity 接続エージェントは、有効なディレクトリ情報と連携することで、複数のパスワード同期エージェント(ドメインコントローラーごとに 1 つ)をデプロイし、これらのドメインコントローラー上で行われたパスワード変更を即座に取得して Zoho One に安全に同期できます。
        2. パスワード同期エージェントを使用する前提条件:
          1. ドメイン管理者レベルの権限を持つ LDAP アカウントを使用します。Identity 接続の設定時に指定した同じアカウントの認証情報が、このインストールでも使用されます。
          2. パスワード同期エージェントをインストールする予定の各ドメインコントローラーで、Powershell リモート(WinRM)が有効になっていることを確認します。エージェントをインストールしないドメインコントローラーでは、WinRM を有効にする必要はありません。WinRM を有効にする方法を参照
          3. インストールを実行するマシンと対象のドメインコントローラーの両方で SMB(Server Message Block)が有効になっており、ファイアウォールで許可されていることを確認します(SMB は通常 ポート 445 を使用します)。SMB を検出および有効化する方法を参照
          4. Identity 接続エージェントをインストールしているマシンは、有効なディレクトリドメインに参加している必要があります。
        3. 有効化手順:
          1. トグルを有効にして、有効ディレクトリから Zoho One へユーザーのパスワードを安全に同期します。(ドメイン名は、Identity 接続エージェントのインストール時に入力した情報に基づいて自動入力されます。)
          2. パスワード同期が必要なドメインコントローラーを選択し、すべてのコントローラーがこのエージェントを配置するための要件を満たしていることを確認します。
            Info
            Zoho Directory Identity 接続エージェントは、パスワード同期エージェントのインストーラーファイルを SMB 経由で選択したドメインコントローラーに転送します。SMB が無効またはブロックされている場合、ファイル転送は失敗し、インストールを続行できません。
            転送されるファイルは、パスワード同期エージェントのインストーラー MSI ファイル(ZohoDirectory_PasswordSynchronizer.msi)であり、Zoho Directory Identity 接続エージェントがインストールされているマシンから、選択したドメインコントローラーへ正常にコピーされる必要があります。SMB が必要となるのは、このファイル転送の段階のみです。インストールが完了した後は、SMB は不要になります。
          3. インストール後にドメインコントローラーを自動的に再起動するかどうかを選択します。どちらを選択した場合でも、パスワード同期エージェントが有効になるのは、ドメインコントローラーを再起動した後です。
        4. インストールが失敗した場合、インストーラーには Installation 失敗 とだけ表示されます。よくある原因は、前提条件のいずれか、またはいくつかが満たされていない場合です。
          1. 指定されたアカウントにドメイン管理者権限がない
            Notes
            権限不足が原因でインストールに失敗した場合:
            パスワード同期エージェントのインストールでは、ドメインコントローラー上でのファイル転送やコマンド実行などのリモート操作を行うために、昇格された権限が必要です。Identity 接続エージェントで設定されているアカウントに十分な権限がない場合、インストールは失敗する可能性があります。
            解決方法:
            1. Identity 接続エージェントを、インストールされているマシン上で開きます。
            2. ディレクトリの認証情報を、ドメイン管理者権限を持つアカウントに更新します。
            3. 変更を保存し、管理者パネルからパスワード同期エージェントのインストールを再試行します。
            認証情報の更新にあたって、Identity 接続エージェントを再インストールする必要はありません。権限、WinRM、SMB の利用可否を確認してもインストールに失敗する場合は、Zoho One サポートにお問い合わせください。
          2. ドメインコントローラーで WinRM が有効になっていない。
          3. エージェントファイルをドメインコントローラーに転送できませんでした。これは、いずれかのマシンで SMB サービスが無効になっているか、ファイアウォール(ポート 445)によってブロックされていることが原因です。

            メモ:ディレクトリ連携されたユーザーが Zoho One から削除された場合、そのユーザーを Zoho One 上で再プロビジョニングしない限り、有効ディレクトリでのパスワード変更は同期されません。

      2. ユーザー同期設定

        1. 有効なディレクトリでの変更に基づいて、ユーザーアカウントを処理する自動ルールを設定します。
          Setting
          用途
          設定内容
          パスワード通知
          新規ユーザーに初期パスワードをどのように通知するかを決定します。
          ユーザーにメールで OTP を送信 - 新規ユーザーの登録済みメールアドレス宛てに、OTP を含むメールが直接送信されます。
          管理者にメールで OTP を送信 - 管理者が OTP または設定情報を受け取り、その内容を手動でユーザーに転送します。
          通知しない - 自動通知は送信されません。管理者が別の手段でユーザーに連絡し、ログイン情報を手動で共有する必要があります。
          ステータス同期

          ユーザーの AD アカウントステータスの変更を Zoho One にどのように反映するかを選択します。
          反映する - AD で無効になった場合、Zoho One アカウントも無効になります(復元された場合は再度有効になります)。
          何もしない - AD のステータス変更を無視します。

          「何もしない」を選択した場合、システムはユーザーステータスを管理しなくなります。「ユーザーが選択済み OU を離れたとき」の設定は、ステータス同期が有効であることを前提としているため、無効化され利用できなくなります。この相互動作の詳細な挙動は、この表の後に図解されています。
          メール通知
          同期されたユーザーに通知メールを送信するかどうかを選択します。
          送信する - 新たに同期されたユーザーにメールを送信し、保留中ユーザーには招待リンクを再送信します。
          送信しない - ユーザーにはメール通知は送信されません。
          ユーザーが選択済み OU を離れたとき
          ユーザーが選択済み/同期済みの AD OU から移動されたときに、Zoho One でどのような処理を行うかを定義します。
          無効にする - ユーザーの Zoho アカウントを自動的に無効にします。
          何もしない - ユーザーの Zoho アカウントは有効のままですが、今後の同期対象からは除外されます。
          重要なメモ:設定 2 と設定 4 の間には重要な連動があります。「ユーザーが選択済み OU を離れたとき」の設定はステータス同期に依存しています。前者は、後者がZoho One に反映に設定されている場合にのみ利用できます。ステータス変更に対して何もしないを選択した場合、システムは OU メンバーシップに基づいてユーザーステータスを管理できません。そのため、設定 4 は完全に無効になります。たとえば、AD に Dexter というユーザーがいると仮定し、次の 2 つの設定で同期時にどのような影響を受けるかを見てみます。
          ステータス同期
          ユーザーが選択済み OU から移動したとき
          Dexter に対して AD で行われる操作
          結果(Zoho 側)
          Zoho One に反映
          Zoho One で無効にする
          Dexter が OU から削除されるが、AD では有効のまま
          Dexter の Zoho アカウントは無効になる(OU ルールが適用)
          何もしない

          (「何もしない」を選択すると、この項目は無効になります)
          Dexter が OU から削除される
          Dexter の Zoho アカウントは有効のままですが、同期は行われなくなります(ステータス同期設定がステータス変更を無視しており、OU ベースの処理もオフになっているため)。
        2. 有効ディレクトリから Zoho One へのユーザーの完全削除(ハードデリート)の反映:
          Zoho Directory Identity 接続が有効な場合、有効ディレクトリがユーザー検出の信頼できる情報源として機能します。ユーザーが有効ディレクトリで削除または無効化された場合、Zoho One での対応は、設定されているステータス同期の内容に依存します。
          ステータス同期が「反映」に設定されている場合、有効ディレクトリで無効化または削除されたユーザーは、Zoho One でも無効化されます。組織として、単に無効化するのではなく、ユーザーを Zoho One から完全に削除する必要がある場合は、この設定を有効にするために Zoho One サポートまでお問い合わせください。削除の伝播を有効にすると、有効ディレクトリでユーザーが無効化/削除されたタイミングで、Zoho One 上のユーザーも完全に削除されます。
          ユーザーの削除手順や担当者の引き継ぎ方法については、ユーザーを削除する方法を参照してください。
          Notes管理者削除に関するメモ:各 Identity 接続設定は、1 人の Zoho One 管理者に関連付けられています。同期を中断させないため、システムは依存関係を持つ管理者アカウントの削除や無効化を許可しません。まずトレイアプリで 担当者を変更 オプションを使用して、依存関係を別の管理者に引き継ぐ必要があります。その後でのみ、元のアカウントを削除できます。担当者を必ず別の管理者に再割り当てしてください。依存関係を残したまま削除を試みると、システムは操作をブロックし、そのユーザーをすべての依存関係が解消されるまで「削除保留中」状態にします。
          1. Zoho One からディレクトリ同期されたユーザーを削除する場合:Zoho One でユーザーを削除しても、有効ディレクトリ上のユーザーは削除されません。
            Warningデータ損失に関する注意: 「Zoho One で削除」が有効な場合、有効ディレクトリからユーザーを削除すると、そのユーザーの Zoho メール、ファイル、サービスデータは完全に消去されます。このデータは、後から有効ディレクトリからユーザーを再同期しても復元できません。

            ユーザー削除後の一般的な同期シナリオ:            以下のシナリオは、代表的な設定に基づく一般的な結果を示したものです。実際の結果は、同期条件やステータス設定によって異なります。

            シナリオ
            ZD での操作
            AD での操作
            手動同期の結果
            スケジュール同期の結果
            手動での再作成
            ユーザー削除
            ユーザーは既存で、条件を満たしている
            ユーザーは「作成対象ユーザー」に表示される
            ユーザーが自動的に再作成される
            完全な削除
            ユーザー削除
            ユーザー削除
            何も行われない
            再プロビジョニングなし(ユーザーは削除されたまま)
            Zoho と AD の混在処理(または)矛盾する処理
            ユーザー削除
            ユーザー削除/ユーザー無効化/同期 OU 外への移動
            ステータス同期設定に依存
            ステータス同期設定に依存

      3. 同期スケジュール

        1. 同期の頻度(毎日/毎週/毎月)と時刻を設定します。[保存して次へ] をクリックします。
          有効ディレクトリまたは Zoho One での変更は、設定された同期スケジュールに基づいて反映されるため、すぐには反映されない場合があります。

      4. 同期内容の確認と確定

        1. インポートした一覧から Zoho One に追加するユーザーを確認して選択します。この画面では、次のように絞り込めます:
          1. 新規ユーザー - ディレクトリには存在しますが、まだ Zoho One に追加されていないユーザーです。
          2. 更新対象ユーザー - 次回の同期で、ディレクトリの情報に基づいて更新される既存の Zoho One ユーザーです。
          3. 有効化/無効化対象 - ディレクトリ上のステータスに基づいて有効化または無効化されるユーザーです。意図しないアクセス権の変更を防ぐため、次回の同期を行う前に、このカテゴリのユーザーを必ず確認してください。
          4. 無視 - 定義した同期条件を満たさないユーザーです。
        2. [追加して続行] をクリックします。
        3. 概要を確認し、[完了] をクリックして設定を完了します。複数のドメイン コントローラーにインストールすると、パスワード同期エージェントは同じ Identity 接続設定の下で連携し、追加の手動操作なしで、すべてのパスワード更新を同期状態に保ちます。
これで Identity 接続の設定は完了です。以降は、設定したルールに基づいて、AD のユーザーとグループが自動的に Zoho One と同期されます。
また、Identity 接続エージェントとパスワード同期エージェントの詳細なステータスを、次の形式で表示できます。

Identity 接続エージェント
ドメイン コントローラー:エージェントが同期するよう構成されているドメイン コントローラーです。
エージェント バージョン:エージェントの現在のバージョンです。
デバイス名:エージェントがインストールされているマシンの名前です。
ステータス:接続済み / Disconnected。
最終同期:最後に正常に同期された日時です。

パスワード同期エージェント
このセクションには、各ドメイン コントローラーとそのパスワード同期ステータスが一覧表示されます。ここに表示されるすべてのエージェントは同じ Identity 接続設定に属しており、複数のドメイン コントローラーを一元的に監視しやすくなります。
ステータス:接続済み / Disconnected。
インストール ステータス:インストール開始済み / インストール完了 / インストール失敗

「Disconnected」ステータスのトラブルシューティング

エージェントのステータスが Disconnected と表示される場合は、
  1. マシンが有効なインターネット接続を利用できることを確認します。
  2. マシンのシステム日付と時刻が正しいことを確認します。
それでもステータスが変わらない場合は、Zoho One サポートまでお問い合わせください。



    Zoho CRM 管理者向けトレーニング

    「導入したばかりで基本操作や設定に不安がある」、「短期間で集中的に運用開始できる状態にしたい」、「運用を開始しているが再度学び直したい」 といった課題を抱えられているユーザーさまに向けた少人数制のオンライントレーニングです。

    日々の営業活動を効率的に管理し、導入効果を高めるための方法を学びましょう。

    Zoho CRM Training



              Zoho Campaigns Resources

                Zoho WorkDrive Resources




                  • Desk Community Learning Series


                  • Digest


                  • Functions


                  • Meetups


                  • Kbase


                  • Resources


                  • Glossary


                  • Desk Marketplace


                  • MVP Corner


                  • Word of the Day


                  • Ask the Experts






                          Latest Feature Updates



                                  • Related Articles

                                  • Active Directory

                                    Zoho Oneの同期ツールを利用すると、既存のシステムで利用しているユーザー情報(アカウント情報)を、Zoho Oneに同期できます。これにより、Zoho Oneの管理画面から手動でユーザー情報をあらためて追加しなくても、既存のユーザー情報をそのまま活用して手間を省くことが可能です。編集や削除なども連動することが可能で、すべてのユーザー情報を一か所で管理できます。また、ユーザー情報は管理用のサーバー(Active ...

                                  • ADFS(Active Directory フェデレーション サービス)を利用したカスタム認証

                                    ADFSを利用したカスタム認証を設定すると、ADFSのSAML認証のシングルサインオン機能を使用してZoho Oneにサインインすることができます。シングルサインオン機能により、管理者や従業員はADFSにサインインするだけでZoho Oneにアクセスできるようになります。Zoho Oneにサインインする必要はありません。 ADFSを利用したカスタム認証を設定するには: A. ADFSからサインインURL、サインアウトURL、証明書を取得します: ADFS ...

                                  • Zoho Oneのモバイルアプリにおける管理機能(Directoryメニューへのアクセス)

                                    モバイルアプリから、Zoho Oneのアカウントの管理や設定を行うことができます。Web版における[Diretory]のメニューに相当する機能にアクセスすることが可能です。たとえば、ユーザーの管理やアプリケーションへのアクセス権限の設定などが可能です。また、セキュリティポリシーなど、組織全体に関する設定を行うこともできます。 具体的には、[Users](ユーザー)、[Groups](グループ)、[ Applications](アプリケーション)、[Admins](管理者)、[Security ...

                                  • 店舗のオーナーを変更する

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 前提条件 この操作を行うために必要な権限: Zoho One で 組織の Admin 役割 該当ストアの Admin 役割。ただし、現在の担当者であってはなりません 該当ストアの IdP で Admin 権限 Store 担当者の変更 Zoho One ...

                                  • JumpCloudをZoho Oneに追加する

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 前提条件: Zoho One で必要なロール: 組織 担当者 組織 Admin JumpCloud で必要なロール: Admin Zoho One のプラン依存: 無料 プラン API を利用する SCIM を利用する API を利用する API連携を使ってZoho ...

                                  Resources

                                  Videos

                                  Watch comprehensive videos on features and other important topics that will help you master Zoho CRM.



                                  eBooks

                                  Download free eBooks and access a range of topics to get deeper insight on successfully using Zoho CRM.



                                  Webinars

                                  Sign up for our webinars and learn the Zoho CRM basics, from customization to sales force automation and more.



                                  CRM Tips

                                  Make the most of Zoho CRM with these useful tips.