GALSYNC GLOBAL ADDRESS LIST SYNCHRONIZATION
グローバルアドレスリストの同期
このガイドは、Google Workspace(旧称 G Suite)for Business や Office365 Admin Panel などのリモートシステムにアクセス可能なシステム管理者向けです。
新しいCloudiwayインターフェースが使いやすいとはいえ、GALSyncの設定は、メールシステムやディレクトリに関する高度なスキルと経験を必要とします。
1. GALSync について
1.1. グローバルアドレスリストの同期
このガイドでは、Cloudiwayプラットフォームを使用してGALSyncの設定手順を解説します。GALSyncはGlobal Address List Synchronizationの略です。GAL Synchronizationの目的は、一方の側のユーザーやグループを、もう一方の側の連絡先、またはメールユーザー、あるいはゲストユーザーとして同期し、アドレス帳を常に最新の状態に保つことです。
自社製品に関するサポートは提供されていますが、PowerShell、Google、Exchangeのサーバー管理など、サードパーティ製品のサポートは提供していません。
デモンストレーション動画も用意しておりますので、是非ご覧ください。
1.2. GALSyncの仕組み:
- ソーステナントからユーザーおよびグループを取得します。 連絡先やゲストユーザーはソースから取り出されず、ユーザーとグループのみが取り出されます。
ターゲットテナントから連絡先(またはメールユーザー、ゲストユーザー)を取得します。
新しいユーザーやグループをターゲットテナントに連絡先(またはメールユーザー、ゲストユーザー)としてプッシュし、以前に作成されたオブジェクトにも更新をプッシュします。
ソースグループは、宛先グループとして再作成されることはありません。ソースユーザーとグループは、宛先で連絡先(またはメールユーザー、ゲストユーザー)として再作成されます(ただし、ソースグループはゲストユーザーとして再作成されることはありません)。
1.3. 機能一覧
- 取得オプション:全ユーザーとグループを同期するか、詳細なフィルタリングが可能です。
- ドメインでのフィルタリング:同期したいユーザーやグループのドメインを選択できます。
- セキュリティグループに基づくメールフィルタリング:特定のセキュリティグループのメンバーを含めるか除外するかを選択できます。
- オブジェクトタイプによるフィルタリング:グループや無効なユーザーも同期の対象として選択可能です。
- 追加オプション:ソースのユーザーやグループをターゲットのアドレス帳に連絡先、メール有効ユーザー、ゲストユーザーとして追加します。
- シミュレーション:シミュレーションモードを利用して、ターゲットに変更を適用する前に内容を確認・検証できます。
- 自動スケジューリング:正確に設定されたルールに従って、指定した時間に自動的に処理を開始できます。
- ログ:実行ログを利用して、エラーや変更を追跡できます。
1.4. サポートされているシステム
- Google Workspace
- Office 365
- Exchange on-premises ( 2007 以降 )
オンプレミス環境の場合、ローカルエージェントが実行中である必要があります。GALSyncオンプレミスコネクタの設定については、該当の記事をご参照ください。
2. 前提条件
GALSyncのセットアップには専門的な支援が必要です。 サポートが必要な場合は、メールでお問い合わせください。
GALSync setup requires the assistance of our consulting team. Should you need help, please drop an email here.
2.1. Office365サービスアカウント
GALSyncコネクタはPowerShellコマンドとGraphAPI呼び出しを併用します。
PowerShellコマンドの実行には管理者権限が要求されます。テナントの管理者アカウントの使用が推奨されますが、権限を制限したアカウントの使用も可能です。
次の手順では、そのようなアカウントの設定方法を詳しく説明します。
- ライセンス付きのユーザーアカウントが必要です。
- このアカウントでPowerShellコマンドを実行できること。
- サービスアカウントはOffice 365に直接認証する必要があります(MFAやSSOは使用できません)。
- 別のグローバル管理者アカウントで[Exchange Online PowerShell](https://docs.microsoft.com/ja-jp/powershell/module/exchange/enable-organizationcustomization?view=exchange-ps)にて`Enable-OrganizationCustomization`を実行する必要があります。
アカウントには、特定の役割が必要です。
- O365 Exchange 管理センターへアクセス
- 「役割」を選択
- 「管理者の役割」をクリック
- 新しい役割グループ「GalSync」を作成
- グループに名前と説明を追加し、書き込みスコープをデフォルトに設定
- 次の役割を役割グループに追加:
- アドレスリスト
- メール受信者の作成
- メール受信者
[Members]タブで、ライセンス済みのサービスアカウントを役割グループに追加
[保存]をクリック
Office 365コネクタの作成方法については、該当の記事を参照ください。
2.2. Azure Apps の登録
GraphAPI呼び出しは、特定のアクセス許可を持つAzure Active Directoryアプリを通して行われます。
Azure ADアプリは、手動で作成するかプラットフォームが作成できます。
手動でアプリケーションを作成する場合、以下のアクセス許可が必要です:
User.Read.All, Group.Read.All, Directory.Read.All OrgContact.Read.All To enable the modification of Guest or Mail user: User.ReadWrite.All To create items as Guests: User.Invite.All
Azure ADアプリと関連するアクセス許可の作成方法については、「Azureアプリの登録方法」ページを参照してください。
2.3. Google Workspace サービスアカウント
Googleサービスアカウントは、スーパー管理者の資格と有効なGoogleユーザーライセンスが必要です。
2.4. Googleのデータフィード設定
Google Workspaceの移行アカウントでAPI(Google feeds)へのアクセスを許可します。
https://apps-apis.google.com/a/feeds/user/, https://apps-apis.google.com/a/feeds/groups/, https://apps-apis.google.com/a/feeds/policies/, https://www.google.com/m8/feeds/, https://apps-apis.google.com/a/feeds/alias/, https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.user.readonly, https://www.googleapis.com/auth/directory.readonly, https://www.googleapis.com/auth/contacts
詳しくは、Googleフィードの設定方法の記事を参照ください。
3. CloudiwayにてGALSyncの設定
コネクタを作成する際、製品の選択でGALSyncを選択してください。
3.2. GALSync の設定
コネクタを作成した後、次にGALSync向けにそのコネクタを設定します。
GALSyncメニューから「設定」を選び、必要なコネクタを選択します。
注意:各コネクタは独自の設定(プルおよびプッシュ)でのみ動作します。同一のテナントに対して異なる設定が必要な場合、異なるコネクタをそれぞれ作成し、それぞれのコネクタに設定を適用する必要があります。
3.2.1. プルオプション
次のオプションを有効にする場合に選択します。
プルオプション:
メールが有効なセキュリティ グループに基づいて、単純なフィルター処理を適用できます。
メールが有効なセキュリティ グループの DisplayName を次の 2 つのセクションに追加する必要があります。
- プルグループ:グループを同期するかどうか。
- 無効なユーザーをプルする:無効なユーザーを同期するかどうか。メンバーを同期から除外する、メールが有効なセキュリティ グループの DisplayName を指定します。
プルメンバー:
- 特定のグループをプルする:指定されたグループのメンバーのみを同期させます。それ以外のものはすべてフィルタリングされます。これは、サービスアカウントやその他の引き出したくないユーザーやグループをテナントから引き出すのを避けるために推奨される方法です。専用のメール対応セキュリティグループを作成し、すべてのユーザーとグループをメンバーとして追加します。
- 特定のグループを除外する:指定したグループのメンバーを除くすべてを同期します。
注:Cloudiwayツールは引き続きテナント内のすべてのオブジェクトをリストにプルしますが、上記のフィルタリングルールに基づいてソースユーザーとグループのみをプッシュします。 グループによるプルまたはフィルタリングの場合、メールが有効なグループに直接追加されたオブジェクトのみがサポートされます。 ネストされたグループまたはメールが有効になっていないグループはサポートされていません。
3.2.2. プルフィルター
ディレクトリ全体をプルしたくない場合は、選択したユーザーとグループのみを同期するようにフィルターを指定できます。
フィルタリングは、フィルタアウトアクションとして適用されます(例:NAME: Email, RULE: Equals, VALUE: user@domain.com and TYPE: Userとすると、VALUE: user@domain.com のユーザーを除く、他のすべてのユーザーを引き出します。2つのフィルタを適用した場合、AND条件であるため、2つのフィルタの間で反応します。DoesNotEqualとuser2@domain.com、Rule: Equalsを適用した場合、最初のフィルターと2番目のフィルターの組み合わせにより、結果としてuser1だけが引き出されることになります。
フィルターは、条件に一致する属性に基づいています。
- Equals
- DoesNotEqual
- Contains
- DoesNotContain
- StartWith
- DoesNotStartWith
- MatchRegex
- DoesNotMatchRegex
- DateAfter
- DateBefore
- EndsWith
- DoesNotEndWith
3.2.3. プッシュオプション
Office 365の場合、さまざまなプッシュオプションを定義できます。
プッシュタイプ:ソースユーザーとグループは、宛先で次のように作成できます。
- メール連絡先として作成:(デフォルトでアクティブ化)このオプションを使用して、アドレス帳に電子メールアドレスのみを追加します。このオプションでは、ソースユーザーをターゲットテナントに将来移行することはできません。このオプションはお勧めしません。
- メールユーザーとして作成:後でソースユーザーをターゲットテナントに移行する場合は、このオプションを使用します(移行の準備ができたら、メールが有効なユーザーにO365ライセンスを追加するだけです)。
- ゲストユーザーとして作成:このオプションを使用して、ソースユーザーをゲストユーザーとしてターゲットのMicrosoft TeamsまたはSharePointサイトに追加できるようにします。このオプションを使用すると、ソースグループがゲストユーザーとしてターゲットテナントに再作成されません。「ゲスト ユーザーの作成」を有効にすると、「新しいゲスト ユーザーに招待メールを送信する」と「アドレス一覧を強制的に表示する」も有効にできます。
プッシュオプション
- プッシュグループ:連絡先(またはメールが有効なユーザーまたはゲストユーザー)としてのアドレス帳でのグループの電子メールアドレスの公開を有効または無効にします。
- 空のフィールドをプッシュ:空のフィールドを伝播します。 ソースではフィールドが空であるがターゲットでは空でない場合、ターゲット値は削除されます。
- アドレスリストに強制的に表示:ターゲットゲストユーザーとして作成する場合にのみ使用されます。 既定では、Office365はゲストユーザーをアドレス帳から非表示にします。 このオプションを使用すると、それらを表示できます。
削除規則
- 削除の伝達: このオプションを有効にすると、ユーザーまたはグループがソース テナントから削除された場合、次のプッシュでターゲット テナントから削除されます。 このオプションを有効にすると、「削除しない」オプションは常に無効になります。
- 削除と無効化されたユーザーの伝達: ユーザーまたはグループがソース テナントから削除/無効化された場合にこのオプションを有効にすると、次のプッシュでターゲット テナントから削除/無効化されます。
- 削除しない: このオプションを有効にすると、ユーザーまたはグループがソース テナントから削除/無効化された場合、次のプッシュでターゲット テナントから削除/無効化されません。 このオプションが有効になっている場合、「削除の伝達」オプションは常に無効になります。
3.2.4. プッシュカスタマイズ
プッシュのカスタマイズにより、プッシュする属性を選択できます。
Office 365:
Google Workspace:
4. 同期化
Actionsセクションで、テナント間のユーザーとグループを手動で同期させることができます。ルールが正しい場合は、同期を自動化し、スケジュールを設定することができます。
4.1. 手動同期
この章では、ソーステナントとターゲットテナントの間でユーザーとグループを同期する方法について説明します。これは2段階の同期です。最初の手順は、ユーザーとグループをソースからプルしてから、それらをターゲットにプッシュすることです。- プル:ソースコネクタとターゲットコネクタの両方を選択し、[プル]をクリックして、テナントからユーザーとグループをプルします。この手順では、ソーステナントのユーザーとグループをプル(検出)します。
- プッシュ:このステップでは、ユーザーとグループを選択したソースから選択したターゲットにプッシュします。
- プル:このオプションを使用して、ユーザーとグループをソースコネクタからCloudiway内部キャッシュにプルします。
- プッシュ:このオプションを使用して、以前にソースコネクタからプルオプションによってCloudiway内部キャッシュにプルされたすべてのユーザーとグループをターゲットコネクタにプッシュします。さまざまなアクションを実行します。ターゲットコネクタからオブジェクトをプルします。次に、何をプッシュする必要があるかを判断し、最後に変更をターゲットにプッシュします。ソースからプルを取得した直後にターゲットにプッシュするようにしてください。そうしないと、プッシュされたオブジェクトが最新でない可能性があります。
- シミュレート:ターゲットに変更を加えないことを除いて、プッシュオプションと同様です。シミュレーション結果を確認するには、ジョブ(サイドメニューの[履歴]セクション)をクリックしてから、[シミュレーションの表示]をクリックします。
- キャッシュのクリア:このオプションを使用して、選択したコネクタのCloudiway内部キャッシュを空にします。アクションがすでに処理されている間は、このアクションを実行できません。
- 連絡先の削除:このオプションを使用して、Googleコネクタを介してプログラムでGoogleの連絡先を削除します。 Google管理者は、共有の連絡先を手動で削除することはできません。
4.2. データディスカバリー
プルアクションが正常に完了すると、ソースコネクタからプルされたすべてのオブジェクトを視覚化できます。 [Data Discovery]に移動し、ソースコネクタを選択します。ソースコネクタから引き出されたすべてのユーザー、グループ、およびゲストユーザーが、ソースコネクタからCloudiway内部キャッシュへの以前の同期と比較したオブジェクトの対応する状態とともに以下に表示されます。
- 作成した[Created]
- 作成待ち[Pending Creation]
- わからない[Unknow]
- 変更[Modified]
- 保留中の変更[Pending Modification]
- 変更されていません[Not Modified]
- プログラムでフィルタリング[Programmatically Filtered]
- 手動でフィルタリング[Manually Filtered]
- 手動でフィルタリングされていない[Manually Unfiltered]
- 削除[Deleted]
- 保留中の削除[Pending Deleted]
- エラー[Error]
4.3. 自動同期化
ルールが正しい場合、2つのアクションをスケジュールして、あるテナントから他のテナントへの双方向の同期を自動化することができます。プラットフォーム用語では、ソースからターゲットへ、そしてターゲットからソースへの反対方向のアクションをスケジュールすることができます。それぞれのスケジュールされたアクションは、一方のテナントからCloudiway内部キャッシュへのPullアクションと、それが完了するとCloudiwayキャッシュからもう一方のテナントへのPushアクションが自動的に連結され、もう一方のスケジュールされたアクションはその逆となります。
Automatic Runを有効にします。 Day of the WeekとTime(UTC)を選択し、[ADD SCHEDULER]をクリックします。
次に、「+」アイコンをクリックし、ソースコネクタとターゲットコネクタを選択して、[OK]をクリックします。 アクションは、選択した日時にCloudiwayによって自動的に起動されるようにスケジュールされます。
5. 歴史
[History]セクションに切り替えて、タスクの実行を監視し、ジョブのステータスを確認して、結果を視覚化します。
[Job]をクリックして、同期の結果(作成、変更など)を表示します。
ページを下にスクロールします。 [Jobs Logs]は、[Jobs List]の下にあります。
6. トラブルシューティング
Cloudiwayは、一般的なエラーメッセージを含む、多くのリソースを備えた広範なナレッジベースを提供します。 こちらのナレッジベースにアクセスしてください(キーワードを検索したり、トピックを読んだりできます)。
これらの手順を完了するのが難しい場合は、コンサルティングチームに解決策を検討してください。お問い合わせください。 これにより、迅速で費用効果が高く、ストレスのない実装が保証されます。