Cloudiway 日本
お問合わせ

 

GALSYNC GLOBAL ADDRESS LIST SYNCHRONIZATION グローバルアドレスリストの同期

概要

このガイドは、Google Workspace(formerly G Suite)for BusinessやOffice365Admin Panelなどのリモートシステムに接続できるシステム管理者を対象としています。

新しいCloudiwayインターフェースがユーザーフレンドリーであっても、GALSyncは通常、メールシステムとディレクトリに関する高度な能力と経験を必要とする詳細なセットアップです。

1. GALSyncの概要

1.1. グローバルアドレスリストの同期

このガイドでは、Cloudiwayプラットフォームを使用してGALSyncを設定する手順について説明します. GALSyncは、Global Address List Synchronizationの略です。

GAL Synchronizationの目的は、一方の側からユーザーとグループをもう一方の側の連絡先(またはメールユーザーまたはゲストユーザー)として作成することにより、アドレス帳を最新の状態に保つことです。

自社製品のサポートは提供していますが、PowerShellやGoogleやExchangeのサーバー管理などのサードパーティ製品のサポートは提供していません。

デモンストレーション動画をご用意しました!ぜひご覧ください。

1.2. その仕組みGALSync tenant source target

(1)ソーステナントからユーザーとグループをプルします. 連絡先とゲストユーザーはソースから取得されず、ユーザーとグループのみが取得されます。

(2)ターゲット テナントから連絡先 (またはメール ユーザーまたはゲスト ユーザー) をプルします。

(3)新しいユーザーまたはグループを連絡先(またはメールユーザーまたはゲストユーザー)としてターゲットテナントにプッシュし、以前に作成したオブジェクトに更新をプッシュします。

ソースグループは宛先グループとして再作成されないことに注意してください. ソースユーザーとグループの両方が、宛先で連絡先として再作成されます(または、ゲストユーザーとして再作成されないソースグループを除き、メールユーザーまたはゲストユーザー)。

1.3. 特徴
    • プルオプション:すべてのユーザーとグループを同期するか、それらをきめ細かくフィルタリングできます。
        • ドメインでフィルタリング:同期するだけのユーザーとグループのドメイン名を選択できます。
        • メール対応のセキュリティグループでフィルタリング:特定のセキュリティグループのメンバーであるユーザーを含めたり除外したりできます。
        • オブジェクト タイプによるフィルター: グループと無効なユーザーの同期も選択できます。
    • プッシュオプション:送信元ユーザーとグループを連絡先(またはメールが有効なユーザーまたはゲストユーザー)として宛先アドレス帳に挿入します。アドレス帳に表示または非表示にします。ソースグループを宛先に挿入することも選択した場合、それらはグループとしてではなく、選択したターゲットタイプ(連絡先またはメールユーザー)として作成されることに注意してください。ソースグループは、ゲストユーザーとしてターゲットテナントに再作成されません。
    • シミュレーション:シミュレーションモードを使用して、変更をターゲットにプッシュする前に視覚化および検証できます。
    • 自動スケジュール:ルールが設定されて正しく機能すると、実行をスケジュールして、選択した時間に自動的に実行できます。
    • ログ:実行ログを使用して、エラーと変更を追跡できます。
1.4. サポートされているシステム
  • GoogleWorkspace
  • Office365
  • Exchange on-premises(2007以降)

オンプレミス環境では、ローカルエージェントが実行されている必要があります. GALSyncオンプレミスコネクタを設定するには、次の記事を確認してください。

GALSyncオンプレミスコネクタ構成

1.5. パフォーマンスとセキュリティ

Cloudiwayではお客様のプライバシーとセキュリティを真摯に受け止めており、プラットフォームとお客様のデータを安全にするために多大な努力を払ってきました. Cloudiwayは、Windows Azureでホストされるクラウドベースのアプリケーションを提供します。セキュリティの詳細については、この記事を参照してください。

移行パフォーマンスの詳細については、この記事を参照してください。

2. 前提条件

GALSyncのセットアップには、コンサルティングチームの支援が必要です。 ヘルプが必要な場合は、ここにメールをドロップしてください。

2.1. Office365サービスアカウント

GALSyncコネクタは、PowerShellコマンドとGraphAPI呼び出しを組み合わせて使用します。

PowerShellコマンドには管理者権限が必要です。 最も簡単な方法は、テナント管理者アカウントを使用することです。 ただし、より少ない権限でアカウントを使用することは可能です。

次の手順では、このようなアカウントを設定する方法について説明します。

  • ライセンスされたユーザーアカウントを使用する必要があります。
  • このアカウントは、PowerShellコマンドを実行できる必要があります。
  • サービスアカウントは、Office 365に対して直接認証する必要があります(MFA、SSOなどは使用できません)。
  • 別のグローバル管理者アカウントを使用して、Exchange Online PowerShell(https://docs.microsoft.com/en-us/powershell/module/exchange/enable-organizationcustomization?view=exchange-ps)でEnable-OrganizationCustomizationを実行する必要があります。

アカウントにはいくつかの役割を付与する必要があります。

  • O365Exchange管理センターに移動します
      1. 「ロール」を選択します
      2. 「管理者の役割」を選択します
      3. 新しいロールグループGalSyncを作成しますExchange Admin Center Admin Roles
  • グループに名前と説明を付け、書き込みスコープをデフォルトに設定します
  • 次の役割を役割グループに割り当てます。
      • アドレスリスト
      • メール受信者の作成
      • メールの受信者GALSync roles address list mail recipient

[Members]領域で、ライセンスされたサービスアカウントをロールグループに追加します。

[Save]をクリックします

Office 365コネクタを作成するには、この記事を確認してください。

2.2. Azureアプリの登録

グラフAPI呼び出しは、特定のアクセス許可が付与されたAzure Active Directoryアプリケーションを介して実行されます。

Azure Active Directoryアプリケーションを手動で作成するか、プラットフォームに作成させることができます

アプリケーションを手動で作成する場合は、次の権限を付与する必要があります。

User.Read.All, 
Group.Read.All, 
Directory.Read.All
OrgContact.Read.All

To enable the modification of Guest or Mail user:
User.ReadWrite.All

To create items as Guests:
User.Invite.All
Azure Active Directoryアプリケーションと関連するアクセス許可を作成するには、「Azureアプリの登録方法」ページを参照してください。
2.3. Google Workspace Service アカウント

Googleサービスアカウントはスーパー管理者である必要があり、有効なGoogleユーザーライセンスが必要です。

2.4. Googleフィード

Google Workspace移行アカウントから、API(Google feeds)へのアクセスを許可します。

https://apps-apis.google.com/a/feeds/user/,
https://apps-apis.google.com/a/feeds/groups/,
https://apps-apis.google.com/a/feeds/policies/,
https://www.google.com/m8/feeds/,
https://apps-apis.google.com/a/feeds/alias/,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.user.readonly,
https://www.googleapis.com/auth/directory.readonly,
https://www.googleapis.com/auth/contacts
この記事では、Googleフィードを追加する方法について説明します。

GoogleWorkspaceコネクタの構成

3. CloudiwayをGALSyncに設定します

次の章では、Google Workspace、Office365間でGalSyncを設定する方法を示します。

注意:GALSyncオンプレミスコネクタを構成するには、この記事を確認してください。

3.1. コネクタを作成する

コネクタは多方向です。 Cloudiwayは、ソースドメインとターゲットドメインの両方と通信できる必要があります。 これを行うために、Cloudiwayはコネクタを使用します。 コネクタを設定するには、このページを参照してください。

コネクタ作成ガイド

Google Workspace コネクタの構成

Office 365 コネクタの構成

両方のコネクタを作成するときは、共存製品で必ずGALSyncを選択してください。

G Suite and Office 365 Connectors

3.2. GALSync構成

コネクタを作成したら、GALSync用にコネクタを構成する必要があります。

[GALSync]> [Configuration]に移動し、コネクタを選択します。

注: すべてのコネクタは、独自の構成 (プルとプッシュ) に対してのみ機能します。 同じテナントに対して異なる構成 (メールが有効なセキュリティ グループでフィルター処理された異なるグループまたはユーザーなど) が必要な場合、同じテナントに対して異なるコネクタを作成し、コネクタごとに異なる構成を適用する必要があります。

3.2.1. プルオプション

次のオプションを有効にする場合に選択します。

プルオプション:

メールが有効なセキュリティ グループに基づいて、単純なフィルター処理を適用できます。

メールが有効なセキュリティ グループの DisplayName を次の 2 つのセクションに追加する必要があります。

    • プルグループ:グループを同期するかどうか。
    • 無効なユーザーをプルする:無効なユーザーを同期するかどうか。メンバーを同期から除外する、メールが有効なセキュリティ グループの DisplayName を指定します。

プルメンバー:

    • 特定のグループをプルする:指定されたグループのメンバーのみを同期させます。それ以外のものはすべてフィルタリングされます。これは、サービスアカウントやその他の引き出したくないユーザーやグループをテナントから引き出すのを避けるために推奨される方法です。専用のメール対応セキュリティグループを作成し、すべてのユーザーとグループをメンバーとして追加します。
    • 特定のグループを除外する:指定したグループのメンバーを除くすべてを同期します。

注:Cloudiwayツールは引き続きテナント内のすべてのオブジェクトをリストにプルしますが、上記のフィルタリングルールに基づいてソースユーザーとグループのみをプッシュします。 グループによるプルまたはフィルタリングの場合、メールが有効なグループに直接追加されたオブジェクトのみがサポートされます。 ネストされたグループまたはメールが有効になっていないグループはサポートされていません。

3.2.2. プルフィルターPulling Filters

ディレクトリ全体をプルしたくない場合は、選択したユーザーとグループのみを同期するようにフィルターを指定できます。

フィルタリングは、フィルタアウトアクションとして適用されます(例:NAME: Email, RULE: Equals, VALUE: user@domain.com and TYPE: Userとすると、VALUE: user@domain.com のユーザーを除く、他のすべてのユーザーを引き出します。2つのフィルタを適用した場合、AND条件であるため、2つのフィルタの間で反応します。DoesNotEqualとuser2@domain.com、Rule: Equalsを適用した場合、最初のフィルターと2番目のフィルターの組み合わせにより、結果としてuser1だけが引き出されることになります。

フィルターは、条件に一致する属性に基づいています。

  • Equals
  • DoesNotEqual
  • Contains
  • DoesNotContain
  • StartWith
  • DoesNotStartWith
  • MatchRegex
  • DoesNotMatchRegex
  • DateAfter
  • DateBefore
  • EndsWith
  • DoesNotEndWith
3.2.3. プッシュオプション 

Office 365の場合、さまざまなプッシュオプションを定義できます。

プッシュタイプ:ソースユーザーとグループは、宛先で次のように作成できます。

      • メール連絡先として作成:(デフォルトでアクティブ化このオプションを使用して、アドレス帳に電子メールアドレスのみを追加します。このオプションでは、ソースユーザーをターゲットテナントに将来移行することはできません。このオプションはお勧めしません。
      • メールユーザーとして作成:後でソースユーザーをターゲットテナントに移行する場合は、このオプションを使用します(移行の準備ができたら、メールが有効なユーザーにO365ライセンスを追加するだけです)。
      • ゲストユーザーとして作成:このオプションを使用して、ソースユーザーをゲストユーザーとしてターゲットのMicrosoft TeamsまたはSharePointサイトに追加できるようにします。このオプションを使用すると、ソースグループがゲストユーザーとしてターゲットテナントに再作成されません。「ゲスト ユーザーの作成」を有効にすると、「新しいゲスト ユーザーに招待メールを送信する」と「アドレス一覧を強制的に表示する」も有効にできます。

プッシュオプション

      • プッシュグループ:連絡先(またはメールが有効なユーザーまたはゲストユーザー)としてのアドレス帳でのグループの電子メールアドレスの公開を有効または無効にします。
      • 空のフィールドをプッシュ:空のフィールドを伝播します。 ソースではフィールドが空であるがターゲットでは空でない場合、ターゲット値は削除されます。
      • アドレスリストに強制的に表示:ターゲットゲストユーザーとして作成する場合にのみ使用されます。 既定では、Office365はゲストユーザーをアドレス帳から非表示にします。 このオプションを使用すると、それらを表示できます。

削除規則

      • 削除の伝達: このオプションを有効にすると、ユーザーまたはグループがソース テナントから削除された場合、次のプッシュでターゲット テナントから削除されます。 このオプションを有効にすると、「削除しない」オプションは常に無効になります。
      • 削除と無効化されたユーザーの伝達: ユーザーまたはグループがソース テナントから削除/無効化された場合にこのオプションを有効にすると、次のプッシュでターゲット テナントから削除/無効化されます。
      • 削除しない: このオプションを有効にすると、ユーザーまたはグループがソース テナントから削除/無効化された場合、次のプッシュでターゲット テナントから削除/無効化されません。 このオプションが有効になっている場合、「削除の伝達」オプションは常に無効になります。
3.2.4. プッシュカスタマイズ

プッシュのカスタマイズにより、プッシュする属性を選択できます。

Office 365:

Google Workspace:

4. 同期化

Actionsセクションで、テナント間のユーザーとグループを手動で同期させることができます。ルールが正しい場合は、同期を自動化し、スケジュールを設定することができます。GALSync Actions

4.1. 手動同期

この章では、ソーステナントとターゲットテナントの間でユーザーとグループを同期する方法について説明します。これは2段階の同期です。最初の手順は、ユーザーとグループをソースからプルしてから、それらをターゲットにプッシュすることです。

      1. プル:ソースコネクタとターゲットコネクタの両方を選択し、[プル]をクリックして、テナントからユーザーとグループをプルします。この手順では、ソーステナントのユーザーとグループをプル(検出)します。
      2. プッシュ:このステップでは、ユーザーとグループを選択したソースから選択したターゲットにプッシュします。

注:最終的なテナント間でプッシュする前に、2つの一時的なテナント間、または偽のユーザーとグループでこのプロセスをテストすることを強くお勧めします。

アクションのリスト:

      • プル:このオプションを使用して、ユーザーとグループをソースコネクタからCloudiway内部キャッシュにプルします。
      • プッシュ:このオプションを使用して、以前にソースコネクタからプルオプションによってCloudiway内部キャッシュにプルされたすべてのユーザーとグループをターゲットコネクタにプッシュします。さまざまなアクションを実行します。ターゲットコネクタからオブジェクトをプルします。次に、何をプッシュする必要があるかを判断し、最後に変更をターゲットにプッシュします。ソースからプルを取得した直後にターゲットにプッシュするようにしてください。そうしないと、プッシュされたオブジェクトが最新でない可能性があります。
      • シミュレート:ターゲットに変更を加えないことを除いて、プッシュオプションと同様です。シミュレーション結果を確認するには、ジョブ(サイドメニューの[履歴]セクション)をクリックしてから、[シミュレーションの表示]をクリックします。
      • キャッシュのクリア:このオプションを使用して、選択したコネクタのCloudiway内部キャッシュを空にします。アクションがすでに処理されている間は、このアクションを実行できません。
      • 連絡先の削除:このオプションを使用して、Googleコネクタを介してプログラムでGoogleの連絡先を削除します。 Google管理者は、共有の連絡先を手動で削除することはできません。
4.2. データディスカバリー

プルアクションが正常に完了すると、ソースコネクタからプルされたすべてのオブジェクトを視覚化できます。 [Data Discovery]に移動し、ソースコネクタを選択します。GALSync Data Discovery

ソースコネクタから引き出されたすべてのユーザー、グループ、およびゲストユーザーが、ソースコネクタからCloudiway内部キャッシュへの以前の同期と比較したオブジェクトの対応する状態とともに以下に表示されます。

      • 作成した[Created]
      • 作成待ち[Pending Creation]
      • わからない[Unknow]
      • 変更[Modified]
      • 保留中の変更[Pending Modification]
      • 変更されていません[Not Modified]
      • プログラムでフィルタリング[Programmatically Filtered]
      • 手動でフィルタリング[Manually Filtered]
      • 手動でフィルタリングされていない[Manually Unfiltered]
      • 削除[Deleted]
      • 保留中の削除[Pending Deleted]
      • エラー[Error]
4.3. 自動同期化

ルールが正しい場合、2つのアクションをスケジュールして、あるテナントから他のテナントへの双方向の同期を自動化することができます。プラットフォーム用語では、ソースからターゲットへ、そしてターゲットからソースへの反対方向のアクションをスケジュールすることができます。それぞれのスケジュールされたアクションは、一方のテナントからCloudiway内部キャッシュへのPullアクションと、それが完了するとCloudiwayキャッシュからもう一方のテナントへのPushアクションが自動的に連結され、もう一方のスケジュールされたアクションはその逆となります。

Automatic Runを有効にします。 Day of the WeekTime(UTC)を選択し、[ADD SCHEDULER]をクリックします。Automatic Run

次に、「+」アイコンをクリックし、ソースコネクタとターゲットコネクタを選択して、[OK]をクリックします。 アクションは、選択した日時にCloudiwayによって自動的に起動されるようにスケジュールされます。GALSync Scheduler

5. 歴史

[History]セクションに切り替えて、タスクの実行を監視し、ジョブのステータスを確認して、結果を視覚化します。GALSync History

[Job]をクリックして、同期の結果(作成、変更など)を表示します。

ページを下にスクロールします。 [Jobs Logs]は、[Jobs List]の下にあります。

6. トラブルシューティング

Cloudiwayは、一般的なエラーメッセージを含む、多くのリソースを備えた広範なナレッジベースを提供します。 こちらのナレッジベースにアクセスしてください(キーワードを検索したり、トピックを読んだりできます)。

これらの手順を完了するのが難しい場合は、コンサルティングチームに解決策を検討してください。お問い合わせください。 これにより、迅速で費用効果が高く、ストレスのない実装が保証されます。

 

 

 

更新日:2022/09/22