GALSYNC GLOBAL ADDRESS LIST SYNCHRONIZATION グローバルアドレスリストの同期

概要

このガイドは、Google Workspace(formerly G Suite)for BusinessやOffice365Admin Panelなどのリモートシステムに接続できるシステム管理者を対象としています。

新しいCloudiwayインターフェースがユーザーフレンドリーであっても、GALSyncは通常、メールシステムとディレクトリに関する高度な能力と経験を必要とする詳細なセットアップです。

1. GALSyncの概要

1.1. グローバルアドレスリストの同期

このガイドでは、Cloudiwayプラットフォームを使用してGALSyncを設定する手順について説明します. GALSyncは、Global Address List Synchronizationの略です。

GAL Synchronizationの目的は、一方の側からユーザーとグループをもう一方の側の連絡先(またはメールユーザーまたはゲストユーザー)として作成することにより、アドレス帳を最新の状態に保つことです。

自社製品のサポートは提供していますが、PowerShellやGoogleやExchangeのサーバー管理などのサードパーティ製品のサポートは提供していません。

デモンストレーション動画をご用意しました!ぜひご覧ください。

1.2. その仕組みGALSync tenant source target

(1)ソーステナントからユーザーとグループをプルします. 連絡先とゲストユーザーはソースから取得されず、ユーザーとグループのみが取得されます。

(2)新しいユーザーまたはグループを連絡先(またはメールユーザーまたはゲストユーザー)としてターゲットテナントにプッシュし、以前に作成したオブジェクトに更新をプッシュします。

ソースグループは宛先グループとして再作成されないことに注意してください. ソースユーザーとグループの両方が、宛先で連絡先として再作成されます(または、ゲストユーザーとして再作成されないソースグループを除き、メールユーザーまたはゲストユーザー)。

(3)新しいアイテムと更新をターゲットテナントにプッシュします

続きを読む:GALSyncフィールドがテナント間でどのようにマッピングされるか

1.3. 特徴
    • プルオプション:すべてのユーザーとグループを同期するか、それらをきめ細かくフィルタリングできます。
        • ドメインでフィルタリング:同期するだけのユーザーとグループのドメイン名を選択できます。
        • メール対応のセキュリティグループでフィルタリング:特定のセキュリティグループのメンバーであるユーザーを含めたり除外したりできます。
        • オブジェクトタイプでフィルタリング:グループ、無効なユーザー、ゲストユーザーを同期するように選択することもできます。
    • プッシュオプション:送信元ユーザーとグループを連絡先(またはメールが有効なユーザーまたはゲストユーザー)として宛先アドレス帳に挿入します。アドレス帳に表示または非表示にします。ソースグループを宛先に挿入することも選択した場合、それらはグループとしてではなく、選択したターゲットタイプ(連絡先またはメールユーザー)として作成されることに注意してください。ソースグループは、ゲストユーザーとしてターゲットテナントに再作成されません。
    • シミュレーション:シミュレーションモードを使用して、変更をターゲットにプッシュする前に視覚化および検証できます。
    • 自動スケジュール:ルールが設定されて正しく機能すると、実行をスケジュールして、選択した時間に自動的に実行できます。
    • ログ:実行ログを使用して、エラーと変更を追跡できます。
1.4. サポートされているシステム
  • GoogleWorkspace
  • Office365
  • Exchange on-premises(2007以降)

オンプレミス環境では、ローカルエージェントが実行されている必要があります. GALSyncオンプレミスコネクタを設定するには、次の記事を確認してください。

GALSyncオンプレミスコネクタ構成

1.5. パフォーマンスとセキュリティ

Cloudiwayではお客様のプライバシーとセキュリティを真摯に受け止めており、プラットフォームとお客様のデータを安全にするために多大な努力を払ってきました. Cloudiwayは、Windows Azureでホストされるクラウドベースのアプリケーションを提供します。セキュリティの詳細については、この記事を参照してください。

移行パフォーマンスの詳細については、この記事を参照してください。

2. 前提条件

GALSyncのセットアップには、コンサルティングチームの支援が必要です。 ヘルプが必要な場合は、ここにメールをドロップしてください。

2.1. Office365サービスアカウント

GALSyncコネクタは、PowerShellコマンドとGraphAPI呼び出しを組み合わせて使用します。

PowerShellコマンドには管理者権限が必要です。 最も簡単な方法は、テナント管理者アカウントを使用することです。 ただし、より少ない権限でアカウントを使用することは可能です。

次の手順では、このようなアカウントを設定する方法について説明します。

  • ライセンスされたユーザーアカウントを使用する必要があります。
  • このアカウントは、PowerShellコマンドを実行できる必要があります。
  • サービスアカウントは、Office 365に対して直接認証する必要があります(MFA、SSOなどは使用できません)。
  • 別のグローバル管理者アカウントを使用して、Exchange Online PowerShell(https://docs.microsoft.com/en-us/powershell/module/exchange/enable-organizationcustomization?view=exchange-ps)でEnable-OrganizationCustomizationを実行する必要があります。

アカウントにはいくつかの役割を付与する必要があります。

  • O365Exchange管理センターに移動します
      1. 「ロール」を選択します
      2. 「管理者の役割」を選択します
      3. 新しいロールグループGalSyncを作成しますExchange Admin Center Admin Roles
  • グループに名前と説明を付け、書き込みスコープをデフォルトに設定します
  • 次の役割を役割グループに割り当てます。
      • アドレスリスト
      • メール受信者の作成
      • メールの受信者GALSync roles address list mail recipient

[Members]領域で、ライセンスされたサービスアカウントをロールグループに追加します。

[Save]をクリックします

Office 365コネクタを作成するには、この記事を確認してください。

2.2. Office365サービスアカウントの基本認証を有効にする

PowerShell操作でOffice365テナントにオブジェクトを作成するには、基本認証が必要です。

Office365サービスアカウントの基本認証を有効にする手順は次のとおりです。

1- ExchangeOnlineに接続する

Connect-ExchangeOnline

2- Allow Basic Auth」と呼ばれる新しい認証ポリシーを作成します

New-AuthenticationPolicy -Name “AllowBasicAuth”

3- この認証ポリシーの属性「Allow Basic Auth Powershell」をtrueに設定します。

Set-AuthenticationPolicy -Identity “AllowBasicAuth” -AllowBasicAuthPowershell:$true

4- この認証ポリシーにOffice365サービスアカウントを追加します

Set-User -Identity admin@domain.com -AuthenticationPolicy “AllowBasicAuth”

5- デフォルトでは、ユーザーの認証ポリシーの割り当てを作成または変更するか、O365でポリシーを更新すると、変更がテナントに複製されるまでに最大24時間かかる場合があります。ポリシーを30分以内に有効にする場合:

Set-User -Identity “admin@domain.com” -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)

詳細については、Microsoftの次の記事を確認してください。

2.3. Azureアプリの登録

グラフAPI呼び出しは、特定のアクセス許可が付与されたAzure Active Directoryアプリケーションを介して実行されます。

Azure Active Directoryアプリケーションを手動で作成するか、プラットフォームに作成させることができます

アプリケーションを手動で作成する場合は、次の権限を付与する必要があります。

User.Read.All, 
Group.Read.All, 
Directory.Read.All
OrgContact.Read.All

To enable the modification of Guest or Mail user:
User.ReadWrite.All

To create items as Guests:
User.Invite.All
Azure Active Directoryアプリケーションと関連するアクセス許可を作成するには、「Azureアプリの登録方法」ページを参照してください。
2.4. Google Workspace Service アカウント

Googleサービスアカウントはスーパー管理者である必要があり、有効なGoogleユーザーライセンスが必要です。 ただし、必要に応じて権限制限を追加できます。

2.5. Googleフィード

Google Workspace移行アカウントから、API(Google feeds)へのアクセスを許可します。

https://apps-apis.google.com/a/feeds/user/,
https://apps-apis.google.com/a/feeds/groups/,
https://apps-apis.google.com/a/feeds/policies/,
https://www.google.com/m8/feeds/,
https://apps-apis.google.com/a/feeds/alias/,
https://www.googleapis.com/auth/admin.directory.user,
https://www.googleapis.com/auth/admin.directory.user.readonly,
https://www.googleapis.com/auth/directory.readonly,
https://www.googleapis.com/auth/contacts
この記事では、Googleフィードを追加する方法について説明します。

GoogleWorkspaceコネクタの構成

3. CloudiwayをGALSyncに設定します

次の章では、Google Workspace、Office365間でGalSyncを設定する方法を示します。

注意:GALSyncオンプレミスコネクタを構成するには、この記事を確認してください。

3.1. コネクタを作成する

コネクタは多方向です。 Cloudiwayは、ソースドメインとターゲットドメインの両方と通信できる必要があります。 これを行うために、Cloudiwayはコネクタを使用します。 コネクタを設定するには、このページを参照してください。

両方のコネクタを作成するときは、共存製品で必ずGALSyncを選択してください。

G Suite and Office 365 Connectors

3.2. GALSync構成

コネクタを作成したら、GALSync用にコネクタを構成する必要があります。

[GALSync]> [Configuration]に移動し、コネクタを選択します。

3.2.1. プルオプション

次のオプションを有効にする場合に選択します。

プルオプション:

    • プルグループ:グループを同期するかどうか。
    • 無効なユーザーをプルする:無効なユーザーを同期するかどうか。

プルメンバー:

    • 特定のグループをプルする:指定されたグループのメンバーのみを同期させます。それ以外のものはすべてフィルタリングされます。これは、サービスアカウントやその他の引き出したくないユーザーやグループをテナントから引き出すのを避けるために推奨される方法です。専用のメール対応セキュリティグループを作成し、すべてのユーザーとグループをメンバーとして追加します。
    • 特定のグループを除外する:指定したグループのメンバーを除くすべてを同期します。

注:Cloudiwayツールは引き続きテナント内のすべてのオブジェクトをリストにプルしますが、上記のフィルタリングルールに基づいてソースユーザーとグループのみをプッシュします。 グループによるプルまたはフィルタリングの場合、メールが有効なグループに直接追加されたオブジェクトのみがサポートされます。 ネストされたグループまたはメールが有効になっていないグループはサポートされていません。

3.2.2. プルフィルターPulling Filters

ディレクトリ全体をプルしたくない場合は、選択したユーザーとグループのみを同期するようにフィルターを指定できます。

フィルターは、条件に一致する属性に基づいています。

  • Equals
  • DoesNotEqual
  • Contains
  • DoesNotContain
  • StartWith
  • DoesNotStartWith
  • MatchRegex
  • DoesNotMatchRegex
  • DateAfter
  • DateBefore
  • EndsWith
  • DoesNotEndWith
3.2.3. プッシュオプション 

Office 365の場合、さまざまなプッシュオプションを定義できます。GALSync Office 365 Push Options

プッシュタイプ:ソースユーザーとグループは、宛先で次のように作成できます。

      • メール連絡先:このオプションを使用して、アドレス帳に電子メールアドレスのみを追加します。このオプションでは、ソースユーザーをターゲットテナントに将来移行することはできません。このオプションはお勧めしません。
      • メールユーザー:後でソースユーザーをターゲットテナントに移行する場合は、このオプションを使用します(移行の準備ができたら、メールが有効なユーザーにO365ライセンスを追加するだけです)。
      • ゲストユーザー:(デフォルトでアクティブ化)このオプションを使用して、ソースユーザーをゲストユーザーとしてターゲットのMicrosoft TeamsまたはSharePointサイトに追加できるようにします。このオプションを使用すると、ソースグループがゲストユーザーとしてターゲットテナントに再作成されません。

プッシュオプション

      • プッシュグループ:連絡先(またはメールが有効なユーザーまたはゲストユーザー)としてのアドレス帳でのグループの電子メールアドレスの公開を有効または無効にします。
      • 空のフィールドをプッシュ:空のフィールドを伝播します。 ソースではフィールドが空であるがターゲットでは空でない場合、ターゲット値は削除されます。
      • アドレスリストに強制的に表示:ターゲットゲストユーザーとして作成する場合にのみ使用されます。 既定では、Office365はゲストユーザーをアドレス帳から非表示にします。 このオプションを使用すると、それらを表示できます。
3.2.4. プッシュカスタマイズ

プッシュのカスタマイズにより、プッシュする属性を選択できます。

Office 365:GALSync Office 365 Push Customizations

Google Workspace:GALSync Push Customization

4. 同期化

Actionsセクションで、テナント間のユーザーとグループを手動で同期させることができます。ルールが正しい場合は、同期を自動化し、スケジュールを設定することができます。GALSync Actions

4.1. 手動同期

この章では、ソーステナントとターゲットテナントの間でユーザーとグループを同期する方法について説明します。これは2段階の同期です。最初の手順は、ユーザーとグループをソースからプルしてから、それらをターゲットにプッシュすることです。

      1. プル:ソースコネクタとターゲットコネクタの両方を選択し、[プル]をクリックして、テナントからユーザーとグループをプルします。この手順では、ソーステナントのユーザーとグループをプル(検出)します。
      2. プッシュ:このステップでは、ユーザーとグループを選択したソースから選択したターゲットにプッシュします。

注:最終的なテナント間でプッシュする前に、2つの一時的なテナント間、または偽のユーザーとグループでこのプロセスをテストすることを強くお勧めします。

アクションのリスト:

      • プル:このオプションを使用して、ユーザーとグループをソースコネクタからCloudiway内部キャッシュにプルします。
      • プッシュ:このオプションを使用して、以前にソースコネクタからプルオプションによってCloudiway内部キャッシュにプルされたすべてのユーザーとグループをターゲットコネクタにプッシュします。さまざまなアクションを実行します。ターゲットコネクタからオブジェクトをプルします。次に、何をプッシュする必要があるかを判断し、最後に変更をターゲットにプッシュします。ソースからプルを取得した直後にターゲットにプッシュするようにしてください。そうしないと、プッシュされたオブジェクトが最新でない可能性があります。
      • シミュレート:ターゲットに変更を加えないことを除いて、プッシュオプションと同様です。シミュレーション結果を確認するには、ジョブ(サイドメニューの[履歴]セクション)をクリックしてから、[シミュレーションの表示]をクリックします。
      • キャッシュのクリア:このオプションを使用して、選択したコネクタのCloudiway内部キャッシュを空にします。アクションがすでに処理されている間は、このアクションを実行できません。
      • 連絡先の削除:このオプションを使用して、Googleコネクタを介してプログラムでGoogleの連絡先を削除します。 Google管理者は、共有の連絡先を手動で削除することはできません。
4.2. データディスカバリー

プルアクションが正常に完了すると、ソースコネクタからプルされたすべてのオブジェクトを視覚化できます。 [Data Discovery]に移動し、ソースコネクタを選択します。GALSync Data Discovery

ソースコネクタから引き出されたすべてのユーザー、グループ、およびゲストユーザーが、ソースコネクタからCloudiway内部キャッシュへの以前の同期と比較したオブジェクトの対応する状態とともに以下に表示されます。

      • 作成した[Created]
      • 作成待ち[Pending Creation]
      • わからない[Unknow]
      • 変更[Modified]
      • 保留中の変更[Pending Modification]
      • 変更されていません[Not Modified]
      • プログラムでフィルタリング[Programmatically Filtered]
      • 手動でフィルタリング[Manually Filtered]
      • 手動でフィルタリングされていない[Manually Unfiltered]
      • 削除[Deleted]
      • 保留中の削除[Pending Deleted]
      • エラー[Error]
4.3. 自動同期化

ルールが正しければ、ソーステナントからCloudiway内部キャッシュへのプルアクションのシーケンスをスケジュールし、完了したら、Cloudiwayキャッシュからターゲットテナントへのプッシュアクションをスケジュールすることで、同期を自動化できます。 両方のアクションをスケジュールするときは、プッシュアクションを自動的に開始する前に、プルアクションが競合できるように十分な時間を取ってください。

Automatic Runを有効にします。 Day of the WeekTime(UTC)を選択し、[ADD SCHEDULER]をクリックします。Automatic Run

次に、「+」アイコンをクリックし、ソースコネクタとターゲットコネクタを選択して、[OK]をクリックします。 アクションは、選択した日時にCloudiwayによって自動的に起動されるようにスケジュールされます。GALSync Scheduler

5. 歴史

[History]セクションに切り替えて、タスクの実行を監視し、ジョブのステータスを確認して、結果を視覚化します。GALSync History

ジョブをクリックして、同期の結果(作成、変更など)を表示します。

ページを下にスクロールします。 ジョブログは、ジョブリストの下にあります。

6. トラブルシューティング

Cloudiwayは、一般的なエラーメッセージを含む、多くのリソースを備えた広範なナレッジベースを提供します。 こちらのナレッジベースにアクセスしてください(キーワードを検索したり、トピックを読んだりできます)。

これらの手順を完了するのが難しい場合は、コンサルティングチームに解決策を検討してください。問い合わせください。 これにより、迅速で費用効果が高く、ストレスのない実装が保証されます。

 

 

 

更新日:2022/05/11