IBM Support

MaaS360 と統合済みのオンプレミス Active Directory 環境を Azure AD 環境へ移行する際の注意点

How To


Summary

この記事では、オンプレミスの Active Directory (以下、OPAD) を使用した Cloud Extender ユーザー認証およびユーザー可視化から Azure AD (以下、AAD) を使用したクラウド統合への移行を検討している既存のお客様に焦点を当てています。

Steps

基本情報:MaaS360における"ユーザー認証"と"ユーザー可視化"
  1. MaaS360における"ユーザー認証"
    • ユーザー認証は、「MaaS360 メール」、「MaaS360 ブラウザ」、「文書」 などのコンテナー・アプリを使用してする際に、登録認証、管理ポータル認証、エンド・ユーザー・ポータル認証、および MaaS360 アプリのPINコードのリセット操作を行うのに使用される機能です。
    • ユーザー認証は以下の場合に有効化されます。
      • Cloud Extender が OPADまたは その他のオンプレミス LDAP サーバー製品と統合している時。
      • クラウドからクラウドへの統合を、AAD を使い実現している時
      • Identity Provider を使い SAML 環境と統合している時
  2. MaaS360における"ユーザー可視化"
    • ユーザー可視化は、ユーザーおよびユーザー・グループを MaaS360 にインポートするために使用される機能です。これらは、ポリシーの割り当て、コンテンツの配布、およびポリシーとアプリ構成で使用できるユーザー属性に使用できます。
      • : ユーザー・グループは、割り当てとコンテンツ配布の唯一のオプションではありません。デバイス・グループも使用できます。デバイス・グループはインポートされず、拡張検索を使用して MaaS360 で作成されます。
    • ユーザー可視化は以下の場合に有効化されます。
      • Cloud Extender が OPAD または、その他のオンプレミス LDAP サーバー製品と統合している時。
      • クラウドからクラウドへの統合を、AAD を使い実現している時。
      • OPAD および AAD ユーザー可視化の一部ではありませんが、管理者は以下のようなこともできます:
        • Maas360 ユーザー・ディレクトリーでローカル・ユーザーおよびユーザー・グループを手動で作成したり、csv ファイルを使用してそれらを一括インポートすること。
        • SAML 認証により、MaaS360 にローカル ユーザーが自動的に作成されます。(グループは手動で作成する必要があります)
重要既存のMaaS360環境が OPAD と統合済みであっても、OPAD が引き続き ID ソースとして使用される(ユーザー認証とユーザー・グループに必要なユーザーやグループがOPAD側に存在している)のであれば、Cloud Extender とユーザー認証、ユーザー可視化モジュールは 引き続き使用できます。
この環境と AAD を統合するシナリオでは、Microsoft社 AD Connect を使用して OPAD と AAD の間でユーザーとグループを同期することになります。
Cloud Extender OPAD を AAD クラウド統合に移行する理由を以下に説明します。
MaaS360 と Azure AD (AAD) の統合の概念
MaaS360 と Azure AD との統合方法については、以下の資料をご参照ください。
https://www.ibm.com/docs/ja/maas360?topic=setup-integrating-azure-ad-maas360
  • AAD と MaaS360 との統合は、クラウドとクラウドとの統合であるため、Cloud Extender は不要です。
  • AAD と MaaS360 との統合機能は、ユーザー認証とユーザー可視化、そして AAD 条件付きアクセス コンプライアンス更新に対応しています。
  • AAD ユーザー可視化機能を、特定のユーザー・グループに対してのみ使用する場合は、AAD 条件付きアクセス コンプライアンスに対応させる必要があります。詳細についてはこちらの記事(英文)を参照してください。
  • Azure AD 上の全てのユーザーか、または、選択したユーザー・グループに属するユーザーを MaaS360 にインポートできます。
  • AAD 条件付きアクセス・コンプライアンス同期を実装するには、コンプライアンス更新を全てのユーザーに対して行うのか、特定ユーザー・グループのユーザーに対して行うのかを選択します。
  • MaaS360 は、ユーザーの一部が OPAD にあり、別のユーザーが AAD にある場合に、混合モードでのユーザー認証をサポートします。
  • ユーザー・レコードが OPAD と AAD で重複している場合、混合モードのユーザー可視化機能はお勧めできません。ユーザー可視化の完全同期が実行されるたび、ユーザー・レコードが交互にマージ(データ統合)されてしまうためです。
    マージのプロセスについては、当文書の後半で説明します。
統合のシナリオ:
  • ハイブリッド (混合モード) :一部のユーザーとグループは AAD で管理し、一部は OPAD で管理するシナリオ。
    • この場合、Cloud Extender の「ユーザー可視化モジュール」と「ユーザー認証モジュール」は引続き使用できます。
  • AADへの完全移行:全ユーザーの管理を AAD 上で行い、AAD を完全な ID ソースおよび ID プロバイダーとして使用するよう統合するシナリオ。
    • この場合、Cloud Extender は廃止されます。ただし、ユーザーとグループを AAD に移行するときに、ハイブリッド シナリオが必要になる場合があります。
  • 両者の使い分け:OPAD を引き続き ID ソースとして使用し、AAD は AAD ユーザー可視化を必要とするユーザー・グループ・ベースの条件付きアクセスを使用するよう統合するシナリオ。
    • この場合、すべてのユーザーとグループが OPAD と AAD の間で同期される場合であれば、引き続き Cloud Extender 上でユーザー認証モジュールを使用できます。ただし、Cloud Extender 上のユーザー可視化モジュールは廃止し、AAD 用のユーザー可視化機能を構成する必要があります。
以下、それぞれのシナリオについて詳細を記載します。

OPAD/LDAP 混合モードでユーザー認証を使用するシナリオ

企業が OPAD と AAD の両方に対してユーザー認証を必要とする場合、MaaS360 は混合モードのユーザー認証をサポートしています。
OPAD/LDAP 上のユーザーから Azure AD (AAD) ユーザーへのインポートと統合について
AADユーザーがMaaS360 に対してどのようにインポートされるかを確認しましょう。この項目の理解は非常に重要です。

複数のユーザー・ソース (OPAD と AAD) に同名のユーザーが存在する環境において、両ユーザー・ソースを混在させることを計画している場合、または OPAD 側のユーザー可視化モジュールを遮断して一方から他方へ移行することを計画している場合は、ユーザー・レコードがどのように作成されマージされるかを理解している必要があります。
  • こちらは AAD上のサンプル・ユーザー "margaet@MargaretCo.com" です:
    • Image1
  • サンプルユーザー "margaret@Margartco.com" が AAD 側のユーザー可視化機能によって MaaS360 へインポートされた時、MaaS360 ポータル側では次のように表示されます。
    • Summary of sample user named 'margaret', shown in MaaS360 portal.
  • AAD 側に保存されている各項目の値は、MaaS360 側の各項目へ、次の表のようにインポートされます。
    • Table which desribes how user's fields are merged between OPAD and AAD.
重要: Maas360 は「Username(以下、ユーザー名)」の値を使用して、ユーザー可視化機能でのインポート中にユーザー・レコードをマージする必要があるかどうかを決定します。
今回の例では MaaS360 ポータルに "margaret@margaretco.com" という名のローカル・ユーザーが既に存在していましたが、「ユーザー名」の値が一致しなかったため、インポート時にマージされませんでした。
以下の画像では、ユーザー・ソースが異なっている(MaaS360のローカル・ディレクトリとAADのユーザー・ディレクトリ)ことに注目してください。
ユーザーのデバイスはユーザー・レコードに関連付けられるため、これは重要な概念です。
この場合、デバイスを正しく関連付けるにはデバイスを再登録する必要があります。再登録の際にはAADからインポートされた新しいユーザー・レコードを使用します。
User Directory page in MaaS360 portal, which shows 2 users named 'margaret' and 'margaret@margaretco.com'
OPAD Cloud Extender から AAD への統合時に考慮すべきこと
  • 各ユーザーの「ユーザー名」が合致するようにしてください。合致していないと、OPADから AAD へのユーザー・マージは行われません。
    • 両ドメイン上での「ユーザー名」欄の値が合致している場合は、MaaS360 上に保存されているユーザー情報が、OPAD 側の情報から AAD 側の情報へ置換されます。
  • UPN属性値、email属性値、domain属性値が合致していることを確認してください。合致していない場合は、設定失敗する可能性があります。
    • 重要: デバイスが MaaS360 に登録されると、Eメール、ドメイン、およびユーザー名がデバイス・レコードとともにキャッシュされます。構成ペイロードのなかでメール、アプリの構成設定として使用される変数 %username%、%email%、および%domain%を使用してメール、アプリの構成設定などにアクセスできます。リテラルと変数の組み合わせによって、OPADとAADの間の変更に対応するための構成設定を変更することができます。
    • MaaS360 は、E メールへのアクセスに使用される MaaS360 MDM ポリシーおよび MaaS360 Workplace Persona ポリシーの構成設定と変数を提供します。
    • Cloud Extender OPAD 統合から AAD 統合に移行する場合、MaaS360 ポリシー内の設定内容が、ユーザーがデバイスからメールにアクセスするための正しい構成設定が使用されていることを確認する必要があります。 (UPN, email, domain)
      • 詳細は Microsoft365 統合に関するマニュアル(日本語)を参照ください。
  • MaaS360 で使用するユーザー・グループが AAD に存在することを確認してください。
    • AAD ユーザー可視化モジュールを使用して、グループを再インポートします。
    • インポート元が異なる (AAD と OPAD) グループは、マージされません。
    • 重要: ポリシー、ドキュメント、アプリ、ルールを、ユーザー・グループへ割り当てている場合は、この文書内の「ユーザー・グループの可視化」セクションを参照してください。
      • ユーザー・グループまたはユーザー・グループを使用する選択条件を持つデバイス・グループで割り当てを使用している場合は、「ユーザー・グループの可視化」セクションも参照してください。
  • カスタム・ユーザー属性はすべて、新しいユーザー・レコードに再割り当てして同期する必要があります。
  • ユーザー認証は混合モードにすることができますが、ドメインが一致していることを確認してください。
  • 混合モード認証を使用する場合、ユーザー・レコードに関連付けられた認証タイプを使用して認証タイプが決定されます。これは、[セットアップ] > [設定] > [基本登録設定] で上書きすることもできます。
  • 混合モードでのユーザー可視化はサポートされていますが、AAD と OPAD に 2 つの全く別のユーザー・サブセットがある場合を除き、推奨されません。これは、MaaS360 ユーザー・レコードのユーザー名が一致する場合、ユーザー可視化の同期中に自動的にマージが行われてしまうためです。
  • OPAD から AAD User Visibility への完全なカットオーバーを行う場合は、最初に AAD 接続をセットアップし、統合が有効であることを示す緑色のチェックマークが表示されていることを確認してから、OPAD 側のユーザー可視化モジュールを無効にします。
  • Cloud Extender 上の OPAD ユーザー可視化モジュールが廃止され、AAD ユーザー可視化モジュールが有効になり、ユーザーをマージされた事を確認した上で、MaaS360 ポータル上に OPAD/LDAP 上にユーザー・ソースをまだ持っているユーザーを削除します。
    • [ユーザー設定] >[ 基本] > [ユーザーの非アクティブ化設定] > [ユーザーとデバイスをアクティブにしておく]
    • [ユーザー] > [ディレクトリー] メニューをクリック後、[その他のアクション] > [ユーザーの一括削除] または非アクティブ化。 (ユーザーの一括削除には CSV ファイルを使用してください)
OPAD ユーザー・グループから Azure AD ユーザー・グループへ移行する際の、ユーザー可視化モジュールの考慮事項
アプリやポリシー、コンプライアンス ルールの割当先や、ドキュメントの配布先として OPAD ユーザー・グループを指定している状況で、ユーザー可視化モジュールを Cloud Extender OPAD から AAD に切替えると、割り当てや配布が解除されてしまうことにご注意ください。
これは、ユーザー可視化モジュールの切替え後に、ユーザー・ソースも OPAD から AAD に変更されてマージされ、従来の OPAD をソースとするユーザーが自動削除されるためです。
OPAD のユーザー・グループと AAD のユーザー・グループはマージされません。

MaaS360 ユーザー・ディレクトリー内のユーザー・ソースの例
Example of User Source in MaaS360 User Directory
OPAD から Azure AD への移行のソリューション例:  MaaS360 セキュリティー・ポリシーの割り当てと配布先として使用していた OPAD ユーザー・グループが、AAD への移行時にユーザーを失う状況

AAD グループが MaaS360 にインポートされるまで、一時的な MaaS360 デバイス・グループを作成し、OPAD ユーザー・グループと同じように割り当てます。
  1.  問題の OPAD ユーザー・グループに属するデバイスの一覧を、csv ファイルへエクスポートします
    • MaaS360 ポータル内で [ユーザー] > [グループ] メニューをクリックします。
    • 作業対象の OPAD ユーザー・グループを見つけて、[その他のアクション] > [デバイス] メニューをクリックします。
    • 右下の [列のカスタマイズ] をクリックし「デバイスID」を追加します。
    • [デバイスID] 列を先頭の位置にドラッグして移動し、続いて [デバイス名] 列を2番目の位置へドラッグしてから、[保存] をクリックします。
    • [エクスポート] をクリックします。これによりデバイス一覧が csv ファイルとして保存されます。
  2. [デバイス] > [デバイス属性] メニューをクリックし、[カスタム属性の管理]、[カスタム属性の追加] の順にクリックします。
    • テキスト型のカスタム属性を追加します。追加したカスタム属性には、スマート検索のさまざまなユーザー・グループ名を識別するために使用できるような文字列を保存します。
  3. [デバイス] > [デバイス属性] メニューをクリックします。
    • OPAD ユーザー・グループからダウンロードしたデバイスの csv ファイルにカスタム属性を追加する手順を確認します。
    • デバイス レコードをカスタム属性値でマークする、アップロードするファイルを選択します。
  4. [デバイス] > [高度な検索] を使用して、カスタム属性に基づいて一時的なローカル・デバイス・グループを作成します。
  5. OPAD ユーザー・グループが持っていたのと同じディストリビューションをデバイス・グループに与えます。
  6. ユーザー可視化モジュールが使用するソースの変更 (OPAD から AAD へ) が完了したら、AAD ユーザー・グループを追加して適切な割り当てを行い、一時的なローカル・デバイス・グループを廃止するか、ステップ #3の csv ワークフローを使用してカスタム属性を更新します。

Additional Information

当文書は弊社 IBM Security Community にて公開された英文のブログを翻訳した参考文書です。翻訳元の文書は、関連文書のリンクよりご参照ください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSYSXX","label":"IBM MaaS360"},"ARM Category":[{"code":"a8m0z000000GnO3AAK","label":"CLOUD EXTENDER"},{"code":"a8m0z000000070nAAA","label":"DOCS"},{"code":"a8m0z0000000712AAA","label":"INTEGRATIONS"},{"code":"a8m0z000000070eAAA","label":"SETUP"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
31 March 2023

UID

ibm16963886

Page Feedback