今回は、Azure Active DirectoryのアカウントをGoogle WorkSpace(以下:GWS)に同期して作成するツール「Google Directory Sync」について検証、作成を行います。
※2023年8月時点で「Google Directory Sync」はベータ版となります。
Google Directory Syncとは
「Directory Sync」はAzure Active Directoryと同期する際に使用するツールです。
Azure Active Directoryのユーザーデータ、グループデータをGoogle Cloudのディレクトリに同期します。
同期プロセスはクラウド上で実行されるため、同期ツール等をインストールする必要はありません。
Directory Sync構築
事前準備
構築にあたり必要となるものは以下の通りです。
GWS側
- Google 管理コンソールの特権管理者権限。
- Google Cloud のデータコネクタまたはコネクタ管理者のロール
- (Directory Sync の管理をサポートする場合)特権管理者権限を持つ別の管理者、または [Directory Sync の設定を管理する] の権限を持つ管理者。
Azure Active Directory側
- グローバル管理者アカウント
- 同期対象とするグループ(セキュリティグループ、Microsoft 365グループどちらでも可)
ディレクトリ同期設定
ディレクトリ間の同期設定を行います。
- Google 管理コンソールにサインインし、「ディレクトリの同期」>「AZURE ACTIVE DIRECTORYを追加」をクリックします
- 内容を確認し、「続行」をクリックします
- 「ディレクトリ名」、「説明」に任意の値を入力後、「ディレクトリタイプ」が「Azure Active Directory」となっていることを確認し、「承認して続行」をクリックします
- Microsoftのサインインページに推移するため、グローバル管理者のアカウント情報を入力してサインインします
- 「組織の代理として同意する」にチェックを入れ、「承諾」をクリックします
- Azure Active Directory とのディレクトリ接続が正常に完了したことを確認し、「続行」をクリックします。
ユーザー同期設定
ディレクトリの接続が完了したら、ユーザーの同期設定をしていきます。
同期対象のユーザーはAzure Active Directoryグループ単位で設定します。
- 管理コンソールから「ディレクトリの同期」>「ユーザー同期を設定」をクリックします
- 同期対象とするAzure Active Directoryグループを入力し、「続行」をクリックします
今回は、1ユーザーのみを同期させます。
- 同期するユーザーを配置する組織部門を選択し、「続行」をクリックします
- Azure Active Directory属性とGWSの属性をマッピングします
※下記画像以外の属性は同期できません
※アカウントの有効化で指定したメールアドレス宛にパスワードの初期設定ガイドが記載されたメールが送信されます - ユーザーが同期対象外となった(グループメンバーから外れた場合やユーザーが削除された)場合の処理を設定します
※「Google Directoryでユーザーを停止する」にチェックを入れるとユーザーが停止状態となります。
- 安全保護対策の動作基準を設定し、「同期をシミュレート」をクリックします
※指定した数字以上のユーザーが停止状態となる場合、同期を中止します
- シミュレーションの結果を確認します
- シミュレーション結果に問題が無ければ、「同期を有効にして実行」をクリックします
- ユーザーが同期できていることを確認します
おわりに
今回は、Azure Active DirectoryとGWSのアカウント同期の設定について解説しました。
Azure Active Directoryとユーザーの同期ができるといった点では非常に便利であありますが、同期できるユーザー属性の数が少ないため、運用の際には追加で属性を付与する(手動)ことも考えられるかと思います。
また、「Google Directory Sync」と似たツールでActive Directoryとの連携を行う「Google Cloud Directory Sync」(以下:GCDS)というツールがあります。
GCDSの方がカスタマイズ性が高く、本番運用にあたっては、GCDSを利用する場面の方が多いのではないかと感じました。
とはいえ、Google Directory Syncはまだベータ版の機能のため、今後のアップデートに期待していきたいと思います。