Active Roles
03:13
主なメリット
セキュリティを強化
ADにZero Trustの最小特権を導入
ロールに基づいて権限を委任することで、特定のアプリケーションにアクセスを必要とするユーザのみが必要な期間だけアクセスできるようにします。詳細はこちら
データの整合性とコンプライアンスを確保
正確なデータとレポート作成を維持
自動化を使用して正確さと一貫性を確保します。監査機能により、コンプライアンスレポートを簡単に作成できます。
複雑な環境の管理をシンプル化
単一コンソールに統合
すべてのADドメインとAzure ADテナントを単一コンソールに統合して、AD/AAD環境全体の優れた可視性と制御を実現します。
一貫性を確立して維持
ディレクトリを同期
組織全体で複数のデータソースを同期して、データの一貫性を確保し、セキュリティと効率を向上できます。
効率を強化
ADタスクおよびグループ管理を自動化
タスクを自動化して正確さと一貫性を確保し、手作業を減らします。IDとグループを簡単に管理し、ロールの変更に合わせ、必要に応じてグループ間でIDとオブジェクトを移動できます。
機能
ハイブリッド型ADに対応
ロールベースの委任と最小特権アクセスによる安全なアクセス
AD管理を自動化
Active Rolesは、AD、AAD、およびADを組み合わせたシステムにおけるユーザのアクセス権のプロビジョニング(ユーザとグループのプロビジョニング解除を含む)を自動化する優れた機能により、ユーザとグループのライフサイクル全体にわたって効率的で安全な管理プロセスを実現します。Active Rolesでは、次のようなさまざまなタスクを自動化できます。
- ADおよびAADのユーザアカウントとグループの作成
- AD/AADベースのアカウント管理のアクションを非Windowsシステムに拡張
- ExchangeおよびExchange Onlineのメールボックス作成
- ADおよびAADでのグループ構成
- Windowsリソースの割り当て
ユーザのアクセスを変更または削除する必要がある場合は、AD/AADのハイブリッド環境やADを組み合わせた環境で関連するすべてのシステムとアプリケーションにわたって自動で更新が行われます。これには、UNIX、Linux、およびMac OS Xも含まれます。
管理、アカウントのライフサイクル管理およびセキュリティをシンプル化
Active Rolesにより、複数のADドメイン、Azure AD、およびO365テナントを一元管理機能で表示および管理できるため、IDエコシステム全体の管理をシンプル化できます。Active Rolesを使用すると、オブジェクト、ユーザ、およびグループを管理して、クライアントドメインからホストドメインに至るまで、属性とパスワードを安全に同期できます。オンプレミス、クラウド、およびハイブリッド環境で以下を管理できます。
- Exchange受信者(メールボックスやOCSの割り当て、作成、移動、削除、アクセス許可、配布リストの管理など)
- グループ
- コンピューター(共有を含む)プリンタ
- Active Directoryのセキュリティ
- クラウドベースのAzure ADのプロビジョニング
Active Rolesでは直���的に使えるインターフェイスが採用されており、MMCスナップインとWebインターフェイスにより、AD/AADのハイブリッド環境での日常的な管理業務やヘルプデスクの業務をより効率的に行えます。
ADデータの整合性とコンプライアンスを確保
Active Rolesを使用すると、自動化を通じて一貫性と説明責任を確立できます。監査機能は、コンプライアンスレポート作成をサポートしています。OAUTHを使用した最新の認証に加えて、Active Rolesにはお客様に合わせてカスタマイズされた堅牢な承認手続きが備わっています。この承認手続きにより、ディレクトリデータの自動管理を補完する責任の連鎖を構築し、ビジネス要件に沿ったITプロセスと監視を実現できます。
Active Rolesを使用すると、組織全体で複数のデータソースを同期して、一貫性を確保し、セキュリティと効率を向上できます。
Active RolesとOneLogin Workforce Identityの連携
Active RolesとOneLoginの強力な組み合わせは以下のように役立ちます。
- レガシーおよびクラウドアプリケーションにおけるユーザとグループのアクセス管理の効率と一貫性を高め、IT管理者とユーザの生産性を向上
- 最小特権モデルを採用し、総合的なセキュリティを強化するよう組織を強力にサポート
- ADとのリアルタイム同期(Active Rolesにより管理)に基づいてアプリケーション(OneLogin)にロールベースのアクセスをプロビジョニングし、業務で必要な権限のみをAD管理者およびユーザが持てるようにする
他のAD接続ソリューションとの統合
AD/AADの安全な特権アクセス管理
ツアー
リソース
Active Roles
KuppingerCole Report Executive View on Active Roles
Kickstart Zero Trust with Active Roles and OneLogin MFA
10 Steps to enhance the agility, security and performance of Active Directory
IDC Spotlight: Fortify Active Directory to Improve Security and Efficiency
ハイブリッドAD環境の管理の 苦痛を緩和する上位5つの方法
Managing the Invisible Risk of Non Human Identities
Securing the Keystone: Active Directory Privileged Access Management
サポートおよびサービス
仕様
Active Roles 7.4のインストールにあたっては、システムが以下のハードウェアとソフトウェアの最小要件を満たしていることを確認してください。
Active Rolesは、以下のコンポーネントで構成されています。
- 管理サービス
- Webインターフェイス
- コンソール(MMCインターフェイス)
- 管理ツール
- 同期サービス
このセクションでは、これらの各コンポーネントをインストールして実行するための要件を、ハードウェアとソフトウェアの面から説明します。
- プラットフォーム
次のいずれか:
- Intel 64(EM64T)
- AMD64
- プロセッサー速度: 2.0 GHz以上
効果を最大化するために、マルチコアプロセッサーの使用を推奨します。
- メモリ
2 GB以上のRAM。必要な容量は管理対象オブジェクトの合計数によって決まります。
- ハードディスク容量
100 MB以上の空きディスク容量。SQL Serverと管理サービスを同じコンピュータにインストールする場合、必要な容量はActive Rolesデータベースのサイズによって決まります。
- オペレーティングシステム
管理サービスは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
管理サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/p/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- SQL Server
Active RolesのデータベースをホストできるSQL Serverは、次の通りです。
- Microsoft SQL Server 2017(任意のエディション)
- Microsoft SQL Server 2016(任意のエディション)
- Microsoft SQL Server 2014(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Microsoft SQL Server 2012(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Microsoft OLE DB Driver for SQL Server(MSOLEDBSQL)
- Windows Management Framework
サポートされているすべてのオペレーティングシステムで、管理サービスにはWindows Management Framework 5.1が必要です(http://go.microsoft.com/fwlink/?LinkId=272757の「Windows Management Framework 5.1」を参照)。
- ドメインコントローラーのオペレーティングシステム
以下のオペレーティングシステム(任意のエディション、Service Packの有無を問わない)を実行するドメインコントローラーでActive Directoryを管理する場合、Active Rolesの特長と機能がすべて維持されます。
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012
Active Rolesでは、Windows Server 2012よりもドメインの機能レベルが低い管理対象ドメインは推奨されません。このため、Active Rolesが管理するドメインの機能レベルをWindows Server 2012以上に上げることをお勧めします。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Exchange Server
Active Rolesでは、次のExchange Server上のExchange受信者を管理できます。
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2010 Service Pack 3
- Microsoft Exchange 2013 CU11のサポートは終了しました。KB記事202695を参照してください。
- プラットフォーム
次のいずれか:
- Intel 64(EM64T)
- AMD64
- プロセッサー速度: 2.0 GHz以上
- メモリ
2 GB以上のRAM。必要な容量は管理対象オブジェクトの合計数によって決まります。
- ハードディスク容量
約100 MBの空きディスク容量
- オペレーティングシステム
Webインターフェイスは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
Webインターフェイスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- インターネットサービス
Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019でWebインターフェイスを使用するには、サーバの役割「Webサーバ(IIS)」に加え、以下の役割サービスが必要になります。
- Webサーバ/HTTP基本機能/
- 既定のドキュメント
- HTTPエラー
- 静的なコンテンツ
- HTTPリダイレクション
- Webサーバ/セキュリティ/
- 要求フィルター
- 基本認証
- Windows認証
- Webサーバ/アプリケーション開発/
- .NET Extensibility
- ASP
- ASP.NET
- ISAPI拡張
- ISAPIフィルター
- 管理ツール/IIS 6管理互換/
- IIS 6メタベース互換
- ハンドラマッピング
- モジュール
インターネット・インフォメーション・サービス(IIS)では、以下の機能の委任を「読み取り/書き込み」に設定する必要があります。
これらの機能の委任が「読み取り/書き込み」に設定されていることを確認するには、インターネット・インフォメーション・サービス(IIS)マネージャの「機能の委任」を使用します。
- Webサーバ/HTTP基本機能/
- Webブラウザ
Webインターフェイスは、次のブラウザからアクセスできます。
- Firefox 36(Windows)
- Google Chrome 61(Windows)
- Windows Internet Explorer 11
- Microsoft Edge(Windows 10)
Firefox、Google Chrome、またはInternet Explorerの最新バージョンを使用してもWebインターフェイスにアクセスできますが、Webインターフェイス7.4は、上記のバージョンのブラウザ以外ではテストされていません。
- 画面の最小解像度
Webインターフェイスは、1,280 x 800以上の画面解像度向けに最適化されています。サポートされる最小画面解像度は1,024 x 768です。
- プラットフォーム
次のいずれか:
- Intel x86
- Intel 64(EM64T)
- AMD64
- プロセッサー速度: 1.0 GHz以上
- メモリ(RAM)
1 GB以上のRAM。必要な容量は管理対象オブジェクトの合計数によって決まります。
- ハードディスク容量
約100 MBの空きディスク容量
- オペレーティングシステム
Active Rolesのコンソールは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
- Microsoft Windows 8.1(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
- Microsoft Windows 7(Ultimate/Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64)、Service Pack 1)
- Microsoft Windows 10(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
Active Rolesのコンソールには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- Webブラウザ
Active Rolesのコンソールを使用するには、Internet Explorer 11が必要です。
管理ツールは、Active Roles管理シェル、ADSIプロバイダ、およびSDKで構成された合成コンポーネントです。64ビット(x64)システムでは、Active Roles設定センターも構成要素に含まれます。
- プラットフォーム
次のいずれか:
- Intel x86
- Intel 64(EM64T)
- AMD64
- プロセッサー速度: 1.0 GHz以上
- メモリ(RAM)
1 GB以上のRAM。
- ハードディスク容量
約100 MBの空きディスク容量
- オペレーティングシステム
管理ツールは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows 8.1(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
- Microsoft Windows 10(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
管理ツールには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- Windows Management Framework
サポートされているすべてのオペレーティングシステムで、管理ツールにはWindows Management Framework 5.1が必要です(https://www.microsoft.com/en-US/download/details.aspx?id=54616の「Windows Management Framework 5.1」を参照)。
- リモートサーバ管理ツール(RSAT)
ターミナル・サービス・ユーザのプロパティをActive Roles管理シェルで管理するには、管理ツールにActive Directory向けのリモートサーバ管理ツール(RSAT)が必要です。リモートサーバ管理ツールをオペレーティングシステムに正しくインストールする方法については、Microsoftのドキュメントで手順をご確認ください。
- プラットフォーム
次のいずれか:
- Intel 64(EM64T)
- プロセッサー速度: 2.0 GHz以上
- AMD64
効果を最大化するために、マルチコアプロセッサーの使用を推奨します。
- メモリ
2 GB以上のRAM。必要な容量は同期するオブジェクトの数によって決まります。
- ハードディスク容量
250 MB以上の空きディスク容量。SQL Serverと同期サービスを同じコンピュータにインストールする場合、必要な容量は同期サービスデータベースのサイズによって決まります。
- オペレーティングシステム
同期サービスは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
同期サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- SQL Server
同期サービスのデータベースをホストできるSQL Serverは、次の通りです。
- Microsoft SQL Server 2017(任意のエディション)
- Microsoft SQL Server 2016(任意のエディション)
- Microsoft SQL Server 2014(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Microsoft SQL Server 2012(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Windows Management Framework
サポートされているすべてのオペレーティングシステムで、同期サービスにはWindows Management Framework 5.1が必要です(https://www.microsoft.com/en-US/download/details.aspx?id=54616の「Windows Management Framework 5.1」を参照)。
- サポートされる接続
同期サービスは、次のサービスに接続できます。
- ドメインまたはフォレストの機能レベルがWindows Server 2012以上のMicrosoft Active Directoryドメインサービス
- Microsoftがサポートする任意のWindows Serverオペレーティングシステム上で稼働する、Microsoft Active Directory Lightweight Directory Services
- Microsoft Exchange Server 2019、2016、2013、または2010バージョン
注意: Microsoft Exchange 2013 CU11のサポートは終了しました。KB記事202695を参照してください。
- Microsoft Lync Server 2013バージョン(リミテッドサポート)
- Microsoft Skype for Business 2019、2016、または2015
- Azure AD Graph APIバージョン1.6を使用するMicrosoft Windows Azure Active Directory。
- Microsoft Office 365ディレクトリ
- Microsoft Exchange Onlineサービス
- Microsoft Skype for Business Onlineサービス
- Microsoft SharePoint Onlineサービス
- Microsoft SQL Server(Microsoftがサポートする任意のバージョン)
- Microsoft SharePoint 2019、2016、または2013
- Active Rolesバージョン7.4、7.3、7.2、7.1、7.0、および6.9
- One Identity Managerバージョン7.0(D1IM 7.0)
- One Identity Managerバージョン8.0
- Generic LDAPコネクタ、MY SQLコネクタ、Open LDAPコネクタ、IBM Db2 Connector、Salesforceコネクタ、Service nowコネクタ、およびRACF Connectorをサポート。
- OLE DBプロバイダ経由でアクセス可能なデータソース
- 区切りテキストファイル
- レガシーActive Roles ADSIプロバイダ
Active Rolesバージョン6.9に接続するには、同期サービスを実行するコンピュータに各バージョンのActive Roles ADSIプロバイダをインストールする必要があります。インストール手順については、該当するバージョンのActive Rolesのクイック・スタート・ガイドを参照してください。
- Microsoft Exchange Server管理ツール
Exchange Server 2007に接続するには、同期サービスを実行するコンピュータにExchange 2007 SP3管理ツールをインストールする必要があります。インストールの手順は、http://go.microsoft.com/fwlink/?linkid=88090の「Exchange 2007管理ツールをインストールする方法」を参照してください。
- Windows PowerShellバージョン2用Azure ADモジュール
Office 365ディレクトリに接続するには、同期サービスを実行するコンピュータに次のモジュールをインストールする必要があります。
- Windows PowerShell用Azure Active Directoryモジュール
インストールの手順については、https://docs.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0の「Azure ADモジュールのインストール」を参照してください。
- Windows PowerShell Module for Skype for Business Online
Lync Onlineサービスに接続するには、同期サービスを実行しているコンピュータにLync Online用Windows PowerShellモジュールをインストールする必要があります。インストールの手順は、http://go.microsoft.com/fwlink/?LinkId=294688の「Lync Online用Windows PowerShellモジュール」を参照してください。
- SharePoint Online Management Shell
SharePoint Onlineサービスに接続するには、同期サービスを実行しているコンピュータにSharePoint Online Management Shellをインストールする必要があります。インストールの手順は、http://go.microsoft.com/fwlink/?LinkId=255251の「SharePoint Online Management Shell」を参照してください。
- One Identity Manager API
One Identity Manager 7.0に接続するには、同期サービスを実行するコンピュータにOne Identity Managerコネクタをインストールする必要があります。このコネクタはRESTful Webサービスで機能し、SDKのインストールが不要です。
- インターネット接続
クラウドディレクトリやオンラインサービスに接続するには、同期サービスを実行しているコンピュータに、信頼性に優れたインターネット接続が実装されている必要があります。
- Microsoft .NET Framework
同期サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=294688の「.NET Frameworkのインストール」を参照)。
- その他の要件
Active Directoryドメインのパスワードを、接続している他のデータシステムと同期させるには、同期サービスパスワード取得エージェントを、ソースのActive Directoryドメインのドメインコントローラーすべてにインストールする必要があります。
このエージェントをインストールするドメインコントローラーでは、Service Packの有無に関係なく、次のオペレーティングシステムのいずれかが稼働している必要があります(サポート対象はx86およびx64のプラットフォーム)。
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012
詳細については、『Active Roles同期サービス管理者ガイド』を参照してください。
Active Rolesのアップグレード方法については、『Active Rolesクイック・スタート・ガイド』の手順を参照してください。
アップグレードの実行���あたっては、アップグレード後のコンポーネントに以前のバージョンのコンポーネントを組み合わせると、機能しない場合があることに留意してください。新しいバージョンにスムーズにアップグレードするには、最初に管理サービスをアップグレードしてから、クライアントのコンポーネント(コンソールやWebインターフェイス)をアップグレードします。
Active Rolesの��能に依存するカスタムソリューション(スクリプトやその他の修正措置)は、互換性の問題のためにアップグレード後に機能しない場合があります。アップグレードに取り掛かる前に、ラボ環境で、既存のソリューションに新しいバージョンの製品を組み合わせてテストし、ソリューションが引き続き機能するかどうかを検証してください。
次の表に、製品を別のバージョンにアップグレードする際に選べる、アップグレードパスを示します。「ソースバージョン」とは、現在インストールされている製品のバージョンのことで、「デスティネーションバージョン」とは、製品をアップグレードできる最上位のバージョンのことです。
ソースバージョン
デスティネーションバージョン
6.9.0
7.4
7.0
7.4
7.1
7.4
7.2
7.4
7.3
7.4
