2.4.3 Active Directoryとの連携

Active Directoryと連携すると、Active Directoryで管理している機器をJP1/IT Desktop Managementに登録したり、各機器の情報を取得したりできます。ユーザー名、電話番号、メールアドレスなどのJP1/IT Desktop Managementでは自動収集できない情報も取得できます。

また、「部署」と「設置場所」の情報をActive Directoryから取得することで、Active Directoryで管理している組織単位(OU)とJP1/IT Desktop Managementで管理している機器と資産情報のグループ構成を同期できます。

取得できる機器情報

Active Directoryと連携すると、次の表に示すような機能が利用できます。

機能説明
機器の登録Active Directoryで管理されているコンピュータを発見し、JP1/IT Desktop Managementの管理対象として登録できます。また、システム情報をActive Directory上の情報で更新できます。
情報の取り込み機器情報とハードウェア資産情報の共通管理項目、およびハードウェア資産情報の追加管理項目の情報をActive Directoryで管理されている情報から取り込めます。項目の取得方法を「Active Directoryから取得」に設定する必要があります。
組織階層の取り込みActive Directoryで管理している組織単位(OU)の階層をJP1/IT Desktop Managementのグループ構成に取り込めます。

Active Directoryから取得できる機器情報の種別を次の表に示します。

機器情報の種別Active Directoryとの連携
機器の登録情報の取り込み
機器種別PC(Windows)○ ○ 
サーバ(Windows)○ ○ 
システム情報コンピュータ情報○ × 
OS情報○ × 
ネットワーク情報○ × 
共通管理項目○ ○ 
追加管理項目○ ○ 

(凡例)○:取得できる ×:取得できない

取得できる機器情報の詳細については、「(3) Active Directoryから取得できる機器情報」を参照してください。

機器情報の取得時刻

Active Directoryとの連携が設定されている場合、毎日23:00にActive Directoryの探索が実施されて、機器情報が取得されます。取得時刻や間隔を変更したい場合は、設定画面の[機器の探索]-[探索条件の設定]-[Active Directory の探索]画面で、探索スケジュールを設定してください。

この項の構成
(1) Active Directoryに登録されている機器の探索
(2) Active Directoryを探索する場合の接続先の設定
(3) Active Directoryから取得できる機器情報
(4) Active Directoryからの部署のグループ構成の取り込み
(5) Active Directory連携時の注意事項

(1) Active Directoryに登録されている機器の探索

Active DirectoryのドメインおよびルートOUで管理されているコンピュータを探索して、管理対象に登録できます。すでにActive Directoryを利用してコンピュータを管理している場合にお勧めします。

Active Directoryを利用した機器の探索の流れを次の図に示します。

[図]

機器情報の探索方法

Active Directoryに登録されている機器を探索する方法について次に示します。

即時実行
Active Directoryに接続して、機器を探索します。発見した機器からは、機器情報が取得されます。初期導入時やActive Directoryの情報の変更をすぐにJP1/IT Desktop Managementに反映したいときは、この方法をお勧めします。[機器の管理を始めましょう]ウィザードまたは設定画面の[機器の探索]-[探索条件の設定]-[Active Directoryの探索]画面で実行できます。
参考
探索を途中で中止した場合は、すでに取得したコンピュータ情報およびグループ情報は、取り込んだ時点の状態になります。
定期実行
Active Directoryの探索の設定に従って、機器を定期的に探索します。発見した機器からは、機器情報が取得されます。探索スケジュールは、設定画面で[開始時刻]、[繰り返し単位](日、週、月)、[繰り返しの方法]を設定できます。デフォルトは、毎日23:00です。
参考
サービスの停止やシステムのシャットダウンで探索が実行できなかったり、途中で中止されたりした場合は、次回のサービス起動時に実行されます。
探索が中止された場合は、次回のサービス起動時にすべてのコンピュータを対象に再度探索が実行されます。複数回探索が実行できなかった場合は、最新の1回分だけ探索が実行されます。

探索の実行状況を知りたい場合は、設定画面の[機器の探索]-[探索履歴の確認]を確認してください。なお、機器の探索で「完了通知」を設定しておくと、探索が完了次第、管理者にメールが通知されます。

管理対象の機器の削除

Active Directory上でコンピュータを削除しても、同期しません。Active Directoryから発見されたコンピュータを削除する場合、手動でJP1/IT Desktop Managementから削除してください。

探索の競合

Active Directoryに登録されている機器を探索する場合、ほかの探索と競合することがあります。

ほかのActive Directoryの探索と競合する場合
すでにActive Directoryの探索が実行されている場合は、あとから実行したActive Directoryの探索は中止されます。中止された探索は、次回のスケジュールの探索で実行されます。
ネットワークの探索と競合する場合
すでにネットワークの探索が実行されている場合でも、Active Directoryの探索は実行されます。ネットワークの探索とActive Directoryの探索で同一の機器を発見した場合、管理共有を使用した探索はネットワークの探索結果が優先され、SNMP、ARP、ICMPを使用した探索はActive Directoryの探索結果が優先されます。

関連リンク

(2) Active Directoryを探索する場合の接続先の設定

Active Directoryを探索して機器を発見するためには、接続先となるActive Directoryのサーバおよび探索対象とするドメインのルートOUを設定する必要があります。

接続先は、複数設定できます。接続先の設定には、Active DirectoryのアドレスとルートOUの組み合わせを設定します。このため、接続先のActive Directoryサーバの台数や、探索対象とするルートOUの数に応じて、接続先を設定する必要があります。

Active Directoryを探索する場合の接続先の設定例を次に示します。

1台のActive Directoryサーバに接続して、複数のルートOUの機器を探索する場合
接続するActive Directoryは1台ですが、複数のルートOUを探索するので、接続先はルートOUの数だけ設定します。

[図]

複数台のActive Directoryサーバに接続して機器を探索する場合
探索対象のActive Directoryサーバが複数ある場合は、それぞれのActive Directoryサーバに対して接続先を設定します。

[図]

(3) Active Directoryから取得できる機器情報

Active Directoryから取得できる機器情報を次の表に示します。機器情報の詳細については、「(1) 収集できる機器情報の種類」を参照してください。

システム情報

機器情報の項目取得元
オブジェクト名(LDAP)属性名(LDAP)内容
機器種別computeroperatingSystemOSがクライアント系OSの場合は、「PC」が設定されます。また、OSがサーバ系OSの場合は、「サーバ」が設定されます。
コンピュータ情報コンピュータ名computersAMAccountNameコンピュータの「コンピュータ名」を取得します。
ホスト名computerdNSHostNameDNS名が設定されている場合は、 コンピュータの「DNS名」を取得します。
computersAMAccountNameDNS名が設定されていない場合は、コンピュータの「コンピュータ名」を取得します。
OS情報OScomputeroperatingSystemOSの名称を取得します。
OSサービスパックcomputeroperatingSystemServicePackOSのサービスパックの情報を取得します。
ネットワーク情報IPアドレス- - DNSでホスト名称からIPアドレスを取得します。
MACアドレス- - ARPでIPアドレスからMACアドレスを取得します。

(凡例)-:該当なし

また、ほかに次の表に示す情報も取得できます。

機器情報の項目説明
登録日時機器情報の新規登録の場合は、発見した日時を取得します。
機器情報の更新の場合は、日時を更新しません。
更新日時機器情報を更新した場合は、更新日時を取得します。
機器情報を更新しなかった場合は、日時を更新しません。
管理状態[自動的に管理対象とする]のオプションがチェックされていて、製品ライセンスがある場合は、「管理」が設定されます。
[自動的に管理対象とする]のオプションがチェックされていて、製品ライセンスがない場合は、「発見」が設定されます。
[自動的に管理対象とする]のオプションがチェックされていない場合は、「発見」が設定されます。
管理種別「エージェントレス管理(認証成功)」が設定されます。
接続状態「不明」が設定されます。
機器状態「不明」が設定されます。
最終接続確認日時Active Directoryと連携して、機器を発見したときの日時が設定されます。

共通管理項目

共通管理項目取得元
オブジェクト名(LDAP)属性名(LDAP)内容
部署computerdistinguishedName※1対応する機器が所属している部署が取得されます。
設置場所computerlocation対応する機器の設置場所が取得されます。
利用者名ユーザーまたはInetOrgPerson※2displayname対応する機器の利用者名が取得されます。
アカウントユーザーまたはInetOrgPerson※2userPrincipalName対応する機器の利用者のアカウント名が取得されます。
メールアドレスユーザーまたはInetOrgPerson※2mail対応する機器の利用者のメールアドレスが取得されます。
電話番号ユーザーまたはInetOrgPerson※2telephoneNumber対応する機器の利用者の電話番号が取得されます。

注※1 属性値の組織単位(OU)の値を変換して所属部署に登録します。例えば、属性値が「CN=PC001,OU=2U,OU=設計1G,OU=設計部,DC=domain,DC=local」の場合は、「設計部/設計1G/2U」を所属部署に登録します。

注※2 computerオブジェクトのmanagedBy属性に結び付いているユーザーまたはInetOrgPersonオブジェクトです。

追加管理項目

Active Directoryから取り込んだ情報と追加管理項目の対応づけの方法を次に示します。

項目指定
製品が提供するテンプレートを利用して、Active Directory上のオブジェクトの情報を指定する方法です。
(例)コンピュータのコンピュータ名
ユーザー定義
Active Directory上で管理されているオブジェクト名およびLDAP属性名を、管理者が入力して指定する方法です。

取得できる追加管理項目は、文字列型のオブジェクトとして取得されます。

Active Directoryから情報を取得する際に指定できる対象と、取得対象となるオブジェクトの関係を次の表に示します。

指定できる取得対象対象となるオブジェクト説明
コンピュータコンピュータコンピュータ情報を管理するために使用します。
組織単位(OU)組織単位(OU)「コンピュータ」、「ユーザー」、およびほかの「組織単位」などが格納されます。部署・設置場所の情報として使用します。また、コンピュータが所属する組織単位(OU)の情報を取得するためにも使用します。
ユーザーユーザーコンピュータの管理者情報を取得するために使用します。
InetOrgPersonユーザー種別の一種です。コンピュータの管理者情報を取得するために使用します。

注※ Windows 2000で使用する場合、InetOrgPerson Kit を適用する必要があります。

「コンピュータ」のオブジェクトから取得できる情報を次の表に示します。

項目名LDAP属性名テンプレートの有無
コンピュータ名sAMAccountName○ 
DNS名dNSHostName○ 
説明description○ 
名前operatingSystem× 
バージョンoperatingSystemVersion× 
Service PackoperatingSystemServicePack× 
場所location○ 
名前managedBy○ 
部署× 
国/地域× 
都道府県× 
市区町村× 
番地× 
電話番号× 
FAX番号× 
オブジェクトの正規名distinguishedName× 

(凡例)○:テンプレートあり ×:テンプレートなし

注※ 「名前」に指定した値と同じ「ユーザー」または「inetOrgPerson」の属性値情報を表示します。

「組織単位(OU)」のオブジェクトから取得できる情報を次の表に示します。

プロパティ名LDAP属性名テンプレートの有無
国/地域co○ 
郵便番号postalCode× 
都道府県st× 
市区町村l× 
番地street× 
説明description× 
名前managedBy○ 
グループ ポリシー オブジェクトのリンクgPLink× 

(凡例)○:テンプレートあり ×:テンプレートなし

「ユーザー」のオブジェクトから取得できる情報を次の表に示します。

項目名LDAP属性名テンプレートの有無
sn○ 
givenName○ 
イニシャルinitials○ 
表示名displayName○ 
説明description○ 
事業所physicalDeliveryOfficeName○ 
電話番号telephoneNumber○ 
電子メールmail○ 
WebページwWWHomePage○ 
国/地域co○ 
郵便番号postalCode○ 
都道府県st○ 
市区町村l○ 
私書箱postOfficeBox○ 
番地streetAddress○ 
ユーザーログオン名userPrincipalName○ 
ユーザーログオン名(Windows 2000以前)sAMAccountName× 
ログオン先userWorkstations× 
ユーザープロファイル プロファイルパスprofilePath× 
ユーザープロファイル ログオンスクリプトscriptPath× 
ホームフォルダ ローカルパスhomeDirectory× 
ホームフォルダ 接続ドライブhomeDrive× 
電話番号 自宅homePhone○ 
電話番号 ポケットベルpager○ 
電話番号 携帯電話mobile○ 
電話番号 FAXfacsimileTelephoneNumber○ 
電話番号 IP電話ipPhone○ 
メモinfo○ 
会社名company○ 
部署department○ 
役職title○ 
上司 名前manager○ 
直接報告者directReports○ 

(凡例)○:テンプレートあり ×:テンプレートなし

「InetOrgPerson」のオブジェクトから取得できる情報を次の表に示します。

項目名LDAP属性名テンプレートの有無
sn○ 
givenName○ 
イニシャルinitials○ 
表示名displayName○ 
説明description○ 
事業所physicalDeliveryOfficeName○ 
電話番号telephoneNumber○ 
電子メールmail○ 
WebページwWWHomePage○ 
国/地域co○ 
郵便番号postalCode○ 
都道府県st○ 
市区町村l○ 
私書箱postOfficeBox○ 
番地streetAddress○ 
ユーザーログオン名userPrincipalName○ 
ユーザーログオン名(Windows 2000以前)sAMAccountName× 
ログオン先userWorkstations× 
ユーザープロファイル プロファイルパスprofilePath× 
ユーザープロファイル ログオンスクリプトscriptPath× 
ホームフォルダ ローカルパスhomeDirectory× 
ホームフォルダ 接続ドライブhomeDrive× 
電話番号 自宅homePhone○ 
電話番号 ポケットベルpager○ 
電話番号 携帯電話mobile○ 
電話番号 FAXfacsimileTelephoneNumber○ 
電話番号 IP電話ipPhone○ 
メモinfo○ 
会社名company○ 
部署department○ 
役職title○ 
上司 名前manager○ 
直接報告者directReports○ 

(凡例)○:テンプレートあり ×:テンプレートなし

注意
これらの表に記載していない項目も属性を指定すれば取得できますが、動作は保障されません。

(4) Active Directoryからの部署のグループ構成の取り込み

Active Directoryの組織単位(OU)を取り込むことで、JP1/IT Desktop Managementの部署のグループ構成と同期できます。Active Directoryで管理している部署のグループ構成をメンテナンスすることで、管理対象の機器の構成を一元で管理できます。

Active Directoryからの組織単位(OU)の取り込みは、機器の探索と同じ契機で行われます。

Active Directoryで、取り込みたい組織単位(ルートOU)を指定すると、配下の組織単位(OU)のグループ構成が、部署のグループの直下に自動的に作成されます。Active Directoryから部署のグループ構成を取り込む場合は、設定画面の[他システムとの接続]-[Active Directory の設定]画面で[Active Directory の組織の情報を取得して、部署の情報に反映する]をチェックしてください。チェックすると、Active Directoryの探索を行ったときに、部署のグループ構成も取り込めます。なお、Active Directoryの探索方法については、「(1) Active Directoryに登録されている機器の探索」を参照してください。

Active Directoryの組織単位(OU)とJP1/IT Desktop Managementの部署のグループ構成の取り込み規則を次の表に示します。

Active Directoryの組織単位(OU)JP1/IT Desktop Managementの部署のグループ構成
存在する存在しない
存在する名称が異なる場合はグループ名を更新する。グループを追加する。
存在しないグループを削除する。何もしない。

なお、JP1/IT Desktop Managementの部署のグループ構成を変更しても、Active Directoryの組織単位(OU)は変更されません。

注意
組織単位(OU)の取り込みを行っている場合は、Active Directoryと同期している部署のグループ構成を、手動で追加、変更、および削除しないでください。手動で編集した場合は、次回の組織単位(OU)の取り込みで情報が上書きされます。

Active Directoryと同期しているグループに管理対象の機器が関連づけられている場合は、Active Directoryの組織単位(OU)にあわせて、所属するグループが変更されます。今まで所属していたグループが削除された場合は、対象の機器は「不明」のグループに所属されます。

参考
取り込み先の「ドメイン名」に、上位のドメインとその下位のドメインを同時に指定した場合は、下位のドメインを含めて、上位のドメインの組織単位(OU)が取り込まれます。

(5) Active Directory連携時の注意事項

Active Directoryと連携する場合の注意事項を次に示します。

注※ 「!」、「"」、「%」、「'」、「*」、「/」、「:」(コロン)、「<」、「>」、「?」、「@」、「¥」、「|」、「+」、「=」、「,」(コンマ)、「;」(セミコロン)は使用しないでください。これらの文字をActive Directoryの組織単位(OU)の名称に使用している場合は、連携機能が正しく動作しないおそれがあります。