One Identity Active Rolesは、ユーザアカウントとグループの管理を自動化することで、ネイティブのMicrosoft Active DirectoryとAzure Active Directoryツールの欠点を解消します。 これらの高度なID管理機能により、業務の効率性と正確性を高め、手作業を減らすことができます。 Active Rolesはモジュラー型アーキテクチャに基づいて設計されているため、組織は現在および将来のビジネス要件に簡単に対応できます。 Active Rolesを使用すれば、面倒で間違いの起きやすい管理作業を自動化でき、重要な管理アクセスすべてを保護および制御することでセキュリティの問題も解決することができます。
主なメリット
AD/AAD管理の自動化
管理アクセスの制御
ネイティブのADツールの制約を解消
AD制御をWindows以外にも拡張
機能
ハイブリッド型ADに対応
Active Rolesは、オンプレミスのADおよびAzure ADの両方のハイブリッドな導入に関するニーズに応える、最適なソリューションです。 お使いのハイブリッド環境全体での作業を1つのコンソールで行うことができるため、ワークフローを統合し、一貫性のある管理が可能になります。 マルチテナントをサポートするActive Rolesにより、個別のネイティブツールでマニュアル処理をする際につきものの、面倒で間違いが起きやすい余計な作業を行う必要がなくなります。
安全なアクセス
Active Rolesでは、Active DirectoryおよびAzure Active Directoryにおける、特権アカウント管理を包括的に行うことができます。これにより、最小限の特権だけを付与する委任を通じて、アクセスを制御できます。 定義済みの管理ポリシーと関連付けられた権限に基づいてアクセスルールを生成し、それを厳密に適用することによって、ハイブリッドのAD管理における標準的なアプローチで起こりやすいエラーや不整合をなくします。 OAUTHを使用した最新の認証に加えて、Active Rolesにはお客様に合わせてカスタマイズされた堅牢な承認手続きが備わっています。この承認手続きにより、ディレクトリデータの自動管理を補完する責任の連鎖を構築し、ビジネス要件に沿ったITプロセスと監視を実現できます。
アカウント管理の自動化
Active Rolesでは、次のようなさまざまなタスクを自動化できます。
- ADおよびAADのユーザアカウントとグループの作成
- AD/AADベースのアカウント管理のアクションを非WindowsシステムおよびSaaSアプリケーションに拡張
- ExchangeおよびExchange Onlineのメールボックス作成
- ADおよびAADでのグループ構成
- Windowsのリソース割り当て
Active RolesはAD、AAD、およびADを組み合わせたシステムにおけるユーザのアクセス権の再付与と削除のプロセス(ユーザとグループのプロビジョニング解除を含む)も自動化し、ユーザやグループのライフサイクル全体にわたって効率的で安全な管理プロセスを実現します。 ユーザアクセスを変更または削除する必要がある場合、AD/AADのハイブリッド環境内のあらゆる関連システムやアプリケーションに加え、ADを組み合わせたシステム(Unix、Linux、Mac OS Xなど)、さらに、増え続ける一般的なSaaSアプリケーション(One Identity Starling Connectソリューションを介して)においても、アップデートが自動的に行われます。
日常のディレクトリ管理
Active Rolesを使えば、オンプレミス環境やAzure AD環境でのさまざまな管理作業を簡単に行えます。主な管理対象は次の通りです。
- Exchange受信者(メールボックスやOCSの割り当て、作成、移動、削除、アクセス許可、配布リストの管理など)
- グループ
- コンピュータ(共有、プリンタ、ローカルユーザ、ローカルグループなど)
- Active DirectoryおよびAzure Active Directory
Active Rolesでは直感的に使えるインターフェイスが採用されており、MMCスナップインとWebインターフェイスにより、AD/AADのハイブリッド環境での日常的な管理業務やヘルプデスクの業務をより効率的に行えます。
管理範囲が拡張
Active RolesはSCIM標準に対応するため、SCIM対応のすべてのSaaSアプリケーション(One Identity Starling Connectを介して)を、Active RolesのADベースのアカウントおよびグループ管理機能で利用できます。
ホスト環境のグループとユーザの管理
ADドメインクライアントを、ホスト環境のADホストドメインと同期させることができます。 Active Rolesは属性やパスワードも同期し、クライアントのドメインからホストされたドメインまで、ユーザとグループのアカウント管理を可能にします。 すぐに利用可能なコネクタを使って、オンプレミスのADアカウントを、Microsoft Office 365、Lync Online/Skype for Business、SharePoint Onlineと同期できます。
統合による管理ポイントの集約
Active Rolesは、既存のテクノロジーとIAM戦略を補完します。 Identity Manager、Safeguard、Authentication Services、Password Manager、ChangeAuditorなど、さまざまなOne Identity製品を簡単に統合できるため、管理ポイントをシンプル化して統合できます。 さらに、Active Rolesでは、PowerShell、ADSI、SPML、およびカスタマイズ可能なWebインターフェイスの各機能の自動化や拡張も可能です。
Active Rolesには、管理やセキュリティ維持に必要なあらゆる同期技術が搭載されています。
- Lync/Skype for Business
- Exchange
- One Drive
- SharePoint
- AD LDS
- Office 365(ロールとグループを含む)
- Azure AD
- Microsoft SQL Server
- OLE DB(MS Access)
- フラットファイル
自動で行う、一貫性のある包括的な管理
Active Rolesは、ハイブリッドActive Directoryの管理とセキュリティにおけるネイティブツールの欠点を解消します。
サポート対象プラットフォーム
Lync/Skype for Business
Exchange
One Drive
SharePoint
AD LDS
Office 365
Azure AD
Microsoft SQL Server
OLE DB(MS Access)
フラットファイル
-
一元管理機能
ハイブリッドAD環境にあるすべてのシステムを一元管理できます
-
アクセステンプレート
シンプルで管理しやすいアクセステンプレートで、プロビジョニングを迅速に行えます
-
ドラッグ・アンド・ドロップ形式のワークフロー
ユーザ、管理者、およびグループ向けの作業をドラッグ・アンド・ドロップ形式のワークフローで簡単に行えます
-
セキュリティポリシー
ADのデータに「ガードレール」を設けて、効率性とセキュリティを確保します
-
変更履歴
マウスを1度クリックするだけで、特定のオブジェクトの変更者/変更内容/変更日時/変更場所を表示できます
-
アイデンティティ分析
見やすいユーザ権限インターフェイスにより、問題の発生を未然に防いでリスクを減らします
一元管理機能
アクセステンプレート
ドラッグ・アンド・ドロップ形式のワークフロー
セキュリティポリシー
変更履歴
アイデンティティ分析
仕様
Active Roles 7.4のインストールにあたっては、システムが以下のハードウェアとソフトウェアの最小要件を満たしていることを確認してください
Active Rolesは、以下のコンポーネントで構成されています。
- 管理サービス
- Webインターフェイス
- コンソール(MMCインターフェイス)
- 管理ツール
- 同期サービス
このセクションでは、これらの各コンポーネントをインストールして実行するための要件を、ハードウェアとソフトウェアの面から説明します。
- プラットフォーム
次のいずれか:
- インテル64(EM64T)
- AMD64
- プロセッサー速度: 2.0 GHz以上
効果を最大化するために、マルチ・コア・プロセッサーの使用を推奨します。
- メモリ
2 GB以上のRAM。 必要な容量は管理対象オブジェクトの合計数によって決まります。
- ハードディスク容量
100 MB以上の空きディスク容量。 SQL Serverと管理サービスを同じコンピュータにインストールする場合、必要な容量はActive Rolesデータベースのサイズによって決まります。
- オペレーティングシステム
管理サービスは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
管理サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/p/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- SQL Server
Active RolesのデータベースをホストできるSQL Serverは、次の通りです。
- Microsoft SQL Server 2017(任意のエディション)
- Microsoft SQL Server 2016(任意のエディション)
- Microsoft SQL Server 2014(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Microsoft SQL Server 2012(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Microsoft OLE DB Driver for SQL Server(MSOLEDBSQL)
- Windows Management Framework
サポートされているすべてのオペレーティングシステムで、管理サービスにはWindows Management Framework 5.1が必要です(http://go.microsoft.com/fwlink/?LinkId=272757の「Windows Management Framework 5.1」を参照)。
- ドメインコントローラーのオペレーティングシステム
以下のオペレーティングシステム(任意のエディション、Service Packの有無を問わない)を実行するドメインコントローラーでActive Directoryを管理する場合、Active Rolesの特長と機能がすべて維持されます。
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012
Active Rolesでは、Windows Server 2012よりもドメインの機能レベルが低い管理対象ドメインは推奨されません。 このため、Active Rolesが管理するドメインの機能レベルをWindows Server 2012以上に上げることをお勧めします。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Exchange Server
Active Rolesでは、次のExchange Server上のExchange受信者を管理できます。
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2010 Service Pack 3
- Microsoft Exchange 2013 CU11のサポートは終了しました。 KB記事202695を参照してください。
- プラットフォーム
次のいずれか:
- インテル64(EM64T)
- AMD64
- プロセッサー速度: 2.0 GHz以上
- メモリ
2 GB以上のRAM。 必要な容量は管理対象オブジェクトの合計数によって決まります。
- ハードディスク容量
約100 MBの空きディスク容量
- オペレーティングシステム
Webインターフェイスは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
Webインターフェイスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- インターネットサービス
Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019でWebインターフェイスを使用するには、サーバの役割「Webサーバ(IIS)」に加え、以下の役割サービスが必要になります。
- Webサーバ/HTTP基本機能/
- 既定のドキュメント
- HTTPエラー
- 静的なコンテンツ
- HTTPリダイレクション
- Webサーバー/セキュリティ/
- 要求フィルター
- 基本認証
- Windows認証
- Webサーバー/アプリケーション開発/
- .NET Extensibility
- ASP
- ASP.NET
- ISAPI拡張
- ISAPIフィルター
- 管理ツール/IIS 6管理互換/
- IIS 6メタベース互換
- ハンドラマッピング
- モジュール
インターネット・インフォメーション・サービス(IIS)では、以下の機能の委任を「読み取り/書き込み」に設定する必要があります。
これらの機能の委任が「読み取り/書き込み」に設定されていることを確認するには、インターネット・インフォメーション・サービス(IIS)マネージャの「機能の委任」を使用します。
- Webサーバ/HTTP基本機能/
- Webブラウザ
Webインターフェイスは、次のブラウザからアクセスできます。
- Firefox 36(Windows)
- Google Chrome 61(Windows)
- Windows Internet Explorer 11
- Microsoft Edge(Windows 10)
Firefox、Google Chrome、またはInternet Explorerの最新バージョンを使用してもWebインターフェイスにアクセスできますが、Webインターフェイス7.4は、上記のバージョンのブラウザ以外ではテストされていません。
- 画面の最小解像度
Webインターフェイスは、1,280 x 800以上の画面解像度向けに最適化されています。 サポートされる最小画面解像度は1,024 x 768です。
- プラットフォーム
次のいずれか:
- インテルx86
- インテル64(EM64T)
- AMD64
- プロセッサー速度: 1.0 GHz以上
- メモリ(RAM)
1 GB以上のRAM。 必要な容量は管理対象オブジェクトの合計数によって決まります。
- ハードディスク容量
約100 MBの空きディスク容量
- オペレーティングシステム
Active Rolesのコンソールは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
- Microsoft Windows 8.1(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
- Microsoft Windows 7(Ultimate/Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64)、Service Pack 1)
- Microsoft Windows 10(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
Active Rolesのコンソールには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- Webブラウザ
Active Rolesのコンソールを使用するには、Internet Explorer 11が必要です。
管理ツールは、Active Roles管理シェル、ADSIプロバイダ、およびSDKで構成された合成コンポーネントです。 64ビット(x64)システムでは、Active Roles設定センターも構成要素に含まれます。
- プラットフォーム
次のいずれか:
- インテルx86
- インテル64(EM64T)
- AMD64
- プロセッサー速度: 1.0 GHz以上
- メモリ(RAM)
1 GB以上のRAM。
- ハードディスク容量
約100 MBの空きディスク容量
- オペレーティングシステム
管理ツールは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows 8.1(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
- Microsoft Windows 10(Professional/Enterpriseエディション、32ビット(x86)/64ビット(x64))
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
管理ツールには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- Windows Management Framework
サポートされているすべてのオペレーティングシステムで、管理ツールにはWindows Management Framework 5.1が必要です(https://www.microsoft.com/enus/download/details.aspx?id=54616の「Windows Management Framework 5.1」を参照)。
- リモートサーバ管理ツール(RSAT)
ターミナル・サービス・ユーザのプロパティをActive Roles管理シェルで管理するには、管理ツールにActive Directory向けのリモートサーバ管理ツール(RSAT)が必要です。 リモートサーバ管理ツールをオペレーティングシステムに正しくインストールする方法については、Microsoftのドキュメントで手順をご確認ください。
- プラットフォーム
次のいずれか:
- インテル64(EM64T)
- プロセッサー速度: 2.0 GHz以上
- AMD64
効果を最大化するために、マルチ・コア・プロセッサーの使用を推奨します。
- メモリ
2 GB以上のRAM。 必要な容量は同期するオブジェクトの数によって決まります。
- ハードディスク容量
250 MB以上の空きディスク容量。 SQL Serverと同期サービスを同じコンピュータにインストールする場合、必要な容量は同期サービスデータベースのサイズによって決まります。
- オペレーティングシステム
同期サービスは、次のOSを実行しているコンピュータにインストールできます。
- Microsoft Windows Server 2019(Standard/Datacenterエディション)
- Microsoft Windows Server 2016(Standard/Datacenterエディション)
- Microsoft Windows Server 2012 R2(Standard/Datacenterエディション)
- Microsoft Windows Server 2012(Standard/Datacenterエディション)
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
- Microsoft .NET Framework
同期サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
- SQL Server
同期サービスのデータベースをホストできるSQL Serverは、次の通りです。
- Microsoft SQL Server 2017(任意のエディション)
- Microsoft SQL Server 2016(任意のエディション)
- Microsoft SQL Server 2014(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Microsoft SQL Server 2012(任意のエディション、32ビット(x86)/64ビット(x64)、Service Packの有無を問わない)
- Windows Management Framework
サポートされているすべてのオペレーティングシステムで、同期サービスにはWindows Management Framework 5.1が必要です(https://www.microsoft.com/enus/download/details.aspx?id=54616の「Windows Management Framework 5.1」を参照)。
- サポートされる接続
同期サービスは、次のサービスに接続できます。
- ドメインまたはフォレストの機能レベルがWindows Server 2012以上のMicrosoft Active Directoryドメインサービス
- Microsoftがサポートする任意のWindows Serverオペレーティングシステム上で稼働する、Microsoft Active Directory Lightweight Directory Services
- Microsoft Exchange Server 2019、2016、2013、または2010バージョン
注意: Microsoft Exchange 2013 CU11のサポートは終了しました。 KB記事202695を参照してください。
- Microsoft Lync Server 2013バージョン(リミテッドサポート)
- Microsoft Skype for Business 2019、2016、または2015
- Azure AD Graph APIバージョン1.6を使用するMicrosoft Windows Azure Active Directory。
- Microsoft Office 365ディレクトリ
- Microsoft Exchange Onlineサービス
- Microsoft Skype for Business Onlineサービス
- Microsoft SharePoint Onlineサービス
- Microsoft SQL Server(Microsoftがサポートする任意のバージョン)
- Microsoft SharePoint 2019、2016、または2013
- Active Rolesバージョン7.4、7.3、7.2、7.1、7.0、および6.9
- One Identity Managerバージョン7.0(D1IM 7.0)
- One Identity Managerバージョン8.0
- Generic LDAPコネクタ、MY SQLコネクタ、Open LDAPコネクタ、IBM Db2 Connector、Salesforceコネクタ、Service nowコネクタ、およびRACF Connectorをサポート。
- OLE DBプロバイダ経由でアクセス可能なデータソース
- 区切りテキストファイル
- レガシーActive Roles ADSIプロバイダ
Active Rolesバージョン6.9に接続するには、同期サービスを実行するコンピュータに各バージョンのActive Roles ADSIプロバイダをインストールする必要があります。 インストール手順については、該当するバージョンのActive Rolesのクイック・スタート・ガイドを参照してください。
- Microsoft Exchange Server管理ツール
Exchange Server 2007に接続するには、同期サービスを実行するコンピュータにExchange 2007 SP3管理ツールをインストールする必要があります。 インストールの手順は、http://go.microsoft.com/fwlink/?linkid=88090の「Exchange 2007管理ツールをインストールす��方法」を参照してください。
- Windows PowerShellバージョン2用Azure ADモジュール
Office 365ディレクトリに接続するには、同期サービスを実行するコンピュータに次のモジュールをインストールする必要があります。
- Windows PowerShell用Azure Active Directoryモジュール
インストールの手順については、https://docs.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0の「Azure ADモジュールのインストール」を参照してください。
- Windows PowerShell Module for Skype for Business Online
Lync Onlineサービスに接続するには、同期サービスを実行しているコンピュータにLync Online用Windows PowerShellモジュールをインストールする必要があります。 インストールの手順は、http://go.microsoft.com/fwlink/?LinkId=294688の「Lync Online用Windows PowerShellモジュール」を参照してください。
- SharePoint Online Management Shell
SharePoint Onlineサービスに接続するには、同期サービスを実行しているコンピュータにSharePoint Online Management Shellをインストールする必要があります。 インストールの手順は、http://go.microsoft.com/fwlink/?LinkId=255251の「SharePoint Online Management Shell」を参照してください。
- One Identity Manager API
One Identity Manager 7.0に接続するには、同期サービスを実行するコンピュータにOne Identity Managerコネクタをインストールする必要があります。 このコネクタはRESTful Webサービスで機能し、SDKのインストールが不要です。
- インターネット接続
クラウドディレクトリやオンラインサービスに接続するには、同期サービスを実行しているコンピュータに、信頼性に優れたインターネット接続が実装されている必要があります。
- Microsoft .NET Framework
同期サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=294688の「.NET Frameworkのインストール」を参照)。
- その他の要件
Active Directoryドメインのパスワードを、接続している他のデータシステムと同期させるには、同期サービスパスワード取得エージェントを、ソースのActive Directoryドメインのドメインコントローラーすべてにインストールする必要があります。
このエージェントをインストールするドメインコントローラーでは、Service Packの有無に関係なく、次のオペレーティングシステムのいずれかが稼働している必要があります(サポート対象はx86およびx64のプラットフォーム)。
- Microsoft Windows Server 2019
- Microsoft Windows Server 2016
- Microsoft Windows Server 2012 R2
- Microsoft Windows Server 2012
詳細については、『Active Roles同期サービス管理者ガイド』を参照してください。
Active Rolesのアップグレード方法については、『Active Rolesクイック・スタート・ガイド』の手順を参照してください。
アップグレードの実行にあたっては、アップグレード後のコンポーネントに以前のバージョンのコンポーネントを組み合わせると、機能しない場合があることに留意してください。 新しいバージョンにスムーズにアップグレードするには、最初に管理サービスをアップグレードしてから、クライアントのコンポーネント(コンソールやWebインターフェイス)をアップグレードします。
ctive Rolesの機能に依存するカスタムソリューション(スクリプトやその他の修正措置)は、互換性の問題のためにアップグレード後に機能しない場合があります。 アップグレードに取り掛かる前に、ラボ環境で、既存のソリューションに新しいバージョンの製品を組み合わせてテストし、ソリューションが引き続き機能するかどうかを検証してください。
次の表に、製品を別のバージョンにアップグレードする際に選べる、アップグレードパスを示します。 「ソースバージョン」とは、現在インストールされている製品のバージョンのことで、 「デスティネーションバージョン」とは、製品をアップグレードできる最上位のバージョンのことです。
ソースバージョン
デスティネーションバージョン
6.9.0
7.4
7.0
7.4
7.1
7.4
7.2
7.4
7.3
7.4
