Active Rolesは、オンプレミスのADおよびAzure ADの両方のハイブリッドな導入に関するニーズに応える、最適なソリューションです。 お使いのハイブリッド環境全体での作業を1つのコンソールで行うことができるため、ワークフローを統合し、一貫性のある管理が可能になります。 マルチテナントをサポートするActive Rolesにより、個別のネイティブツールでマニュアル処理をする際につきものの、面倒で間違いが起きやすい余計な作業を行う必要がなくなります。
Active Rolesでは、Active DirectoryおよびAzure Active Directoryにおける、特権アカウント管理を包括的に行うことができます。これにより、最小限の特権だけを付与する委任を通じて、アクセスを制御できます。 定義済みの管理ポリシーと関連付けられた権限に基づいてアクセスルールを生成し、それを厳密に適用することによって、ハイブリッドのAD管理における標準的なアプローチで起こりやすいエラーや不整合をなくします。 OAUTHを使用した最新の認証に加えて、Active Rolesにはお客様に合わせてカスタマイズされた堅牢な承認手続きが備わっています。この承認手続きにより、ディレクトリデータの自動管理を補完する責任の連鎖を構築し、ビジネス要件に沿ったITプロセスと監視を実現できます。
Active Rolesでは、次のようなさまざまなタスクを自動化できます。
Active RolesはAD、AAD、およびADを組み合わせたシステムにおけるユーザのアクセス権の再付与と削除のプロセス(ユーザとグループのプロビジョニング解除を含む)も自動化し、ユーザやグループのライフサイクル全体にわたって効率的で安全な管理プロセスを実現します。 ユーザアクセスを変更または削除する必要がある場合、AD/AADのハイブリッド環境内のあらゆる関連システムやアプリケーションに加え、ADを組み合わせたシステム(Unix、Linux、Mac OS Xなど)、さらに、増え続ける一般的なSaaSアプリケーション(One Identity Starling Connectソリューションを介して)においても、アップデートが自動的に行われます。
Active Rolesを使えば、オンプレミス環境やAzure AD環境でのさまざまな管理作業を簡単に行えます。主な管理対象は次の通りです。
Active Rolesでは直感的に使えるインターフェイスが採用されており、MMCスナップインとWebインターフェイスにより、AD/AADのハイブリッド環境での日常的な管理業務やヘルプデスクの業務をより効率的に行えます。
Active RolesはSCIM標準に対応するため、SCIM対応のすべてのSaaSアプリケーション(One Identity Starling Connectを介して)を、Active RolesのADベースのアカウントおよびグループ管理機能で利用できます。
ADドメインクライアントを、ホスト環境のADホストドメインと同期させることができます。 Active Rolesは属性やパスワードも同期し、クライアントのドメインからホストされたドメインまで、ユーザとグループのアカウント管理を可能にします。 すぐに利用可能なコネクタを使って、オンプレミスのADアカウントを、Microsoft Office 365、Lync Online/Skype for Business、SharePoint Onlineと同期できます。
Active Rolesは、既存のテクノロジーとIAM戦略を補完します。 Identity Manager、Safeguard、Authentication Services、Password Manager、ChangeAuditorなど、さまざまなOne Identity製品を簡単に統合できるため、管理ポイントをシンプル化して統合できます。 さらに、Active Rolesでは、PowerShell、ADSI、SPML、およびカスタマイズ可能なWebインターフェイスの各機能の自動化や拡張も可能です。
Active Rolesには、管理やセキュリティ維持に必要なあらゆる同期技術が搭載されています。
Active Roles 7.4のインストールにあたっては、システムが以下のハードウェアとソフトウェアの最小要件を満たしていることを確認してください
Active Rolesは、以下のコンポーネントで構成されています。
このセクションでは、これらの各コンポーネントをインストールして実行するための要件を、ハードウェアとソフトウェアの面から説明します。
次のいずれか:
効果を最大化するために、マルチ・コア・プロセッサーの使用を推奨します。
2 GB以上のRAM。 必要な容量は管理対象オブジェクトの合計数によって決まります。
100 MB以上の空きディスク容量。 SQL Serverと管理サービスを同じコンピュータにインストールする場合、必要な容量はActive Rolesデータベースのサイズによって決まります。
管理サービスは、次のOSを実行しているコンピュータにインストールできます。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
管理サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/p/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
Active RolesのデータベースをホストできるSQL Serverは、次の通りです。
サポートされているすべてのオペレーティングシステムで、管理サービスにはWindows Management Framework 5.1が必要です(http://go.microsoft.com/fwlink/?LinkId=272757の「Windows Management Framework 5.1」を参照)。
以下のオペレーティングシステム(任意のエディション、Service Packの有無を問わない)を実行するドメインコントローラーでActive Directoryを管理する場合、Active Rolesの特長と機能がすべて維持されます。
Active Rolesでは、Windows Server 2012よりもドメインの機能レベルが低い管理対象ドメインは推奨されません。 このため、Active Rolesが管理するドメインの機能レベルをWindows Server 2012以上に上げることをお勧めします。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
Active Rolesでは、次のExchange Server上のExchange受信者を管理できます。
次のいずれか:
2 GB以上のRAM。 必要な容量は管理対象オブジェクトの合計数によって決まります。
約100 MBの空きディスク容量
Webインターフェイスは、次のOSを実行しているコンピュータにインストールできます。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
Webインターフェイスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019でWebインターフェイスを使用するには、サーバの役割「Webサーバ(IIS)」に加え、以下の役割サービスが必要になります。
インターネット・インフォメーション・サービス(IIS)では、以下の機能の委任を「読み取り/書き込み」に設定する必要があります。
これらの機能の委任が「読み取り/書き込み」に設定されていることを確認するには、インターネット・インフォメーション・サービス(IIS)マネージャの「機能の委任」を使用します。
Webインターフェイスは、次のブラウザからアクセスできます。
Firefox、Google Chrome、またはInternet Explorerの最新バージョンを使用してもWebインターフェイスにアクセスできますが、Webインターフェイス7.4は、上記のバージョンのブラウザ以外ではテストされていません。
Webインターフェイスは、1,280 x 800以上の画面解像度向けに最適化されています。 サポートされる最小画面解像度は1,024 x 768です。
次のいずれか:
1 GB以上のRAM。 必要な容量は管理対象オブジェクトの合計数によって決まります。
約100 MBの空きディスク容量
Active Rolesのコンソールは、次のOSを実行しているコンピュータにインストールできます。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
Active Rolesのコンソールには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
Active Rolesのコンソールを使用するには、Internet Explorer 11が必要です。
管理ツールは、Active Roles管理シェル、ADSIプロバイダ、およびSDKで構成された合成コンポーネントです。 64ビット(x64)システムでは、Active Roles設定センターも構成要素に含まれます。
次のいずれか:
1 GB以上のRAM。
約100 MBの空きディスク容量
管理ツールは、次のOSを実行しているコンピュータにインストールできます。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
管理ツールには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
サポートされているすべてのオペレーティングシステムで、管理ツールにはWindows Management Framework 5.1が必要です(https://www.microsoft.com/enus/download/details.aspx?id=54616の「Windows Management Framework 5.1」を参照)。
ターミナル・サービス・ユーザのプロパティをActive Roles管理シェルで管理するには、管理ツールにActive Directory向けのリモートサーバ管理ツール(RSAT)が必要です。 リモートサーバ管理ツールをオペレーティングシステムに正しくインストールする方法については、Microsoftのドキュメントで手順をご確認ください。
次のいずれか:
効果を最大化するために、マルチ・コア・プロセッサーの使用を推奨します。
2 GB以上のRAM。 必要な容量は同期するオブジェクトの数によって決まります。
250 MB以上の空きディスク容量。 SQL Serverと同期サービスを同じコンピュータにインストールする場合、必要な容量は同期サービスデータベースのサイズによって決まります。
同期サービスは、次のOSを実行しているコンピュータにインストールできます。
注意: Active RolesはWindows Server Coreモードのセットアップではサポートされません。
同期サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=257868の「.NET Frameworkのインストール」を参照)。
同期サービスのデータベースをホストできるSQL Serverは、次の通りです。
サポートされているすべてのオペレーティングシステムで、同期サービスにはWindows Management Framework 5.1が必要です(https://www.microsoft.com/enus/download/details.aspx?id=54616の「Windows Management Framework 5.1」を参照)。
同期サービスは、次のサービスに接続できます。
注意: Microsoft Exchange 2013 CU11のサポートは終了しました。 KB記事202695を参照してください。
Active Rolesバージョン6.9に接続するには、同期サービスを実行するコンピュータに各バージョンのActive Roles ADSIプロバイダをインストールする必要があります。 インストール手順については、該当するバージョンのActive Rolesのクイック・スタート・ガイドを参照してください。
Exchange Server 2007に接続するには、同期サービスを実行するコンピュータにExchange 2007 SP3管理ツールをインストールする必要があります。 インストールの手順は、http://go.microsoft.com/fwlink/?linkid=88090の「Exchange 2007管理ツールをインストールす��方法」を参照してください。
Office 365ディレクトリに接続するには、同期サービスを実行するコンピュータに次のモジュールをインストールする必要があります。
インストールの手順については、https://docs.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0の「Azure ADモジュールのインストール」を参照してください。
Lync Onlineサービスに接続するには、同期サービスを実行しているコンピュータにLync Online用Windows PowerShellモジュールをインストールする必要があります。 インストールの手順は、http://go.microsoft.com/fwlink/?LinkId=294688の「Lync Online用Windows PowerShellモジュール」を参照してください。
SharePoint Onlineサービスに接続するには、同期サービスを実行しているコンピュータにSharePoint Online Management Shellをインストールする必要があります。 インストールの手順は、http://go.microsoft.com/fwlink/?LinkId=255251の「SharePoint Online Management Shell」を参照してください。
One Identity Manager 7.0に接続するには、同期サービスを実行するコンピュータにOne Identity Managerコネクタをインストールする必要があります。 このコネクタはRESTful Webサービスで機能し、SDKのインストールが不要です。
クラウドディレクトリやオンラインサービスに接続するには、同期サービスを実行しているコンピュータに、信頼性に優れたインターネット接続が実装されている必要があります。
同期サービスには、Microsoft .NET Framework 4.7.2が必要です(http://go.microsoft.com/fwlink/?LinkId=294688の「.NET Frameworkのインストール」を参照)。
Active Directoryドメインのパスワードを、接続している他のデータシステムと同期させるには、同期サービスパスワード取得エージェントを、ソースのActive Directoryドメインのドメインコントローラーすべてにインストールする必要があります。
このエージェントをインストールするドメインコントローラーでは、Service Packの有無に関係なく、次のオペレーティングシステムのいずれかが稼働している必要があります(サポート対象はx86およびx64のプラットフォーム)。
詳細については、『Active Roles同期サービス管理者ガイド』を参照してください。
Active Rolesのアップグレード方法については、『Active Rolesクイック・スタート・ガイド』の手順を参照してください。
アップグレードの実行にあたっては、アップグレード後のコンポーネントに以前のバージョンのコンポーネントを組み合わせると、機能しない場合があることに留意してください。 新しいバージョンにスムーズにアップグレードするには、最初に管理サービスをアップグレードしてから、クライアントのコンポーネント(コンソールやWebインターフェイス)をアップグレードします。
ctive Rolesの機能に依存するカスタムソリューション(スクリプトやその他の修正措置)は、互換性の問題のためにアップグレード後に機能しない場合があります。 アップグレードに取り掛かる前に、ラボ環境で、既存のソリューションに新しいバージョンの製品を組み合わせてテストし、ソリューションが引き続き機能するかどうかを検証してください。
次の表に、製品を別のバージョンにアップグレードする際に選べる、アップグレードパスを示します。 「ソースバージョン」とは、現在インストールされている製品のバージョンのことで、 「デスティネーションバージョン」とは、製品をアップグレードできる最上位のバージョンのことです。
6.9.0
7.4
7.0
7.4
7.1
7.4
7.2
7.4
7.3
7.4