ディレクトリサービス

次の目的でドメインを設定できます。

  • TMWSaaSを組織のオンプレミスまたはクラウドベースのActive Directoryインフラストラクチャ、もしくはクラウドベースのOktaに統合して、TMWSaaSにWebトラフィックを転送するユーザを認証する。

  • 組織のActive Directoryユーザ以外のホストされているユーザアカウントを追加して認証し、WebトラフィックをTMWSaaSに転送することを許可する。

TMWSaaSは、1つまたは複数のドメインのユーザの認証をサポートします。

TMWSaaSでは、以下を目的とするMicrosoft Active Directory (AD) グローバルカタログ (GC) または信頼されたドメインの使用もサポートしています。

  • GCのルートドメインコントローラを構成したADとの連携設定をフォレスト内のすべてのADドメインに適用する。

  • フォレスト内のすべてのADドメインで透過認証を使用してユーザを有効化する。

  • 別のドメインと信頼関係で結んだドメインからユーザを透過的に認証できるようにする。

注:

TMWSaaSでGCのルートドメインコントローラまたは信頼されたドメインを追加する前に、企業ネットワーク内でグローバルカタログまたは指定したドメインとの間の信頼関係が構成済みであることを確認します。

TMWSaaSのADサーバでは、下記のOSをサポートしています。

  • Windows Server 2012および2012 R2

  • Windows Server 2016

  • Windows Server 2019

  1. [管理] > [ユーザと認証] > [ディレクトリサービス] に移動します。
  2. ドメインを管理します。

    タスク

    詳細

    ドメインを追加する

    [AD FS][エージェント][直接] の各認証方式に適用できます。

    [Azure AD] および [Okta] の認証方式でドメインを追加する詳しい方法については、Azure Active Directory認証およびOkta認証を参照してください。

    1. [追加] をクリックします。

    2. 表示される新しいウィンドウで、[ドメイン名] にドメインを入力します。

      注:

      必要に応じて最大100個のドメインを作成できます。

      別の組織がすでに使用しているドメイン名を入力した場合、ドメインの競合について詳しく説明したウィンドウが表示されます。

      • 別のドメイン名を使用できます。

      • このドメイン名を使用する場合は、[プロキシポートのリクエスト] をクリックして、組織固有のプロキシポートを取得します。

        新しく割り当てられたポートと使用するための新しいプロキシアドレスproxy-md.iws-hybrid.trendmicro.comも割り当てられます。

      • 次の設定に移動して、プロキシのポートとアドレスを更新します。

        • 以前に配信されたローミングユーザ用のプロキシ情報。

        • オンラインのPACファイル。新しく追加したPACファイルについては、新しいプロキシアドレスとポートが初期設定で使用されます。既存のPACファイルについては、プロキシアドレスとポートがproxy.iws-hybrid.trendmicro.com:80のままとなりますが、新しいプロキシアドレスとポートに手動で更新できます。

        • 以前に導入された適用エージェント。

        • ファイアウォール設定 (必要な場合)。

    3. [ADとの連携設定の再利用] リストで、ADとの連携設定を既存のドメインから再利用するかどうかに応じて、[なし] またはいずれかのドメインを選択します。

      リストには、ADとの連携が有効になっている設定済みのドメインが表示されます。これは、新しいドメインを作成および設定するときに便利です。

    4. [保存] をクリックします。

      ドメインが [ディレクトリサービス] 画面に表示されます。必要に応じてADとの連携設定を編集できます。

    ドメインを削除する

    1つまたは複数のドメインを選択して [削除] をクリックします。

    この処理は、そのドメインに属するユーザからのWebトラフィックをTMWSaaSに転送する必要がなくなった場合に実行します。

    注:

    ユーザが現在ログオンしているドメインは削除できません。

    テーブルでデータを確認する

    • ドメイン名: ドメイン名。

    • ADとの連携: ドメインを組織のActive Directoryサーバと統合して、Active Directoryユーザを同期および認証できるかどうか。ドメインを追加した時点ではこの機能は無効になっています。ADとの連携を有効にして設定するには、[無効] の横の をクリックします。詳細については、直接認証Active Directoryフェデレーションサービス認証、およびエージェント認証を参照してください。

      注:

      [Azure AD] または [Okta] の認証方式を選択すると、ADとの連携は常に有効になります。

    • ホストされているユーザの認証: ドメインが有効で、ホストされているユーザの認証をサポートしているかどうか。オプションは次のとおりです。
      • サポート: このドメインに属するホストされているユーザアカウントを作成して、そのユーザを認証できます。

      • サポートされていません: ドメインの所有権を確認して、ホストされているユーザの認証を有効にするには、 をクリックします。検証が完了すると、ステータスは [サポート] に変わります。ドメインは有効であり、このドメインに属するホストされているユーザアカウントを作成して、そのユーザを認証できます。

      • 保留中: ドメインの検証が完了していません。メールボックスを確認し、TMWSaaSからのメールメッセージを受信していない場合は、[再送信] アイコン () をクリックします。

    • 作成時間: ドメインが作成された日時。

    ドメインを検証する

    1. [ホストされているユーザの認証] をクリックします。

    2. 表示される画面で、ドメインの所有権の確認に使用するメールアドレスを [メールアドレス] に入力して、[ドメインの所有権の確認] をクリックします。TMWSaaSから指定したメールアドレスにメールが送信されます。

    3. メールボックスを確認し、TMWSaaSから送信されたメールを開き、メールメッセージ内のリンクをクリックしてドメインを検証します。

    4. 検証のためのWebページが表示されます。検証が成功すると、[ホストされているユーザの認証] 画面のステータスは [サポート] に変わります。ステータスが変わらない場合は、画面の表示を更新してください。

    5. メールボックスにメールメッセージが届いていない場合、[ディレクトリサービス] 画面に進んで、ドメイン名を検索し、[再送信] アイコン () をクリックします。TMWSaaSでは5分間隔でメールメッセージが再送信されるため、5分以上経ってから再送信してください。

    ドメイン情報を並べ替える

    次のいずれかの方法で、情報を昇順または降順に並べ替えます。

    • 列の見出しをクリックします。

    • 見出しの右側にある上向き/下向きの矢印をクリックします。

    ドメインを検索する

    ドメイン名またはドメイン名の一部を入力します。

    注:

    テーブル内に多数のエントリがある場合は、[検索] テキストボックスに文字を入力してエントリを絞り込みます。文字を入力するたびに、その時点で入力した文字に一致するエントリが表示されます。テーブルのすべてのセルが検索され、一致するエントリが表示されます。

    認証方式を選択する

    TMWSaaSでは、[直接][AD FS][エージェント][Azure AD][Okta] の認証方式を使用して、組織のユーザを認証できます。

    1. [ディレクトリサービス] 画面の上部領域で [ここ] をクリックします。

    2. 表示される [認証方式] ウィンドウで、必要に応じて使用する認証方式を選択します。

    3. ([AD FS][エージェント][直接] の認証方式に適用可能) 選択した認証方式を使用して透過認証を実行する初期設定のドメインを、ADとの連携が有効なドメインのリストから選択します。

      ADユーザが選択したドメインに自分のクライアントコンピュータを追加すると、透過認証が有効なTMWSaaSインターネットゲートウェイ上でクライアントコンピュータは自動的に認証されます。ユーザの操作は必要ありません。同じ認証方式を使用する他のドメインのADユーザは、インターネットにアクセスする前にWebページでユーザ名を入力する必要があります。

      このオプションを [なし] に設定した場合、透過認証時にはすべてのドメインのADユーザがユーザ名を指定する必要があります。

      選択した認証方式にADとの連携が有効なドメインが1つしかない場合、指定したオプションに関係なく、そのドメインが自動的に初期設定の認証ドメインに設定されます。

      選択した認証方式に複数のドメインがあり、そのうちの1つのドメインだけでADとの連携が有効な場合、このドメインに透過認証を適用するには初期設定の認証ドメインに設定する必要があります。

    4. 選択したドメインが削除された場合、このオプションは [なし] にリセットされます。

    5. [保存] をクリックします。

    注:

    最初に各認証方式にすべてのドメインを設定してから、1つのドメインを初期設定の認証ドメインとして選択します。