ZJTM Active Directory Management, Reporting, Delegation & Workflow Management スタートアップガイド 2019 年 3 月 18 日改訂 Copyright ZOHO Japan Corporat

ZJTM190318101

2019 年 3 月 18 日改訂

スタートアップガイド

2019

Active Directory

Management, Reporting,

■著作権について 本ガイドの著作権は、ゾーホージャパン株式会社が所有しています。 ■注意事項 本ガイドの内容は、改良のため、予告なく変更することがあります。 ゾーホージャパン株式会社は本ガイドに関しての一切の責任を負いかねます。 当社はこのガイドを 使用することにより引き起こされた偶発的もしくは間接的な損害についても責任を負いかねます。 ■商標一覧

Oracle と Java は、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における 登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。

Windows は，米国およびその他の国における米国 Microsoft Corp. の登録商標です。 ManageEngine は、ZOHO Corporation Pvt.Ltd 社の登録商標です。

目次

目次 ... 2 ドキュメントの概要 ... 4 1. ADSelfService Plus の概要 ... 4 1-1 主な特長と利点... 5 2. ADSelfService Plus のインストール ... 6 2-1 動作環境... 6 2-2 ADSelfService Plus のダウンロード... 6 2-3 ADSelfService Plus のインストール ... 7 2-4 アンインストール ... 7 3. ADSelfService Plus の開始 ... 8 3-1 アプリケーションとして起動 ... 8 3-2 Windows サービスとして起動 ... 8 3-3 サーバー停止 ... 10 アプリケーションとして起動している場合 ... 10 Windows サービスとして起動していた場合 ... 10 3-4 ADSelfService Plus へのアクセス ... 10 3-5 ドメイン設定 ... 11 ドメイン追加の手順 ... 11 4. ADSelfService Plus の構成 ... 13 4-1 管理者ポータル ... 13 ドメイン設定 ... 13 セルフサービスポリシー設定 ... 13 4-2 ドメインユーザーポータル ... 13 登録 .. ... 13 セルフアップデートとユーザー検索 ... 13 パスワードの変更 ... 13 5.モバイルアプリ ... 14 パスワードのリセット時のユーザー確認 ... 14 6. パスワードセルフサービス ... 15 6-1 手順 1：セルフサービスポリシーの設定 ... 15 6-2 手順 2：本人確認の設定 ... 16 6-3 手順 3：クイック登録 ... 16 6-4 手順 4: パスワードセルフサービスの実行 ... 17 セルフサービスポータルへのアクセス ... 17 ユーザーの本人確認... 17

6-5 パスワードのリセット/アカウントのロック解除 ... 18 Web ブラウザ ... 18 Winlogon（Ctrl+Alt+Del） ... 18 7. パスワード/アカウント有効期限の通知 ... 20 8.ディレクトリセルフサービス ... 21 8-1 ディレクトリの更新と検索 ... 21 8-2 セルフアップデートのレイアウト ... 22 8-3 ユーザー検索の有効化 ... 22 9. パスワードの変更 ... 23 10.シングルサインオン/パスワード同期について ... 23 11. セキュリティセンター ... 25 12. ADSelfService Plus の一般設定 ... 25 12-1 使用されていないユーザーの制限 ... 25 12-2 ADSelfService Plus のカスタマイズ ... 25 表示設定 ... 25 パーソナライズ ... 26 言語の選択 ... 26 12-3 スーパー管理者とオペレータ ... 26 付録 ... 27 関連ドキュメント ... 27

ドキュメントの概要

このドキュメントでは、ADSelfService Plus の機能と特徴、インストール手順について紹介します。 ADSelfService Plus の概要と各機能の操作方法をわかりやすく解説し、評価の効率化や既存システムへの最善 の導入方法を見つけ出すことを目的としています。このドキュメントでは、以下の内容について説明します:

•

インストール手順

•

主要機能

•

多様なサポート機能と利用方法

•

製品準備の流れ

•

製品運用に必要となる基本/一般設定

1. ADSelfService Plus の概要

Active Directory の環境では、ユーザーのパスワード管理は優先度の高い業務です。より強固な セキュリティを確保するために、IT 管理者は強力なパスワードとアカウントのロックのポリシーを強要するため、 ユーザーがパスワードを忘れてしまったり、アカウントのロックが発生したりする頻度が上がります。その結果、 ヘルプデスクの対応に負荷がかかり、業務の生産性低下を引き起こしかねません。ADSelfService Plus は、 Windows Active Directory におけるパスワードのリセットの管理をユーザーが安全にセルフサービスで行うことが できる、Web ベースのプログラムです。主に以下のような機能を提供し、ヘルプデスク担当者や管理者の負担を 軽減することができます:

•

ユーザー自身によるセルフサービスでのパスワード管理

•

ユーザー自身による Active Directory 連絡先情報の更新

•

他のユーザーの連絡先情報の検索

•

ユーザーの ADSelfService Plus の利用状況に関する統合された監査レポートの作成

1-1 主な特長と利点

機能 特長と利点 パスワードセルフサービス

•

ユーザーによる

o

パスワードのリセット

o

アカウントのロック解除

o

パスワード変更

•

SMS/メールによる認証コード、セキュリティ質問、Google Authenticator 等のマルチファクタ認証に よる安全な ID 確認

•

インターネット経由で Web ブラウザから、または Windows のログオン(Ctrl+Alt+Del)からパスワード変更/アカウント ロックの解除が可能

•

パスワードの変更を様々なプラットフォームや

•

クラウドサービスと自動で同期可能 パスワード有効期限の通知

•

パスワード有効期限の自動通知

•

アカウント有効期限の自動通知

•

複数の通知を指定間隔でスケジュール ユーザーによるディレクトリ更新

•

ユーザー自身による Active Directory の連絡先、 写真、プロフィールなどの情報の更新

•

セルフサービスポータルの自由なカスタマイズに よる表示項目やレイアウトの変更

•

組織情報を更新するためのカスタム属性の設定 ユーザーの検索と組織情報

•

ユーザーによる他ユーザー情報、連絡先、グループの 検索

•

検索条件のカスタマイズ

2. ADSelfService Plus のインストール

この項目では、ADSelfService Plus の運用開始に必要な動作環境の確認、インストールの手順やドメインの設 定方法について説明します。

2-1 動作環境

ADSelfService Plus をご利用いただくためには、次の条件を満たすシステムが必要です。 以下の動作環境はビルド 5318/5324/5330/5510/5504/5507/5510 を対象にしています。 ハードウェア

CPU Intel Core 2 Duo プロセッサ 2.0GHz 以上

メモリ 2GB 以上 ストレージ 2GB 以上 ソフトウェア OS Windows Server 2008、2008 R2、2012、2012 R2, 2016（64bit） データベース PostgreSQL (製品バンドル) Microsoft SQL Server 2008、2008R2、2012 Web クライアント

Web ブラウザ Internet Explorer11.0

Firefox、Chrome、Microsoft Edge 推奨解像度 1024 ｘ 768 ピクセル以上 より詳しい動作環境につきましては以下をご参照ください。 https://www.manageengine.jp/products/ADSelfService_Plus/system-requirements.html

2-2 ADSelfService Plus のダウンロード

1. Web ブラウザで次の URL を開き、ご利用環境に適したファイルをダウンロード https://www.manageengine.jp/products/ADSelfService_Plus/download.html

2-3 ADSelfService Plus のインストール

ManageEngine ADSelfService Plus は、ドメイン内のシステム要件を満たしたマシンであればインストールするこ とができます。次の手順でインストールします。

1. インストールするマシンのローカル管理者の権限を持つユーザーで Windows にログオンします 2. ダウンロードが完了した「ManageEngine_ADSelfService_Plus.exe」ファイルをクリックします 3. インストールウィザードの手順に従ってインストールを実行します

4. ウィザードの最後に、次の画面のように Readme の表示とサーバーを開始するチェックボックスがあり ます。「Start ADSelfService Plus in console mode」にチェックを入れてウィザードを終了すると、 ADSelfService Plus がアプリケーションとして起動します。（「アプリケーションとして起動」と「Windows サービスとして起動」の違いは、次章で説明します） 図 1 インストールウィザード

2-4 アンインストール

1. 「コントロールパネル」 → 「プログラムと機能」を開きます 2. ADSelfService Plus を選択し、アンインストールをクリックします 3. 画面の指示に従い、アンインストール作業を進めます

メモ：「スタート」 → 「すべてのプログラム」 → 「ADSelfService Plus」 → 「ADSelfService Plus をアンインスト ールする」を選択してアンインストールすることもできます。

3. ADSelfService Plus の開始

ADSelfService Plus サーバーは「アプリケーションとして起動」、「Windows サービスとして起動」の 2 通りの起動 方法があります。それぞれの起動方法について、この項目で説明します。

3-1 アプリケーションとして起動

上記のインストール手順 1～4 を実行することで、アプリケーションとして ADSelfService Plus がインストールされ ます。デスクトップの ADSelfService Plus アイコンをクリックすることで Web ブラウザで起動されます。次の手順 でも起動が可能です。

1. [ADSelfService Plus インストール先]\bin フォルダを開きます

図 2 エクスプローラーのウィンドウ 2. run.bat をダブルクリックして実行します

図 3 フォルダ内の run.bat を選択

メモ：「スタート」→「すべてのプログラム」→「ADSelfService Plus」→「Start ADSelfService Plus」をクリックするこ とでも、アプリケーションを開始できます。

3-2 Windows サービスとして起動

次の手順でサービスとしてインストールします。

1. 「スタート」→ アプリリスト一覧より「ADSelfService Plus」→「Install ADSelfService Plus as Service」をク リックし、ADSelfService Plus を Windows サービスとして登録します

2. 「コントロールパネル」→「管理ツール」→「サービス」を開き「ManageEngine ADSelfService Plus」 をダ ブルクリックします

3. スタートアップの種類から「自動」を選択し、「適用」をクリックします

4. サービスの状態の「開始」をクリックします

5. ManageEngine ADSelfService Plus サービスが起動します

3-3 サーバー停止

アプリケーションとして起動している場合

1. [ADSelfService Plus インストール先]\bin フォルダを開きます。

図 5 エクスプローラーのウィンドウ

2. shutdown.bat をダブルクリックして実行します。

図 6 フォルダ内の shutdown.bat を選択

メモ：「スタート」→「すべてのプログラム」→「ADSelfService Plus」→「Stop ADSelfService Plus」をクリックするこ とで、アプリケーションを停止できます。

Windows サービスとして起動していた場合

1. 「コントロールパネル」→「管理ツール」→「サービス」を開き「ManageEngine ADSelfService Plus」をダブ ルクリックします。

図 7 サービスのウィンドウ

2. サービスの状態の「停止」をクリックします。

3-4 ADSelfService Plus へのアクセス

1. Web ブラウザを起動します。

例：http://asmp-server:8888（デフォルトのポート番号は 8888 です）

3. 管理者として ADSelfService Plus にログインするには、初期ユーザー名/パスワードとして admin と入 力して[ログイン]をクリックします。（ログイン先は「ADSelfService Plus の認証」のままにします）

図 8 ADSelfService Plus のログイン画面

メモ：AWS Marketplace から ADSelfService Plus を購入した場合、管理者アカウントの初期パスワードは AWS の インスタンス ID となります。

3-5 ドメイン設定

管理者ポータルの「ドメイン設定」の機能を利用することで、新しいドメインの追加や設定済みドメインの設定変 更ができます。スタートアップ時には、検出可能なすべてのドメインを追加します。さらにドメインを追加する場合、 またはドメインが自動的に検出されなかった場合は、この機能を使用して手動でドメインを追加します。

ドメイン追加の手順

1. 管理者ポータル画面右上の「ドメイン設定」タブをクリックします 2. 「新しくドメインを追加するにはここをクリックしてください」をクリックします 3. 「ドメインの詳細追加」の画面がポップアップ表示します 4. ドメインの詳細について各種設定が必要です。次のステップに従ってドメインの追加を 行います

図 9 ドメインの詳細追加ウィンドウ ① ドメイン名を入力 ② ドメイン コントローラを指定 ⚫ ドメインコントローラの追加は「検索」をクリック ⚫ DNS で検出されたドメインコントローラの中から選択 ⚫ ドメインコントローラが見つからない際は、「ドメインコントローラが見つかりません でした。ドメインコントローラ名を入力してください。」メッセージが表示される ⚫ テキストボックスに手動でドメインコントローラを入力 ⚫ 「追加」をクリック ③ 「認証」を有効にして、ドメインユーザー名とドメインパスワードを入力 Active Directory ドメイン管理者の権限を持ったユーザーの情報を入力 5. 「追加」をクリックして新しく設定したドメインを追加

4. ADSelfService Plus の構成

4-1 管理者ポータル

ADSelfService Plus の管理者ポータルでは、管理者によってドメインの設定、セルフサービスのポリシーの設定、 製品のカスタマイズが可能です。

ドメイン設定

ADSelfService Plus の初回起動時に、ネットワーク上のドメインを自動的に検出・追加します。また、Web ポータ ルより手動でドメインを追加することもできます。

セルフサービスポリシー設定

ADSelfService Plus に追加したすべてのドメインに対し、自動的にセルフサービスのポリシーが作成されます。ポ リシーとは、ドメインや組織単位（OU）ごとに所属するユーザーがアクセスできるセルフサービス機能を定義した ものです。 管理者は、セルフサービスポリシーを作成・編集し、各機能をドメインや OU に割り当てます。ドメインに対して複 数のセルフサービスポリシーを作成し、ポリシーがドメイン上のどの OU とも重複しないように設定することが可 能です。

4-2 ドメインユーザーポータル

ユーザー自身が ADSelfService Plus に登録することにより、ドメインユーザーポータルにログインすることができ るようになります。ユーザーはさらに、自身のプロフィール情報やパスワードを変更することができます。

登録

利用者はそれぞれ ADSelfService Plus にユーザー登録を行い、パスワードのリセットやアカウントのロック解除 の際に使用する本人確認の情報を設定します。セキュリティ質問への回答、管理者が設定した携帯電話番号の 入力、メールアドレスの入力のうちいずれかを、または複数を使用して本人確認をおこないます。

セルフアップデートとユーザー検索

ユーザーは自身の連絡先や写真などのプロフィール情報を更新することができます。 また、ユーザー検索ボックスを使用し、他のユーザーの情報を検索することができます。

パスワードの変更

5.モバイルアプリ

ADSelfService Plus は iOS、Android、Blackberry 対応のモバイルアプリケーションを提供しています。このアプ リケーションでは、次の機能を利用できます。

•

パスワードのリセット

•

アカウントロックの解除

•

パスワードの変更

•

登録 図 10 モバイルアプリ画面

パスワードのリセット時のユーザー確認

事前に ADSelfService Plus に登録された情報をもとに、パスワードのリセット/アカウントのロック解除を行うユー ザーの本人確認をします。本人確認が成功すると、ユーザーはパスワードのリセット/アカウントのロック解除が 可能になります。

6. パスワードセルフサービス

この項目では、ユーザー向けのパスワードセルフサービスの設定の流れ、パスワードのリセット/アカウントのロ ック解除の手順を説明します。

6-1 手順 1：セルフサービスポリシーの設定

1. 管理者として ADSelfService Plus にログインし、「設定」→「セルフサービス」→「ポリシー設定」をクリッ クします 2. 「ポリシーの追加」をクリックします 3. ポリシー名を入力 4. 「パスワードのリセット」「アカウントのロック解除」「パスワードの変更」のいずれかを選択します 図 11 ポリシー設定ウィンドウ 5. 「OU/グループの選択」をクリックし、ドメイン/OU/グループを指定します 6. 「ポリシーを保存」をクリックします ポリシーの作成後にポリシー編集画面を開き「詳細設定」をクリックすると、セキュリティ強化ならびにセルフサー ビスアクションをカスタマイズするための様々な設定ができます。「詳細設定」画面には、以下のカテゴリがありま す。

•

ブロックするユーザー

•

リセット＆ロック解除通知

•

パスワード同期

•

通知

•

自動化

•

一般

図 12 ポリシー編集画面の「詳細設定」

6-2 手順 2：本人確認の設定

1.

「設定」→「セルフサービス」→「マルチファクタ認証」をクリックします

2.

ポリシーを選択し、本人確認方法を選択します。セキュリティ質問 ＆回答、認証コード、Google Authenticator 等のいずれか、または複数を使用することができます

3.

「セキュリティ質問＆回答」タブでは、質問の設定、回答の設定、質問を編集（質問の追加/修正/削除、 回答必須項目の設定）ができます 「認証コード」タブでは、認証コードの受信方法を電子メールまたは携帯電話（SMS）から選択します。また、 ユーザーに送信するメッセージをカスタマイズすることができます メモ：認証コードを使用する場合には、「管理」→「製品設定」→「サーバー設定」の、「メール設定」/「SMS 設定」 に正しい情報が入力されていることを確認してください。

6-3 手順 3：クイック登録

ユーザーがパスワードセルフサービス機能を使用するためには、ユーザー自身が事前に ADSelfService Plus へ 登録しておく必要があります。管理者はユーザーに対して通知を送り、ADSelfService Plus への登録を促すこと ができます。 「設定」→「管理ツール」→「クイック登録」をクリックし、ユーザーを ADSelfService Plus へ登録する方法を以下か

•

自動登録： CSV ファイルからセキュリティ質問と回答をインポートし、ユーザーが介入 することなく、ユーザー情報を登録します

•

登録依頼メール： ADSelfService Plus への登録を促す通知メールをユーザーへ送信 します

•

強制登録： ログオンスクリプトを使用して、自動的に検出された非登録ユーザーがワークステーション にログオンした際に ADSelfService Plus への登録を強制したり、登録を促すメッセージを表示したりで きます

6-4 手順 4: パスワードセルフサービスの実行

ADSelfService Plus のポリシー設定とユーザーの登録が完了すると、パスワードのリセットやアカウントのロック 解除などの操作をユーザーに委任することができます。次の図はパスワードのリセットとアカウントのロック解除 の処理の流れを示します。

セルフサービスポータルへのアクセス

ユーザーがパスワードのリセット/アカウントのロック解除を実行する方法は 2 つあります:

•

Web ブラウザから: ADSelfService Plus の URL から Web ポータルへアクセス

•

Winlogon（Ctrl+Alt+Del）画面から: ワークステーションの Windows ログオン画面から パスワードのリセット用/アカウントのロック解除用のリンクをクリック

ユーザーの本人確認

ユーザーがパスワードのリセット/アカウントのロック解除のリンクをクリックすると、ユーザー名の 入力とドメインの選択が指示されます。次に、本人確認のためにセキュリティ質問へ回答するか、 メールや携帯に送信した認証コードを使用するなどして本人確認を実行します。本人確認に成功すると、ユーザ ーはパスワードのリセットやアカウントのロック解除が許可されます。

パスワードのリセット/アカウントのロック解除

本人確認後、ユーザーは ADSelfService Plus を使用してパスワードのリセットまたはアカウントの ロック解除ができるようになります。セルフサービス操作の完了時にユーザーへ自動的に通知を送ることができ ます。パスワードリセットの際はドメインと ADSelfServicePlus どちらのパスワード要件を満たしてないといけませ ん。

•

パスワードのリセット/アカウントのロック解除の通知を有効化するには、「設定」→「ポリシー設定」を選 択し、各ポリシーの編集画面より「ポリシーの詳細設定」をクリックします

メモ：セルフサービス操作によるパスワードやアカウントステータスの変更は、即時に Active Directory に反映さ れます。複数のドメイン コントローラが存在し、特定のドメイン コントローラに対して最初に反映したい場合は、 「管理」→「システムユーティリティ」→「ドメイン コントローラの設定」を設定します。

6-5 パスワードのリセット/アカウントのロック解除

ユーザーは ADSelfService Plus のログイン画面またはワークステーション上の Windows ログオン画面からパス ワードのリセット/アカウントのロック解除リンクをクリックすることにより、自身のパスワードのリセットとアカウント のロック解除ができます。

Web ブラウザ

LAN から、あるいはインターネットから ADSelfService Plus の Web ポータルのログイン画面にアクセスし、パスワ ードのリセット用またはアカウントのロック解除用のリンクを使用します。 アクセスの手順 1. Web ブラウザを開きます 2. http://[ホスト名・サーバー名]:[ポート番号] をアドレスバーに入力して、移動します例：http://adssp-server:8888（デフォルトのポート番号は 8888 です） 3. 管理者として最初にログインするには、ユーザー名/パスワードとして admin と入力して「ログイン」を クリックします

Winlogon（Ctrl+Alt+Del）

Windows ロ グ オ ン 画 面 か ら パ ス ワ ー ド の リ セ ッ ト / ア カ ウ ン ト の ロ ッ ク 解 除 へ ア ク セ ス す る た め に は 、 ADSelfService Plus のエージェント（クライアントソフトウェア）との連携が必須です。インストールされたエージェ ントは Microsoft GINA/Credential Provider を拡張し、ユーザーが使用しているワークステーションの Windows ロ グオン画面上にパスワードのリセット用/アカウントのロック解除用リンクを表示します。 インストール手順 1. 設定→管理ツール→GINA/Mac→GINA/Mac インストールを選択します ・この時に同一ドメイン内にいないと新規インストールの画面に表示されません ・表示件数が 25 件に設定されている場合表示件数を１００に設定する 2. 新規インストールタブにて自分の PC が検出された後にチェック BOX にて選択します 3. 最後にインストールをクリックします

図 13GINA/CP インストール後のログイン画面 カスタマイズ ログオン画面に表示される素材のカスタマイズが可能です。 ⚫ フレームテキスト（WindowsVista 以前の OS 対象） ⚫ ボタンテキスト ⚫ アイコン ⚫ ログオン画面にパスワードリセット/アカウントロックのアイコンを表示させるかのカスタマイズが可 能 スケジューラー GINA/Mac を自動でインストール/カスタマイズするスケジューラーを設定して、新規追加したマシン上 の VPN クライアント設定を更新できる機能です。 アンインストール 設定→管理ツール→GINA/Mac→GINA/Mac のインストール→インストールされたコンピューター→ GINA/Mac を解除するコンピューターを選択（チェックボックス）→アンインストールをクリック

7. パスワード/アカウント有効期限の通知

パスワードやアカウントの有効期限が近いユーザーに対して、自動的に通知を送信する設定が できます。 1. 「設定」→「セルフサービス」→「パスワード期限の通知」を選択します 2. 「新規通知の追加」をクリックします 3. 通知タイプや通知頻度など、必要な項目をすべて設定します 図 14 パスワード/アカウント有効期限通知設定ウィンドウ 4. 「保存」をクリックします メモ：パスワード/アカウントの有効期限切れが迫っていることをユーザーに複数回通知するために、指定した頻 度で複数回の通知を送ることができます。複数の通知を送信するタイミングを指定するには、「通知頻度」の項 目で「特定の日」を選択します。

8.ディレクトリセルフサービス

8-1 ディレクトリの更新と検索

ユーザー自身による連絡先情報の更新を有効にする手順は以下の通りです: 1. 「設定」→「セルフサービス」→「ポリシー設定」を選択します 2. ポリシーの編集アイコンをクリックし、編集画面で「セルフアップデート」にチェックを入れます。「セルフ アップデートのレイアウト」リンクをクリックし、ドロップダウンメニューからレイアウトを選択します 3. 「ポリシーを保存」をクリックします 図 15 ポリシー設定ウィンドウ

8-2 セルフアップデートのレイアウト

レイアウトのカスタマイズや、ユーザーに許可する指定が可能です。 1. 「設定」→「管理ツール」→「ディレクトリーセルフサービス」→「セルフアップデートのレイアウ」を選択し ます 2. 「新規レイアウトの作成」、をクリックするか、リストにあるレイアウトの編集アイコンをクリックします 3. レイアウトをカスタマイズするには、各属性をドラッグ＆ドロップします 図 16 レイアウトのカスタマイズ画面 メモ：デフォルトでリストされている属性とは別に、独自のカスタム属性を作成できます。「属性のリスト」ドロップダ ウンメニューから「カスタム属性」を選択し、必要な情報を入力します。

8-3 ユーザー検索の有効化

1. 「設定」→「セルフサービス」→「ディレクトリセルフサービス」→「ユーザー検索」を選択します 2. 「ユーザー検索を有効にする」にチェックを入れ、ドメインを選択します 3. オブジェクトの種類（ユーザー、連絡先、グループ）ごとにユーザーが検索できる対象を有効化/無効化 できるチェックボックスを選択します 組織図を有効にするには: 1. 「設定」→「セルフサービス」→「ユーザー検索」を選択します 2. 「詳細説明>>」をクリックします 「組織情報の表示を有効にする」にチェックを入れ、「保存」をクリックします。

9. パスワードの変更

ユーザーは、以下の簡単な手順で ADSelfService Plus から Active Directory ユーザーのパスワードを変更する ことができます。

1. Active Directory ユーザーのユーザー名とパスワードを使用し、ADSelfService Plus に ログインします 2. 「パスワード変更」タブをクリックします 3. 古いパスワードを入力します 4. 表示されているドメインのパスワードポリシーの要件を満たす新しいパスワードを 入力します 5. 新しいパスワード（再入力）を入力し、OK をクリックします

10.シングルサインオン/パスワード同期について

シングルサインオン、パスワード同期には両製品での設定が必要になります スタートアップガイドではクラウド版 Cybozu の設定を例として解説します。 ADSelfServicePlus 側 1. 設定→セルフサービス→パスワード同期/シングルサインオンをクリックします 2. パスワード同期/シングルサインオンさせたいサービスを選択します 3. モジュール/ ドメイン名/ SP 識別子 (独自ドメイン)/表示名/を入力し保存をクリックします 図 17 シングルサインオン設定画面 Cybozu 側 パスワード同期/シングルサインオンするユーザー名は ADSelfServicePlus 内のユーザー名とサービス側のユ ーザー名を紐付ける必要があります。 1. Cybozu に管理者権限でログインします ・左側に並んでいる「cybozu.com 共通管理」ボタンをクリックします ・左にあるシステム管理＞セキュリティ＞ログインをクリックします ・「ログインのセキュリティ設定」画面の下部に「SAML 認証」の項目があるので「SAML 認証を有効にす る」にチェックを入れます

3. 「SSO/SAML 詳細」中の項目を次の項目に入力します

・「Identity Provider の SSO エンドポイント URL（HTTP-Redirect）」に「ログイン URL」の項目を入力、そし て「cybozu.com からのログアウト後に遷移する URL」に「ログアウト URL」の項目を入力します

図 18 SSO/SAML 詳細入力画面

4. SSO 証明書をダウンロード」をクリックし、SSO 証明書をダウンロード

・cybozu 画面の「Identity Provider が署名に使用する公開鍵の証明書」の「参照」をクリックし先ほどダウ ンロードした証明書をアップロード

5. 保存をクリックします

こちらからログインする時は ADSelfService Plus を経由するため ADSelfService Plus を必ず起動させて いないといけません。

11. セキュリティセンター

すべてのアプリケーションにとってセキュリティ管理は重要ですが、なかでもユーザーのパスワードに関するセキ ュリティの確保は特に重要です。ADSelfService Plus は、組織の内外からの攻撃に対応するための強固なセキ ュリティ構成基準を用意しています。ADSelfService Plus のさまざまなセキュリティ機能は、セキュリティセンター に集約され、アクセス性と管理の容易さを確保しています。セキュリティセンターの各機能にアクセスするには、 「設定」→「セキュリティセンター」を選択します。セキュリティセンターでは、セキュリティに関する以下の設定が可 能です:

•

パスワードの強化

•

セキュリティ質問＆回答の強度

•

ハッキング対策システム

12. ADSelfService Plus の一般設定

12-1 使用されていないユーザーの制限

Active Directory の有効期限切れユーザー、無効化されたユーザー、削除されたユーザー、など、ADSelfService Plus を利用しなくなったユーザーのアクセスを制限し、ライセンス数のカウントから解放します。実行するには: 1. 「管理」→「ライセンス管理」→「制限ユーザー」を選択します 2. ドメインを選択した後 OU の追加をクリックします 3. 手動で制限ユーザーを設定するか、または自動で制限するスケジュールを作成することができます

12-2 ADSelfService Plus のカスタマイズ

ADSelfservice をカスタマイズし、組織の環境に合わせた表示に変更することができます。

表示設定

「管理」→「カスタマイズ」→「リブランド」を選択し、表示設定から以下のカスタマイズが可能です:

•

ロゴ

•

テーマカラー

•

フォントの種類

•

フォントサイズ

•

ブラウザタイトル

•

ブラウザタイトルの画像

•

パスワードポリシーメッセージ メモ：パスワードポリシーメッセージは、パスワードのリセット/アカウントのロック解除ページに表示されるテキス

パーソナライズ

「管理」 → 「カスタマイズ」 → 「パーソナライズ」を選択します。ADSelfService Plus のデフォルト管理者のパス ワードや、言語設定、日付形式などを変更することができます。

言語の選択

ADSelfService Plus は 17 ヶ国語に対応しています。パーソナライズページから言語を変更することができます。 1. 「管理」→「カスタマイズ」→「パーソナライズ」を選択します 2. 使用する言語をドロップダウンメニューから選択します 「ブラウザデフォルト」を選択すると、使用しているブラウザの言語設定に合わせた言語が表示されま す

12-3 スーパー管理者とオペレータ

他のユーザーをオペレータとして設定することにより、製品の管理タスクの一部またはすべてを、委任できます。 オペレータは、ADSelfService Plus のさまざまな操作を実行できます。ユーザーをオペレータとして追加する方法 は以下の通りです: 1. 「設定」→「管理ツール」→「オペレータ」を選択します 2. 「オペレータの新規追加」をクリックします 3. ドメインの選択、オペレータの選択より AD のユーザーを選択、役割を選択します 4. 「追加」をクリックします 担当者の種類は 2 種類あります:

•

スーパー管理者: ADSelfService Plus のすべての管理操作が可能です

•

オペレータ: 監査およびレポートの設定が可能です

付録

関連ドキュメント

次のリストは、ADSelfService Plus の使用を支援するドキュメントと資料の一覧(英語)です。 製品のお問い合わせ先 ADSelfService Plus に関するご質問、ご購入の相談は下記までお問い合わせください。 製品提供元

ゾーホージャパン株式会社

神奈川県横浜市西区みなとみらい 3-6-1 みなとみらいセンタービル 13 階 Tel: 045-319-4612（ManageEngine 営業担当） ドキュメント名 説明 管理者ガイド ADSelfService Plus の管理者向けの利用ガイド ユーザーガイド エンドユーザー向けの ADSelfService Plus 利用ガイド クライアントソフトウェアのイ ンストール（GPO / Web ポ ータル / 手動） ユーザーのワークステーションへの ADSelfService Plus エージェン ト（クライアントソフトウェア）の導入方法 ADSelfService Plus をイン ターネットで安全に利用す るためのガイド ADSelfService Plus を以下の環境で利用する場合の構築手順を 記載したガイドです。 ・DMZ に構築する場合 ・リバースプロキシを利用する場合 ADSelfService Plus を利用 するために必要な Active Directory の権限に ついて

ADSelfService Plus のサービスごとに必要な Active Directory 権 限および手動での権限の付与方法のガイドです。 セキュリティ基準ガイド セキュリティ上の脅威を避けるための必要な、ADSelfService Plus で使用するセキュリティ基準のショーケース その他のドキュメント 以下の URL をご参照ください: https://www.manageengine.jp/products/ADSelfService_Plus/docu ments.html