ユーザー可視化モジュール
ユーザー可視化モジュールは、会社連絡先構造に基づいてモバイル・デバイスを管理します。 このモジュールにより、管理者は、特定のグループに属しているユーザー・デバイスを管理することができ、また特定のディレクトリー・グループのメンバーであるユーザー・デバイスを対象にアプリ、ポリシー、およびコンテンツを送信できます。
ユーザー可視化モジュールは Active Directory (AD) または LDAP 環境と統合され、会社連絡先のユーザー、グループ、およびそのメンバーシップの関連付けを検出します。 ユーザー可視化モジュールは、これらのディレクトリー・オブジェクトに関する情報を収集し、その情報を MaaS360® クラウドにアップロードします。 このモジュールは、ユーザーおよびグループの情報を使用して、管理役割ベースのアクセス権限も含め、ポリシー、アプリ、および文書の割り当てと配布を行います。
Cloud Extender ® は、以下の方法で AD/LDAP の可視性を促進します。- 特定の範囲内のディレクトリーからのユーザー・オブジェクトの検出 (機密情報は収集されません)
- 特定の範囲内のディレクトリーからのユーザー・グループの検出
- 特定のグループのメンバーのオンデマンド検出。 カスタマイズした構成オプションを使用して、ディレクトリーから、および (ディレクトリー全体をエクスポートするのではなく) 特定の範囲内からエクスポートされたデータを制限します。
- 特定のユース・ケースのためにユーザー・オブジェクトについて会社連絡先から読み取られた属性のマップ。
User Visibilityモジュールが正しく構成されている場合、管理者はIBM® MaaS360 Portal内の企業ディレクトリからすべてのユーザーとグループを表示できます。 MaaS360 プラットフォームでは、管理者がこれらのユーザーグループをMaaS360 にインポートし、特定のグループ内のユーザーの検出をトリガーすることができます。
ユーザー可視化モジュールは、スケジュールに従って実行され、4 時間ごとにデータ (ユーザー、グループ、ユーザー属性、およびグループ・メンバーシップ) を増分的にアップロードします。また、1 カ月に 1 回、全範囲のデータをアップロードします。 IBM MaaS360 ポータルは、ユーザー属性の変更、グループ メンバーシップの変更または削除を常に更新します。
動作モード
- Active Directory モード: このモードは、Microsoft Active Directory 環境に固有のモードです。 Cloud Extender はサービス・アカウントとして実行され、ディレクトリー内のユーザーおよびグループを検出するスクリプトを実行します。 ご使用の環境に複数の信頼するフォレストまたはリソース・フォレストがある場合、追加構成が必要になります。
- LDAP モード: このモードは、任意の会社連絡先に対して使用されます。 Cloud Extenderは、Domino LDAP、OracleLDAP、NovelleDirectory, OpenLDAPと統合するための標準LDAPテンプレートを提供します。 これらの標準的な LDAP に加え、カスタマイズした任意の LDAP に対して構成する場合にもこのモードを使用します。 Cloud Extender には、LDAP モードで Microsoft Active Directory を構成するのに役立つテンプレートも用意されています。
ご使用の環境で使用する実装モードを決定するには、以下のガイドラインを考慮してください。
- Microsoft Active Directory (AD) を使用していない場合は、LDAP モードを使用します。
- Microsoft Active Directory (AD) を使用している場合、以下の表に、ご使用の環境用の LDAP オプションを示します。
表 1. ご使用の環境で使用する LDAP 実装モードの決定 シナリオ Active Directory モード LDAP モード 認証範囲を特定の OU、サブツリー、またはグループに制限する機能 ✓ Cloud Extender をドメインの一部にする必要があるという要件 ✓ トラステッド・フォレスト/ドメイン可視化をサポートする機能 ✓ ✓ 非トラステッド・フォレスト/ドメイン可視化をサポートする機能 信頼できないフォレストごとに Cloud Extender の別個のインスタンスが必要 信頼できないフォレストごとに Cloud Extender の別個のインスタンスが必要 AD から読み取られる属性をカスタマイズする機能 ✓ ユーザー・カスタム属性のサポート1 ✓ ユーザー検索のパフォーマンスを最適化するためにユーザー・フィルターおよびグループ・フィルターをカスタマイズする機能 ✓ 高可用性のサポート 構成の容易さ 簡単 中間 実装技術 .NET ライブラリー LDAP ライブラリー 同じ Cloud Extender 上でユーザー認証とともに構成2 ✓ ✓
ほとんどの場合、ユーザー可視化の LDAP モードは、表にリストされている利点と将来の要件への容易な適応性を考慮して、Microsoft Active Directory 環境でも選択できる実装です。
要件およびスケーリング
ユーザー可視化モジュールには、LDAP または Active Directory用の Cloud Extender の 1 つのインスタンスが必要です。これは、最大 100,000 ユーザーまでスケーリングできます。 Cloud Extender のディレクトリー・スコープが 100,000 ユーザーを超える場合は、 Cloud Extenderの追加インスタンスを実装する必要があります。 以下の表では、ユーザー可視化モジュールのハードウェア要件を示します。
| アイテム | 最小要件 |
|---|---|
| ハードウェア・コンポーネント | CPU: 2 コア |
| メモリー: 2 GB から 8 GB | |
| ストレージ: 50 GB | |
スケーリング:
ご使用の環境の正確なスケーリングについては、 Cloud Extender スケーリングの資料 ( ) を参照してください。 |
|
| 制限: 100,000 ユーザー | |
| ネットワーク・トラフィック | Cloud Extender と LDAP/AD の間のトラフィック交換:
|
Cloud Extender と MaaS360:
|
|
テスト・メトリック (1,000 ユーザーに基づいた使用量):
|
|
| Active Directory | ハードウェア・スペックが最小要件を満たしている |
| PowerShell 3.0 以上がインストールされている | |
| Windows オペレーティング・システムがドメインに追加されている | |
サービス・アカウント
|
|
| LDAP | ハードウェア・スペックが最小要件を満たしている |
サービス・アカウント
|
例えば、 Employee Serial Number というユーザー・カスタム属性を定義し、この値をデバイス構成、アプリケーション構成、または ID 証明書の一部の MaaS360 ポリシーで使用します。 この属性は、LDAP 構成を使用して、ディレクトリーから直接読み取ることができます。