除外ルールやクエリを使用することで、Google Cloud Directory Sync (GCDS) では、どのデータを確認、更新の対象にするかを制御することができます。
除外ルールとクエリの違い
- 除外ルールを設定すると、LDAP ディレクトリ データ、Google アカウント データ、またはその両方を同期から除外できます。たとえば、除外ルールを使用してユーザー、プロファイル、グループを除外した場合、GCDS は同期中にそれらが存在しないかのように動作します。
- GCDS でユーザーの削除や停止が行われないようにするには、Google アカウントのデータがあるクエリを使用して、Google ユーザーを同期から除外します。多数のユーザーが存在する場合は、GCDS ですべてのユーザーを読み込み、除外ルールを使用して同期しないユーザーをフィルタするよりも、クエリを使用した方が効率がよくなります。
ルールとクエリを使用するタイミング
| データの種類 | 使用を検討 | できない場合に使用 |
|---|---|---|
| Google アカウントに必要ない LDAP ディレクトリ サーバー内のエンティティ | LDAP 検索ルール | LDAP の除外ルール |
| 停止中や削除の対象とならない Google アカウント内のユーザー | ユーザーの検索キーワード | 必要な種類のフィルタがクエリ構文でサポートされていない場合は、Google の除外ルールを使用してください。 |
| Google アカウントには残す必要があるが LDAP ディレクトリ サーバーには存在しない、ユーザー以外のエンティティ(グループ、組織部門、カレンダー リソースなど) | Google の除外ルール |
Google ユーザーの検索クエリを追加する
- 設定マネージャーで、[Google Domain Configuration]
[Exclusion rules] をクリックします。
- [ユーザーの検索クエリ] に、ユーザーを検索するの検索ガイドラインを使用してルールを追加します。
除外ルールの使用
ルールの優先度を追加、削除、変更するルールを追加するには:
- [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
- 次の項目を指定します。
- Type - 除外するデータの種類をメニューで指定します。
- Match Type - フィルタに使用するルールの種類を指定します。メニューから次のいずれかを選択します。
- Exact match(完全一致) - データがルールと完全に一致する必要があります。
- Substring match(部分文字列一致) - ルールのテキストがデータの部分文字列として含まれている必要があります。
- Regular expression(正規表現) - 指定した正規表現とデータが一致する必要があります。
- Exclusion Rule - ルールの一致文字列または正規表現を入力します。
- [OK] をクリックします。
ルールは、表の順番で適用されます。順序を変更する方法は次のとおりです。
- [Exclusion Rules] タブで、目的のルールをクリックします。
- 上矢印または下矢印をクリックして優先値を調整します。
ルールを削除するには:
- [Exclusion Rules] タブで、目的のルールをクリックします。
- [X] をクリックします。
LDAP ディレクトリ サーバー上のデータのうち、検索ルールに一致しても Google ドメインに追加すべきではないものがある場合、LDAP の除外ルールを適用することで、そのデータを同期対象から除外できます。
組織部門
| 除外ルールの目的 | 検索ルールに一致する組織部門が LDAP サーバー上に存在するが、それらを Google ドメインに追加したくない。 |
| Exclusion type | Org Unit DN
同期対象から除外する組織部門の識別名(Distinguished Name; DN)に基づいて除外ルールを設定します。 |
| 例 | 2 つの事業所の統合により使用しなくなった組織部門が複数あり、それらの組織部門の識別名には必ず「fuji」が含まれています。
|
ユーザー
| 除外ルールの目的 | 検索ルールに一致するユーザーが LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。 |
| Exclusion type | 同期対象から除外する LDAP データを指定します。
|
| 例 | Google ドメインのメンバーではなくなったため同期対象にすべきではないユーザーに対し、個別のルールを追加します。1 つ目のルール:
2 つ目のルール:
|
グループ
| 除外ルールの目的 | メーリング リストのルールに一致するエントリが LDAP サーバー上に存在するが、Google ドメインではそれらをメーリング リストとして使用したくない。 |
| Exclusion type | 同期対象から除外する LDAP データを指定します。
|
| 例 | 近接する 2 つの事業所の統合により使用しなくなったメーリング リストが複数あり、それらのアドレスには必ず「fuji」が含まれています。
|
ユーザー プロファイル
| 除外ルールの目的 | LDAP サーバー上に、Google ドメインと同期したくないユーザー プロファイル情報がある。 |
| 例 | LDAP ユーザーとして登録されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。
|
共有の連絡先
| 除外ルールの目的 | 検索ルールに一致する連絡先が LDAP ディレクトリ サーバー上に存在するが、それらを Google ドメインに追加したくない。 |
| 例 | 約 500 人のテストユーザーが LDAP サーバーに登録されていますが、それらのユーザーは内部テストでのみ使用されます。テストユーザーの名前はすべて「internal-textX」(X は数値)という形式で、全員同じドメインに属しています。
|
カレンダー リソース
| 除外ルールの目的 | カレンダー リソースの検索ルールに一致するアイテムが LDAP サーバー上にあるが、Google ドメインにはそれらをカレンダー リソースとして追加したくない。 |
| Exclusion type | 同期対象から除外する LDAP データを指定します。
リソース ID とリソース表示名の両方を除外するには、除外ルールを 2 つ作成してください。 |
| 例 | LDAP リソースとして登録されているプリンタがあり、それらのプリンタは指定された LDAP クエリに一致しています。プリンタ名には必ず「printer」という単語が含まれています。
|
LDAP ドメインに存在しないエンティティ(ユーザーやグループなど)を Google アカウントに保持する必要がある場合があります。Google ドメインの除外ルールを使用して、同期時に Google エンティティを残すことができます。
- [Google Domain Configuration] タブをクリックします。
- [Exclusion Rules] タブで、[Add Exclusion Rule] をクリックします。
- [Type] から次のいずれかを選択します。
- Organization Complete Path: 組織とそのユーザーを除外する
- User Email Address: ユーザーを除外する
- Alias Email Address: ユーザーのエイリアスを除外する
- Group Email Address: グループを除外する
- Group Member Email Address: グループ メンバーを除外する
- User Profile Primary Sync Key: 同期キーによりユーザー プロファイルを除外する
- Shared Contact Primary Sync Key: 同期キーにより共有の連絡先を除外する
- Calendar Resource ID: ID によりリソースを除外する
- Calendar Resource Display Name: 名前により除外する
- Calendar Resource Type: カテゴリにより除外する
- [Match Type] で次のいずれかを選択します。
- Exact Match: 完全に一致するキーワードを検索する
- Substring Match: 部分的に一致するキーワードを検索する
- Regular Expression : 正規表現を使用してキーワードを検索する
- [OK] をクリックします。
Google アカウントで更新したくないエンティティが Google ドメインや LDAP ドメインにある場合は、次の 2 つの除外ルールを使用します。
- 該当のエンティティを Google アカウントから除外する Google ドメイン除外ルール。
- 該当のエンティティを LDAP ドメインから除外する LDAP ドメイン除外ルール。
該当のエンティティは同期の対象外となり、Google アカウントにそのまま残ります。
たとえば、LDAP ドメインのユーザー属性とは異なるユーザー属性(組織部門など)を Google アカウントに保持する必要がある場合は、2 つの除外ルールを設定することで、同期中に属性が変更されないようにできます。詳しくは、同期中のさまざまなユーザー属性の維持をご覧ください。
除外ルールの例
LDAP ユーザーの除外ルールこの例では、プリンタが LDAP ユーザーとして登録され、LDAP クエリに一致しています。ただし、プリンタが Google ユーザーとみなされないようにする必要があります。すべてのプリンタの LDAP ディレクトリ名に「printer」という単語が含まれているため、この部分文字列を検出するルールを設定します。
- Type - Primary Address
- Match Type - Substring Match
- Exclusion Rule: printer
会議室のなかにはオフィスに変換されるものがあるため、それらがカレンダー リソースとしてインポートされないようにする必要があります。このため、会議室ごとに個別のルールを設定します。
1 つ目のルール:
- Type - Calendar Resource Display Name
- Match Type - Substring Match または Exact Match
- Exclusion Rule: ConferenceRoom-BlueSkyMontana
2 つ目のルール:
- Type - Calendar Resource Display Name
- Match Type - Substring Match または Exact Match
- Exclusion Rule: ConferenceRoom-BigPlains
約 500 件のテスト用メーリング リストが LDAP サーバーに登録されていますが、これらが使用されるのは内部の負荷テストでのみです。テストユーザーは全員同じドメインに属し、internal-testX(X は数値)という同じパターンで命名されています。
- Type - Group Address
- Match Type - Regular Expression
- Exclusion Rule - internal-test[0-9]*@example.com
LDAP ディレクトリ サーバーに登録されていないユーザーは、GCDS によって Google ユーザーのリストと Google グループから削除されます。LDAP ディレクトリに存在しないユーザー アカウントとグループについては、Google Workspace または Cloud Identity アカウントにユーザーとグループが残るように除外ルールを使用します。Google 管理者アカウントはデフォルトで除外されているため、これらのアカウントの除外ルールを作成する必要はありません。
方法 1: 組織部門を使用してユーザーを保持する
ユーザー アカウントを専用の組織部門に移動し、設定マネージャーの [Google Domain Configuration] 設定で除外ルールを作成します。
- Type - Organization Complete Path
- Match Type - Exact Match
- Exclusion Rule - /OUPath/MyExcludedOU
方法 2: メールアドレスを使用する
設定マネージャーの [Google Domain Configuration] 設定で、メールアドレスの一致除外ルールを作成します。
- Type - User Email Address または Group Address
- Match Type - Exact Match
- Exclusion Rule - [email protected]
方法 3: 他のすべての組織を除外する
1 つの最上位の組織部門とその下位の組織部門に LDAP ユーザーを同期する場合は、それ以外の最上位の組織部門をすべて除外する必要があります。次の正規表現を使用すると、MyIncludedOU で始まる組織部門以外の最上位の組織部門がすべて除外されます。正規表現を使用する場合は、先頭にスラッシュを付けないでください。
- Type - Organization Complete Path
- Match Type - Regular Expression
- Exclusion Rule - ^((?!MyIncludedOU).)*$
方法 4: User Profile Primary Sync Key
これを使用すると、ユーザー アドレス、グループのメールアドレス、メンバー アドレスを指定して同期から除外できます。除外されたメンバーのアドレスは、Google ドメイン内のグループからは削除されません。
- Type - User Profile Primary Sync Key
- Match Type - Exact Match
- 除外ルール - [email protected]
この例では、同期から除外するユーザー プロファイルを指定できます。
- Type - Sync Key
- Match Type - Exact Match
- 除外ルール - [email protected]
このドメイン名で(ユーザーおよびグループの)LDAP メールアドレスのドメイン名を置き換える場合は、除外ルールに @solarmora.com を含めないでください。[email protected] ではなく luka を使用します。
関連トピック
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
