TeamViewer Active Directory Connector(AD Connector)を使用すると、管理者は、スクリプトやプログラミングに関する知識を必要とせずに、Active Directory経由で企業内のすべての従業員に対してTeamViewerアカウントを簡単かつ集中的に作成および設定できます。 

この記事は、Premium、Corporate、またはTensor ライセンスを持つTeamViewerのお客様に向けた内容です。

必要条件

  • 企業プロファイルを所持していること (企業プロファイルの作成方法について)
  • TeamViewerの有効なTeamViewerPremiumCorporate、またはTensor ライセンスを所有していること
  • IntegrationsサイトからAD Connectorをダウンロードしていること
  • Management ConsoleからのAPIトークンを使用していること
  • Windows Server 2012 以降、Windows Powershell 4.0 以降を利用していること

AD Connectorをダウンロードする

AD Connecorは当社のWebサイト(Integrationsサイト)からダウンロードできます。

AD Connectorを実行する

プログラムを実行するには、ファイルを解凍して、Configure TeamViewer AD Connector.batファイルをダブルクリックしてください。

始め方

TeamViewer AD Connectorには、ConfigurationタスクとScheduledタスクという2つの主要な領域があります。

設定ユーザーインターフェースには、次の機能があります。

  • 同期設定を表示して調整します。
  • 入力したTeamViewer APIトークンを検証します。
  • 手動で同期スクリプトを実行します。
  • スケジュールされたタスクをインストール/アンインストールして、同期スクリプトを自動的に実行します。

スケジュールされたタスクをインストールおよびアンインストールできるようにするには、構成 UI を管理者特権で実行する必要があります。スクリプトは自動的に昇格された権限を要求します (必要な場合)。

構成(3 つのタブ)

これらは、TeamViewer AD Connectorの使用可能な設定パラメータです。

同期  

設定:API トークン

説明:TeamViewer API アクセストークンは、TeamViewer 企業ユーザー管理にアクセスするために使用されま す。スクリプトトークンを作成するには

  1. https://login.teamviewer.com/ でサインインします。
  2. インターフェイスの右上にあるプロフィールをクリックし、プロフィールの編集をクリックします。
  3. アプリ を選択します。
  4. スクリプトトークンを作成 をクリックします。
  5. 必要に応じて、API トークンの名前と説明を入力し、小さな矢印を使用してトークンの次のオプションを選択します。

必要なのは、オプション名の左にある小さな矢印から開くことができる次の権限のみです:

  • ユーザー管理表示、作成、編集
  • オプション: グループ管理のグループの表示、作成、削除、編集、および共有 ➜  条件付きアクセス同期が有効な場合は必須

_____

設定:AD groups

説明:同期に使用されたADグループのLDAP識別子(先行する LDAP://`プロトコルスキームなし)ドメインコントローラでADコネクタを実行する必要はありません。ドメインの一部であるすべてのコンピュータは、ADグループのリストにアクセスできます。

_____

設定:Test run  

説明:trueに設定すると、TeamViewerユーザーのリソースは変更されず、実行されたアクションだけがログに記録されます。

_____

設定: ADグループのメンバーではないTeamViewerユーザーを無効にする

説明:trueに設定すると、選択したADグループのメンバーではないTeamViewerユーザーは無効になります。

_____

設定:ネストされたADグループのユーザーを含める

説明:true に設定すると、ネストされたADグループのユーザがインクルードされます。

_____

設定:同期用の予備のメールを含める

説明: "ture"に設定されている場合、予備のメールアドレスも含まれます。

TeamViewer アカウント

設定:言語

説明:新しく作成されたTeamViewerユーザーのデフォルト言語として使用される2文字の言語識別子。たとえば、「ようこそ」メールのローカライズに使用されます。

アカウントタイプ

設定:事前に設定されたパスワードでアカウントを作成する

説明:新しくログインしたTeamViewerユーザーが初回ログイン時に変更するために使用する初期パスワード

_____

設定:生成されたパスワードでアカウントを作成する

説明:ランダムなパスワードがシステムによって生成されます。ユーザーがパスワードを変更できるように、パスワード再設定メールが自動的にユーザーに送信されます。

_____

設定:シングルサインオンを使用する

説明:ユーザーはSSO経由でログインできます。管理者はSSOを有効にしている間に取得した識別子を追加する必要があります。

グループ

設定: TeamViewerの条件付きアクセス グループの同期を有​​効にする ➜ Tensor ライセンスのみに含まれる

説明: ユーザーは、TeamViewerの条件付きアクセスのために、指定された AD グループとそれぞれのユーザーをディレクトリ グループと同期できます。これらのグループを使用して、特定のユーザーの TeamViewer (Classic) 機能を制限/許可できます。

_____

設定:  TeamViewer TeamViewer ユーザーグループ同期の有効化→Tensorライセンスにのみ含まれる

説明: ユーザーは、指定されたADグループとそれぞれのユーザーを同期化することができます。これらのグループは、TeamViewer Management Consoleでユーザーグループとして使用され、特定のユーザーに対してTeamViewerの機能を制限/許可することができます。

スケジュールタスク

スケジュールされたタスクは、指定された間隔で作成されます。

...\TeamViewer\TeamViewer AD Connector

スケジュールされたタスクの出力は、指定されたログファイルの場所にリダイレクトされます。

またお好みでタスクの間隔を設定することができます。現在、時間間隔は1時間単位です。

スケジュールタスクのユーザーを変更

スケジュールされたタスクに必要な実行権限を付与するには、ユーザーを変更する必要がある場合があります。スケジュールされたタスクのユーザーを変更するには、以下をご確認ください。

  1. スタート ➜ 管理ツール  ➜ タスクスケジューラに移動します。
  2. タスクスケジューラライブラリを選択します。
  3. 変更するスケジュールタスクを右クリックし、プロパティを選択して全般タブを選択するか、スケジュールタスクをダブルクリックします。
  4. ユーザーまたはグループの変更...ボタンをクリックします。
  5. 選択するオブジェクト名を入力テキストボックスに<USER>と入力し、名前の確認を押します。
  6. OKボタンを押します。
  7. タスクを実行するときに、次のユーザー アカウントを使用 の下に、このユーザーが表示されます。
  8. OKをクリックしてから、スケジュールタスクを終了します。

ユーザー同期ロジック

実際の同期は、次のロジックを使用してTeamViewer AD ConnectorディレクトリのInvoke-Sync.ps1スクリプトによって実行されます。

  • 設定された AD グループのユーザーのうち、設定された TeamViewer 会社にまだ属していないユーザー (API トークンで識別) は、指定された初期パスワードで作成されます。
  • 設定された AD グループのユーザーのうち、設定された TeamViewer 会社にすでに属しているユーザーは、ユーザー名が変更された場合、または TeamViewer ユーザーが無効化された場合に有効化および/または更新されます。
  • 設定されている場合、構成されたADグループに存在しないTeamViewerのユーザーは無効化されます。

ユーザーの識別は、電子メール アドレスに基づいて行われます。設定されている場合、AD ユーザーと TeamViewer ユーザー間のマッピングには、AD ユーザーのセカンダリ電子メール アドレスも考慮されます。