特定のユーザーをドメインの強制から除外する

開始する前に

ドメイン強制例外リスト機能を使用する前に、以下の点を確認してください。

• Adobe Admin Console へのシステム管理者アクセス権を持っています。
• Admin Console ディレクトリでドメイン強制が有効になっています。

例外リストの使用

管理者は、例外リストを使用すると、アドビアカウントのクレームドメインを使用するユーザーのセキュリティと柔軟性のバランスをとることができます。

システム管理者は、以下のシナリオで例外リストを使用することができます。

• フェデレーション認証を使用できない自動ワークフローにサービスアカウントまたはテクニカルアカウントを追加する。
  
• SSO 関連の問題が発生した場合に、Adobe ID アカウントを使用して Admin Console またはアドビアプリにログインする。 
• メールの変更が必要設定を使用するときに、既存のユーザーの選択したグループを除外する。

考慮が必要な重要事項

ドメイン強制ディレクトリでこの機能を使用する前に、以下の点を考慮してください。

• 例外リストにメールアドレスを追加すると、新しいユーザーアカウントを Adobe ID として作成したり、既存の Adobe ID アカウントを強制ドメインで引き続き使用したりできるようになります。
  
• 既に Enterprise ID または Federated ID にリンクされているメールアドレスを例外リストに追加することはできません。ディレクトリユーザーリストからメールアドレスを削除し、Adobe ID として例外リストに追加します。
  
• 同様に、メールアドレスを使用して Enterprise ID または Federated ID を別個に作成したり、CSV 経由で ID タイプを編集したりするには、例外リストからメールアドレスを削除する必要があります。
• メールの変更が必要ポリシーが有効な場合、例外リストに含まれているメールアドレスは、強制ドメインを使用する Adobe ID として残ります。ただし、ポリシーが有効になっているときにメールアドレスが例外リストから削除されると、ユーザーはそのポリシーの対象となります。
  
• 新しいユーザーメールアドレスを例外リストに追加しても、ユーザーアカウントは Admin Console に追加されません。例外リストに追加されたら、新しいユーザーのメールアドレスを Admin Console に追加し、Adobe ID アカウントを作成する必要があります。
• 同様に、例外リストからメールアドレスを削除しても、Admin Console からユーザーアカウントが削除されるわけではありません。Admin Console からユーザーを別個に削除する必要があります。
• ユーザーリストでは、強制ポリシーの対象かどうかを示すアイコンが Adobe ID の横に表示されます。
• 監査ログには、メールアドレスが例外リストに追加または削除されたときのイベントがキャプチャされます。
• アドビとの新しい契約の作成中に新しい管理者を追加したり、ライセンス web ポータルなどの様々なアドビエンタープライズコマースアプリケーションにアクセスしたりするなど、ユーザーの代わりにアドビが Adobe ID アカウントを作成する必要が生じる可能性ある、強制ドメインを活用する特定のワークフローがあります。このようなイベントは、監査ログにもキャプチャされます。

例外リストを管理

例外リストは、ドメイン強制設定で表示および編集することができます。

メールアドレスがリストに追加され、ドメイン強制制限から除外されます。例外リストを閉じます。

次の場合、ドメイン強制ディレクトリを持たない Adobe ID ユーザーを Admin Console に追加することもできます。

• ディレクトリは、ドメインが強制されるディレクトリと信頼関係にあります。
• Admin Console は、Global Admin Console 階層においてドメイン強制を伴う所有組織の子です。

所有組織の管理者は、まずメールアドレスを例外リストに追加し、Adobe ID アカウントを作成する必要があります。その後、子またはトラスティの Admin Console に、同じユーザーを Adobe ID アカウントとして追加するオプションが表示されます。

例外リストを表示を選択して、例外リスト画面で対象メールアドレスを選択した後、「選択したユーザーを削除」を選択することにより、いつでもユーザーを例外リストから削除することもできます。