ID 設定/ディレクトリを選択します。
最終更新日 :
2024年12月11日
システム管理者は、組織所有のドメインを制限し、ユーザーが個人の Adobe ID アカウントを作成および使用できないようにすることができます。これにより、個人データの使用が制限されて、セキュリティが強化され、組織ユーザー間でのみアセットの共有が可能になります。
ドメインの強制を使用するには、組織が以下の前提条件を満たしていることを確認する必要があります。
- 組織には、Adobe Admin Console で確立されているクレームされたドメインを持つ 1 つ以上のエンタープライズディレクトリまたはフェデレーションディレクトリが必要です。
- Admin Console でドメインの強制を表示および管理するには、システム管理者のアクセス許可が必要です。
組織所有のドメインで新しい Adobe ID アカウントの作成をブロックする
組織が所有するドメイン上のすべてのユーザーで統一されたフェデレーションログインワークフローを容易にする
組織が所有するドメイン上のユーザーアカウントとプロファイルの数を制御する
エンタープライズストレージにおけるエンドユーザー間のコラボレーションを促進する
組織が所有するドメインでの個人使用を目的としたソフトウェアの購入をブロックする
新たに作成されたすべてのエンタープライズディレクトリとフェデレーションディレクトリでは、ドメインの強制がデフォルトで有効になっています。ドメイン強制ポリシーが有効になっているディレクトリ内のすべてのドメインで、認証が制限されます。ユーザーは、ポリシーが有効なディレクトリにリンクされた制限付きドメインを使用して、新しいアカウントを作成することはできません。
ドメインの強制により、以下の方法でユーザーとディレクトリを管理することができます。
- 組織が所有するドメインにおける Adobe ID アカウントの作成を制限する
- 組織内の Adobe ID アカウントを持つ既存のユーザーを Enterprise ID アカウントまたは Federated ID アカウントに移行し、ライセンスとストレージへのアクセスにセキュアログインを要求する
- 強制ドメインの Adobe ID アカウントを持つユーザーを示すレポートを生成する
- 組織が所有するドメインを使用している既存の Adobe ID アカウントに、アカウントに関連付けられたメールアドレスを個人用アドレスに変更するよう要求する
Adobe Admin Console の「設定」に移動して、Adobe Admin Console でディレクトリとそのドメインの強制ステータスを表示します。次に、ドメインの強制ステータスがオンに設定されているディレクトリを選択し、ドメインの強制設定セクションを表示します。
ドメインの強制をオフにする
警告:
ディレクトリに対してドメインの強制をオンのままにしておくことを強くお勧めします。ドメインの強制のオンとオフを頻繁に切り替えると、ユーザーのログイン時に中断が発生する可能性があります。
以下の手順に従って、任意のディレクトリのドメインの強制をオフにすることができます。
-
-
ドメインの強制トグルの選択を解除します。
Admin Console の「インサイト」セクションにアクセスし、「ログ」を選択すると、いつでもドメイン適用ポリシーに関連する変更を表示することができます。
ドメインの強制のベストプラクティス
組織のニーズに合わせてドメインとディレクトリを設定することにより、ドメインの強制機能を最大限に活用することができます。
- ドメインをディレクトリにリンクする:特定のドメインに関連付けられたユーザーが新しいアカウントを作成したり、組織のメールアドレスを個人用に使用したりできないようにするには、 ドメインをドメイン強制対応ディレクトリにリンクする必要があります。
- ドメインを別のディレクトリに転送する:1 つ以上のドメインに関連付けられているユーザーが組織のメールアドレスを個人用に使用できるようにするには、それらのドメインを 1 つのターゲットディレクトリに転送する必要があります。次に、このターゲットディレクトリのドメインの強制をオフにします。
- 自動アカウント作成を許可する:ユーザーが組織所有のメールアドレスのみを使用して Federated ID を作成できるようにするには、ドメインの強制と自動アカウント作成の両方を有効にする必要があります。
「メールの変更が必要」ポリシーを有効にする前に、ユーザーの ID タイプを編集して、既存の Adobe ID ユーザーを Enterprise ID または Federated ID に転送することをお勧めします。これにより、ディレクトリ内のすべてのユーザーが一貫したログインエクスペリエンスを得られるようになり、組織のユーザーによる意図しない変更要求を防ぐことができます。
Admin Console で「ユーザー」を選択し、3 つのドットのメニューから「ID のタイプを一括編集」に移動します。
この機能を使用すると、強制ディレクトリ内の既存の Adobe ID アカウントが、関連付けられている電子メールアドレスを変更するよう強制できます。電子メール変更機能が有効になっている場合、Adobe ID ユーザーは最初のログイン試行後 30 日以内に電子メールアドレスを変更できます。30 日後、アカウントとデータにアクセスするには、電子メールアドレスを変更する必要があります。
有効にすると、ポリシーの影響を受けるユーザーが次回ログインしたときに「電子メールアドレスを更新」というメッセージが表示されます。混乱を避けるため、メールの変更が必要設定を有効にする前に、この変更についてユーザーに通知してください。
注意:
- 「メールの変更が必要」ポリシーが有効な場合、例外リスト上のメールアドレスは免除となり、強制ドメインを使用する Adobe ID として残ります。どの時点においてもメールアドレスが例外リストから削除され、メールの変更を要求する機能が有効になっている場合、ユーザーはポリシーの対象となります。
- ユーザーに関連付けられたデータは影響を受けません。ユーザーは、いつでもメールアドレスを変更してアプリやデータの使用を開始できます。
- この機能を最初に使用した後でオフにした場合、まだ電子メールアドレスを変更していないユーザーに、電子メールアドレスを更新メッセージが表示されなくなります。ただし、影響を受けるディレクトリからドメインの強制が削除されない限り、メールアドレスの変更を完了したユーザーは、変更を元に戻すことも、古いメールアドレスで新しい Adobe ID を作成することもできません。
このユーザーレポートを使用すると、アカウントに関連付けられたメールアドレスにおいてクレームされたドメインを使用している Adobe ID のリストを表示することができます。1 時間おきに各組織内の任意のディレクトリのレポートをダウンロードすることができます。
レポートには、個人用アカウントで最新のアドビ利用条件に同意したユーザーのメールアドレスのリストが表示されます。Adobe ID ユーザーのリストをダウンロードするには、Adobe Admin Console に移動し、インサイト/レポートを選択します。
例外リストを使用すると、定義されたユーザーがドメイン強制ポリシーをバイパスし、管理されたメールアドレスで個人用 Adobe ID アカウントを使用できるようになります。
システム管理者は例外リストを使用して、サービスアカウントを追加したり、SSO の問題をトラブルシューティングしたり、メールの変更を要求する設定からユーザーを戦略的に除外したりすることができます。
