跳至主内容

用户目录

访问Active Directory操作需前往 设置 > 用户目录 .

Active Directory 该部分允许您将 GravityZone邮件安全 账户与一个或多个Active Directory域进行同步。

注意

若导入的电子邮件地址不属于 GravityZone邮件安全 已跟踪的域名,新邮箱将无法导入。您可通过访问 产品配置 页面添加新域名。若邮箱已存在,导入也会失败。

gz_cl_op_pt_walkthrough_cc_ems_activedir.png

  1. 删除 按钮 - 删除选中的已同步域名。

  2. 添加 按钮 - 同步新域名。

  3. - AzureAD租户名称。

  4. 计数 - 从AD同步的对象数量。

基本信息

  • Azure Active Directory连接需与Microsoft Azure/Graph API建立信任关系。系统将每15分钟轮询一次Azure AD变更。

  • 启用 仅同步设置此属性的用户 选项将限制用户对象同步至邮件安全云账户,从而限制与所有授权产品同步的用户对象。若需使用Azure AD扩展属性,需通过Microsoft Azure Active Directory Connect工具将其同步至Azure AD。此属性过滤器支持使用分号;分隔的多个值。

  • 仅同步设置此属性的群组 选项仅限制群组同步。除非同时启用 仅同步设置此属性的用户 选项,否则用户不会被排除。此群组过滤器仅用于排除群组对象,支持使用分号;分隔的多个值。

  • 删除Active Directory连接将删除所有对象及其相关引用。

  • 若用户是Active Directory嵌套群组成员,与邮件安全同步时群组成员列表将被扁平化处理。

  • 使用Azure AD时无法指定自定义属性来获取电子邮件地址和电话号码。

  • 账户必须配置有电子邮件域名。

  • 用户对象的电子邮件地址必须与配置的电子邮件域名匹配。

    注意

    请注意,电子邮件地址应符合7位ASCII编码规范。不支持遵循RFC 6531《国际化电子邮件SMTP扩展(SMTPUTF8)》引入的特殊字符。

  • 若满足上述条件,用户电子邮件地址将显示在邮箱视图中。若邮箱视图中不存在该邮件地址(或未作为现有邮箱别名存在),邮件将被拒收。

  • Exchange通讯组列表将显示在Active Directory视图的"全部"分区中。

  • 用户对象必须先出现在Active Directory视图中,才能与电子邮件安全产品同步。

  • 服务将每分钟轮询Active Directory对象的变更,并尝试与电子邮件安全产品同步。

要求

有关此主题的更多信息,请参阅 要求 .

使用Azure Active Directory添加域

注意

添加域前,请确保已在 产品配置 > 域名 部分完成配置。

  1. 点击屏幕右上角的 添加域 emailsecadd.png 按钮并选择 Azure Active Directory .

    129289_1.png

  2. 域名 下输入名称。该名称将用于在 Active Directory 界面显示的列表中标识此域。

  3. 在下方输入您的AzureAD租户名称 租户名称 .

    注意

    如需查询租户名称的获取方法,请参阅 微软知识库文章 .

    重要提示

    您仅需配置一个Azure同步项,即可用于所有域。

  4. (可选)在 NetBIOS 下方输入特定NetBIOS名称。此操作将仅从指定NetBIOS域导入数据,而非自动搜索。

  5. (可选)勾选 仅同步具有此属性的用户 并输入属性名及值。此操作将仅将具有该特定属性的用户导入邮件安全系统。

  6. (可选)勾选 仅同步具有此属性的群组 并输入属性名及值。此操作将仅将具有该特定属性的群组导入 邮件安全系统 .

  7. 点击 添加域 按钮(位于屏幕右上角)。

    129289_2.png

通过本地Active Directory添加域

注意

添加域前,请确保已在 产品配置 > 部分完成配置。

  1. 点击 添加域 emailsecadd.png 点击屏幕右上角的按钮并选择 本地Active Directory .

    129678_5.png

  2. 填写域信息:

    1. 域名 下输入名称。这将用于在 Active Directory 界面显示的列表中标识该域。

    2. 服务器主机名 下输入域的DNS名称,或特定域控制器的主机名/IP地址。

      注意

      若要使用安装AD Connect软件的服务器,请输入localhost。

    3. 输入有效的 用户名 密码 以连接至您的域。

    4. (可选)若不想同步整个域,请取消勾选 同步整个域 复选框,并输入用作搜索根的基准DN。

    5. (可选)若不想自动检测NetBIOS名称,请取消勾选 自动检测 复选框,并输入要使用的特定NetBIOS名称。

    6. (可选)勾选 仅同步设置此属性的用户 复选框,并输入属性名和值。这将仅导入具有该特定属性的用户至邮件安全系统。

      注意

      您可以使用分号分隔符指定多个值。例如: 

      属性名 = officeLocation 值 = 伦敦;巴黎

    7. 点击 添加域 按钮。

      129678_7.psd

  3. 点击 生成密钥 按钮。

    129678_8.png

  4. 点击 添加API密钥 按钮。

    129678_9.png

  5. 复制提供的 客户端ID 客户端密钥 .

    129678_10.png

  6. 使用这些凭证配置 AD Connect .

    注意

    配置AD Connect,您需要使用 AD Connect设置工具 ,该工具在 AD Connect 安装过程中 .

使用Google Workspace添加域

  1. 登录Google Workspace 使用管理员账户登录。

  2. 进入 管理 界面。

  3. 从屏幕左侧菜单选择 安全 > 访问与数据控制 > API控制 并跳转至 全域委派 .

    EMS_user_directory_google_workspace_2_129289_en.png

  4. API客户端 区域点击 新增 .

    EMS_user_directory_google_workspace_3_129289_en.png

    系统将显示 添加新客户端ID 窗口。

  5. 输入以下信息:

    • 客户端ID : 

      106752148345867187443

    • OAuth范围 : 

      https://www.googleapis.com/auth/admin.directory.user.readonly, https://www.googleapis.com/auth/admin.directory.group.readonly, https://www.googleapis.com/auth/apps.groups.settings

  6. 点击 授权 .

    EMS_user_directory_google_workspace_4_129289_en.png

  7. 返回 电子邮件安全 控制台。

  8. 点击屏幕右上角的 添加域名 emailsecadd.png 按钮并选择 Google Workspace .

    EMS_user_directory_google_workspace_129289_en.png

    随后将显示 添加Google Workspace域名 窗口。

  9. 输入您工作区域名的详细信息:

    • 域名 栏中输入您的Google Workspace域名。

    • 凭证 栏中,输入具有查看用户和群组权限的Google Workspace用户名

    • 勾选 仅同步具有此属性集的用户 复选框,以指定用户对象必须包含给定属性值才能被同步。

      启用后,您需要在 属性名称 属性值 栏下填写信息。可通过分号( ; ) 作为分隔符。

  10. 点击 添加域 .

    EMS_user_directory_google_workspace_5_129289_en.png

域名正在同步中,此过程最多可能需要30分钟。

编辑域设置

  1. 双击需要编辑的域。

  2. 进入 设置 标签页。

  3. 进行所需修改。

  4. 点击屏幕右上角的 应用更改 按钮。

    129289_3.png

同步Active Directory

  1. 双击需要同步的域。

  2. 进入 状态 标签页。

  3. 点击同步按钮。

    129289_4.png
本节内容 :