跳至主内容

用户目录

要访问Active Directory操作,请前往 设置 > 用户目录 .

Active Directory 模块允许您将 GravityZone邮件安全 账户与一个或多个Active Directory域进行同步。

注意

若导入的电子邮件地址不属于 GravityZone邮件安全防护 若导入的邮箱地址不属于已监控域名,新邮箱将无法导入。您可通过访问 产品配置 页面添加新域名。若邮箱已存在,导入同样会失败。

gz_cl_op_pt_walkthrough_cc_ems_activedir.png

  1. 删除 按钮 - 删除选中的已同步域名。

  2. 添加 按钮 - 同步新域名。

  3. 来源 - AzureAD租户名称。

  4. 计数 - 从AD同步的对象数量。

基本信息

  • Azure Active Directory连接需与Microsoft Azure/Graph API建立信任关系。系统将每15分钟轮询Azure AD变更。

  • 启用 仅同步设置此属性的用户 选项将限制用户对象同步至邮件安全云账户,从而限制与所有授权产品同步的用户对象。若需使用Azure AD扩展属性,需通过Microsoft Azure Active Directory Connect工具进行同步。此属性过滤器支持使用分号;分隔的多值配置。

  • 仅同步设置此属性的群组 选项仅限制群组同步。除非同时启用 仅同步设置此属性的用户 选项,否则用户不会被排除。此群组过滤器仅用于排除群组对象,支持分号;分隔的多值配置。

  • 删除Active Directory连接将清除所有对象及相关引用。

  • 若用户是Active Directory嵌套群组成员,群组成员列表在与邮件安全同步时将展平处理。

  • 使用Azure AD时无法通过自定义属性获取电子邮件地址和电话号码。

  • 账户必须配置电子邮件域名。

  • 用户对象必须拥有与配置域名匹配的电子邮件地址。

    注意

    请注意电子邮件地址应符合7位ASCII编码规范。不支持RFC 6531《国际化电子邮件SMTP扩展(SMTPUTF8)》引入的特殊字符。

  • 满足上述条件后,用户邮箱地址将显示在邮箱视图中。若地址未显示(或未作为现有邮箱别名存在),邮件将被拒收。

  • Exchange通讯组列表将在Active Directory视图的"全部"部分显示。

  • 用户对象必须先出现在Active Directory视图中,才能与电子邮件安全产品同步。

  • 服务将每分钟轮询Active Directory对象的变更,并尝试将其与电子邮件安全产品同步。

要求

有关此主题的更多信息,请参阅 要求 .

使用Azure Active Directory添加域

注意

添加域前,请确保已在 产品配置 > 部分完成配置。

  1. 点击屏幕右上角的 添加域 emailsecadd.png 按钮,并选择 Azure Active Directory .

    129289_1.png

  2. 下输入名称。该名称将用于在 Active Directory 界面显示的列表中标识此域。

  3. 租户名称 .

    注意

    关于如何查找租户名称的信息,请参考此 Microsoft知识库文章 .

    重要提示

    您仅需一个Azure同步项即可管理所有域。

  4. (可选)在 NetBIOS 下方输入特定NetBIOS名称。这将仅从指定NetBIOS域导入数据,而非自动搜索。

  5. (可选)勾选 仅同步具有此属性的用户 复选框并输入属性名及值。这将仅将具备该特定属性的用户导入至邮件安全系统。

  6. (可选)勾选 仅同步具有此属性的群组 复选框并输入属性名及值。这将仅将具备该特定属性的群组导入至 邮件安全系统 .

  7. 点击 添加域 按钮(位于屏幕右上角)。

    129289_2.png

通过本地Active Directory添加域

注意

添加域前,请确保已在 产品配置 > 部分完成配置。

  1. 点击屏幕右上角的 添加域 emailsecadd.png 按钮并选择 本地Active Directory .

    129678_5.png

  2. 填写域信息:

    1. 域名 下方输入名称。该名称将用于在 Active Directory 界面显示的列表中标识此域名。

    2. 服务器主机名 处输入域名的DNS名称,或特定域控制器的主机名/IP地址。

      注意

      若要使用安装AD Connect软件的服务器,请输入localhost。

    3. 输入有效的 用户名 密码 以连接至您的域。

    4. (可选)若不想同步整个域,请取消勾选 同步整个域 框,并输入用作搜索根的基准DN。

    5. (可选)若不想自动检测NetBIOS名称,请取消勾选 自动检测 框,并输入要使用的特定NetBIOS名称。

    6. (可选)勾选 仅同步具有此属性集的用户 框并输入属性名及值。这将仅导入具有该特定属性的用户至邮件安全系统。

      注意

      您可以使用分号分隔符指定多个值,例如: 

      属性名 = officeLocation 值 = 伦敦;巴黎

    7. 点击 添加域 按钮。

      129678_7.psd

  3. 点击 生成密钥 按钮。

    129678_8.png

  4. 点击 添加API密钥 按钮。

    129678_9.png

  5. 复制提供的 客户端ID 客户端密钥 .

    129678_10.png

  6. 使用这些凭证配置 AD Connect .

    注意

    :要 配置AD Connect,您需要使用 AD Connect设置工具 ,该工具会作为 AD Connect 安装 .

使用Google Workspace添加域名

  1. 使用管理员账户登录Google Workspace

  2. 进入 管理员 部分。

  3. 从屏幕左侧的菜单中转到 安全 > 访问与数据控制 > API控制 并进入 全域委派 .

    EMS_user_directory_google_workspace_2_129289_en.png

  4. API客户端 部分点击 新增 .

    EMS_user_directory_google_workspace_3_129289_en.png

    随后 添加新客户端ID 窗口将显示。

  5. 输入以下信息:

    • 客户端ID : 

      106752148345867187443

    • OAuth范围 : 

      https://www.googleapis.com/auth/admin.directory.user.readonly, https://www.googleapis.com/auth/admin.directory.group.readonly, https://www.googleapis.com/auth/apps.groups.settings

  6. 点击 授权 .

    EMS_user_directory_google_workspace_4_129289_en.png

  7. 返回 邮件安全 控制台。

  8. 点击 添加域名 emailsecadd.png 按钮位于屏幕右上角并选择 Google Workspace .

    EMS_user_directory_google_workspace_129289_en.png

    随后 添加Google Workspace域名 窗口将显示。

  9. 输入您工作空间域名的详细信息:

    • 域名 栏中输入您的Google Workspace域名。

    • 凭证 栏中输入具有查看用户和群组权限的Google Workspace用户名

    • 勾选 仅同步具有此属性的用户 复选框以指定用户对象必须包含的属性和对应值才能进行同步。

      启用后,需填写 属性名称 属性值 栏中的信息。多个属性值可用分号( ; )分隔添加。

  10. 点击 添加域名 .

    EMS_user_directory_google_workspace_5_129289_en.png

域名正在同步中,此过程最多可能需要30分钟。

编辑域设置

  1. 双击您要编辑的域。

  2. 转到 设置 选项卡。

  3. 进行所需的修改。

  4. 点击 应用更改 屏幕右上角的按钮。

    129289_3.png

同步Active Directory

  1. 双击您要同步的域。

  2. 转到 状态 选项卡。

  3. 点击同步按钮。

    129289_4.png
本节 :