エンタープライズ グループ

エンタープライズグループの概要

エンタープライズ グループを設定すると、Cisco Unified Communications Manager は、データベースを外部 LDAP ディレクトリと同期するときにユーザ グループを含めます。 Cisco Unified CM の管理では、[ユーザグループ(User Groups)] ウィンドウで同期されたグループを表示できます。

この機能は、管理者が以下を行う場合にも役立ちます。

  • 機能のコメント セット(たとえば、セールス チームやアカウンティング チーム)と同様の特性を持つユーザのプロビジョニング。

  • 特定のグループのすべてのユーザを対象にしたメッセージの送信。

  • 特定のグループのすべてのメンバーへの統一されたアクセスの設定

この機能は、Cisco Jabber ユーザが共通特性を共有するユーザの連絡先リストをすばやく作成するのにも役立ちます。 Cisco Jabber ユーザは、外部 LDAP ディレクトリでユーザ グループを検索し、それらを連絡先リストに追加できます。 たとえば、Jabber ユーザは外部 LDAP ディレクトリを検索してセールス グループを連絡先リストに追加することで、すべてのセールス チーム メンバーを連絡先リストに追加することができます。 グループが外部ディレクトリで更新されると、ユーザの連絡先リストは自動的に更新されます。

エンタープライズ グループは、Windows 上の Microsoft Active Directory で外部 LDAP ディレクトリとしてサポートされています。


(注)  


エンタープライズ グループ機能を無効にすると、Cisco Jabber ユーザは、エンタープライズ グループを検索したり、自分の連絡先リストに追加済みのグループを表示したりできません。 ユーザがログイン中にその機能を無効にすると、そのユーザがログアウトするまでグループは表示されます。 ユーザが再度ログインすると、グループは表示されません。


セキュリティ グループ

セキュリティ グループは、エンタープライズ グループのサブ機能です。 Cisco Jabber ユーザは、セキュリティ グループを検索して、自分の連絡先リストに追加できます。 この機能を設定するには、管理者がカスタマイズした LDAP フィルタを設定し、設定された LDAP ディレクトリの同期に適用する必要があります。 セキュリティ グループは、Microsoft Active Directory でのみサポートされています。

許可されるエントリの最大数

エンタープライズ グループを設定するときは、グループを処理する連絡先リストの最大値を設定してください。

  • 連絡先リストで許可されるエントリの最大数は、連絡先リスト内のエントリ数と、すでに連絡先リストに追加されているグループ内のエントリ数の合計です。

  • 連絡先リストの最大エントリ数=(連絡先リストのエントリ数)+(グループのエントリ数)

  • エンタープライズグループ機能が有効になっている場合、連絡先リストのエントリ数が許可されている最大エントリ数より少ない場合、Cisco Jabber ユーザはグループをコンタクトリストに追加できます。 機能が無効になっているときに許容される最大エントリ数を超えると、その機能が有効になるまでユーザは制限されません。 機能が有効になってからユーザが引き続きログインすると、エラーメッセージは表示されません。 ユーザがログアウトして再度ログインすると、余分な項目をクリアするように求めるエラーメッセージが表示されます。

エンタープライズ グループの前提条件

この機能は、以下の条件で LDAP ディレクトリの同期スケジュールを設定していることを前提としています。 LDAP ディレクトリ同期を設定方法の詳細については、『System Configuration Guide for Cisco Unified Communications Manager』の「Import Users from LDAP Directory」の章を参照してください。

  • Cisco DirSync サービスが有効になっている必要があります。

  • LDAP ディレクトリ同期には、ユーザとグループの両方が含まれている必要があります。

  • 通常の LDAP ディレクトリ同期は、[LDAPディレクトリ同期スケジュール(LDAP Directory Synchronization Schedule)]で設定されているとおりにスケジュールされている必要があります。

サポートされる LDAP ディレクトリ

エンタープライズ グループでは、Microsoft Active Directory のみがサポートされています。

エンタープライズ グループの設定タスク フロー

エンタープライズグループ機能を設定するためにこれらのタスクを完了して下さい。

手順

  コマンドまたはアクション 目的

ステップ 1

LDAP ディレクトリからのグループ同期の確認

LDAP ディレクトリの同期にユーザとグループの両方が含まれていることを確認します。

ステップ 2

エンタープライズ グループの有効化

Cisco Jabber ユーザが Microsoft Active Directory のエンタープライズ グループを検索して自分の連絡先リストに追加できるようにするには、次のタスクを実行します。

ステップ 3

セキュリティグループを有効にする

(任意)Cisco Jabber ユーザがセキュリティ グループを検索して自分の連絡先リストに追加できるようにするには、次のタスク フローを完了します。

ステップ 4

ユーザ グループの表示

(オプション)Cisco Unified Communications Manager データベースと同期する エンタープライズ グループおよびセキュリティ グループを表示します。

LDAP ディレクトリからのグループ同期の確認

この手順を使用して、LDAP ディレクトリの同期にユーザとグループの両方が含まれていることを確認します。

手順


ステップ 1

[Cisco Unified CM 管理(Cisco Unified CM Administration)] から、以下を選択します。サーバ > LDAP > LDAPディレクトリ

ステップ 2

[検索(Find)]をクリックし、エンタープライズ グループを同期する LDAP ディレクトリを選択します。

ステップ 3

[同期(Synchronize)]フィールドで [ユーザとグループ(Users and Groups)]が選択されていることを確認します。

ステップ 4

[LDAPディレクトリの設定(LDAP Directory configuration)] ウィンドウの残りのフィールドに入力します。 フィールドとその設定のヘルプについては、オンラインヘルプを参照してください。

ステップ 5

[保存(Save)] をクリックします。


エンタープライズ グループの有効化

LDAP ディレクトリ同期にエンタープライズグループを含めるようにシステムを設定します。

手順


ステップ 1

Cisco Unified CM の管理から、[システム(System)] > [エンタープライズパラメータ(Enterprise Parameters)] を選択します。

ステップ 2

[ユーザ管理パラメータ(User Management Parameters)]で、[Cisco IM and Presenceでのディレクトリグループの操作(Directory Group Operations on Cisco IM and Presence)]パラメータを [有効(Enabled)]に設定します。

ステップ 3

[プレゼンス情報を許可するためにサイズ設定された最大エンタープライズグループ(Maximum Enterprise Group Sized to allow Presence Information)]パラメータの値を入力します。 許可される範囲は 1 ~ 200 ユーザで、デフォルト値は 100 ユーザです。

ステップ 4

[エンタープライズグループの同期モード(Syncing Mode for Enterprise Groups)] ドロップダウン リストから、定期的に実行する LDAP 同期を [なし(None)][差分同期(Differential Sync)][完全同期(Full Sync)] から選択して設定します。

(注)  

 
これらのフィールドの構成の詳細については、エンタープライズ パラメータのヘルプを参照してください。

ステップ 5

[保存(Save)] をクリックします。


セキュリティグループを有効にする

Cisco Jabber ユーザがセキュリティ グループを自分の連絡先リストに追加できるようにする場合は、以下のオプションのタスクを実行して、セキュリティ グループを LDAP ディレクトリ同期に追加します。


(注)  


セキュリティ グループの同期は、Microsoft Active Directory からのみ実行できます。

(注)  


最初の同期がすでに発生した Cisco Unified Communications Manager では、LDAP ディレクトリの既存の構成に新しい設定を追加できません。


手順

  コマンドまたはアクション 目的

ステップ 1

セキュリティ グループ フィルタの作成

ディレクトリ グループとセキュリティ グループの両方をフィルタ処理する LDAP フィルタを作成します。

ステップ 2

LDAP ディレクトリからセキュリティグループを同期する

新しい LDAP フィルタを LDAP ディレクトリ同期に追加します。

ステップ 3

セキュリティグループのための Cisco Jabber の設定

既存のサービス プロファイルを更新して、そのサービス プロファイルに関連付けられた Cisco Jabber ユーザに、セキュリティ グループを検索および追加するためのアクセス権が付与されるようにします。

セキュリティ グループ フィルタの作成

セキュリティ グループをフィルタリングする LDAP フィルタを作成します。

手順

ステップ 1

[Cisco Unified CM 管理(Cisco Unified CM Administration)] から、以下を選択します。システム > LDAP > ldap フィルタ

ステップ 2

[新規追加] をクリックします。

ステップ 3

[フィルタ名]ボックスに一意の名前を入力します。 例えば、syncSecurityGroups

ステップ 4

[フィルタ(Filter)] ボックスに (&(objectClass=group)(CN=*)) と入力します。

ステップ 5

[保存(Save)] をクリックします。


LDAP ディレクトリからセキュリティグループを同期する

LDAP ディレクトリ同期にセキュリティ グループ フィルタを追加し、同期を完了します。


(注)  


最初の LDAP 同期がすでに発生している場合、Cisco Unified Communications Manager では、LDAP ディレクトリの既存の構成に新しい設定を追加できません。



(注)  


LDAP ディレクトリ同期を新しく設定する方法の詳細については、『System Configuration Guide for Cisco Unified Communications Manager』の「Configure End Users」の項目を参照してください。


始める前に

セキュリティ グループ フィルタの作成

手順

ステップ 1

Cisco Unified CM の管理で、[システム(System)] > [LDAP(LADP)] > [LDAP ディレクトリ(LDAP Directory)] を選択します。

ステップ 2

次のいずれかを実行します。

  • [新規追加(Add New)] をクリックして、新しい LDAP ディレクトリを作成します。
  • [検索(Find)] をクリックして、同期されるセキュリティ グループから LDAP ディレクトリを選択します。

ステップ 3

[グループの LDAP カスタム フィルタ(LDAP Custom Filter for Groups)] ドロップダウン リストから、作成したセキュリティ グループ フィルタを選択します。

ステップ 4

[保存] をクリックします。

ステップ 5

[LDAP ディレクトリの構成(LDAP Directory Configuration)] ウィンドウの残りのフィールドを設定します。 フィールドと設定オプションの詳細については、オンライン ヘルプを参照してください。

ステップ 6

[完全同期を今すぐ実施(Perform Full Sync Now)] をクリックして、すぐに同期します。 これを行わない場合には、セキュリティ グループはスケジュールされた LDAP 同期が次に発生した際に同期されます。


セキュリティグループのための Cisco Jabber の設定

既存のサービスプロファイルを更新して、そのサービスプロファイルに関連付けられているCisco JabberユーザがLDAPディレクトリから自分の連絡先リストにセキュリティグループを追加できるようにします。


(注)  


新しいサービス プロファイルを設定し、Cisco Jabber ユーザに割り当てる方法の詳細については、『System Configuration Guide for Cisco Unified Communications Manager』の章「Configure Service Profiles」を参照してください。


始める前に

LDAP ディレクトリからセキュリティグループを同期する

手順

ステップ 1

[サービス プロファイルの設定(Service Profile Configuration)] ウィンドウの残りのフィールドに入力します。 フィールドとその設定のヘルプについては、オンラインヘルプを参照してください。

ステップ 2

[検索(Find)] をクリックし、Jabber ユーザが使用するサービス プロファイルを選択します。

ステップ 3

[ディレクトリ プロファイル(Directory Profile)] で、[Jabber にセキュリティ グループの検索と追加を許可(Allow Jabber to Search and Add Security Groups)] チェックボックスをオンにします。

ステップ 4

[保存] をクリックします。

このサービスプロファイルに関連付けられた Cisco Jabber ユーザは、セキュリティグループを検索して追加できるようになります。

ステップ 5

Cisco Jabber ユーザが使用するすべてのサービスプロファイルに対して、この手順を繰り返します。


ユーザ グループの表示

次の手順を使用して、Cisco Unified Communications Manager データベースと同期されている エンタープライズグループおよびセキュリティグループを表示できます。

手順


ステップ 1

Cisco Unified CM Administration で、次のいずれかを選択します。ユーザ管理 > ユーザ設定 > ユーザ・グループ

[ユーザ グループの検索/一覧表示(Find and List User Group)] ウィンドウが表示されます。

ステップ 2

検索条件を入力して [検索(Find)] をクリックします。

検索条件に一致するユーザ グループのリストが表示されます。

ステップ 3

ユーザグループに属するユーザの一覧を表示するには、必要なユーザグループをクリックします。

[ユーザ グループの設定(User Group Configuration)] ウィンドウが表示されます。

ステップ 4

検索条件を入力して [検索(Find)] をクリックします。

検索条件に一致するユーザのリストが表示されます。

リスト内のユーザをクリックすると、[エンド ユーザの設定(End User Configuration)] ウィンドウが表示されます。


エンタープライス グループの導入モデル(Active Directory)

エンタープライズ グループ機能は、Active Directory 用に次の 2 つの導入オプションを提供します。


重要


Cisco Intercluster Sync Agent サービス経由でデータを同期する前に、クラスタ 1 とクラスタ 2 に、UserGroup レコード、UserGroupMember レコード、UserGroupWatcherList レコードの一意のセットが含まれていることを確認します。 両方のクラスタにレコードの一意のセットが含まれている場合、同期後には両方のクラスタにすべてのレコードのスーパー セットが含められています。


エンタープライズ グループ導入モデル 1

この導入モデルでは、クラスタ 1 とクラスタ 2 が Microsoft Active Directory からの異なるユーザとグループのサブセットを同期します。 Cisco Intercluster Sync Agent サービスは、データをクラスタ 2 からクラスタ 1 に複製して、ユーザとグループの完全なデータベースを作成します。

図 1. エンタープライズ グループ導入モデル 1


エンタープライズ グループ導入モデル 2

この導入モデルでは、クラスタ 1 が Microsoft Active Directory からのすべてのユーザとグループを同期します。 クラスタ 2 は、Microsoft Active Directory からのユーザのみを同期します。 Cisco Intercluster Sync Agent サービスは、グループ情報をクラスタ 1 からクラスタ 2 に複製します。


注意    


この導入モデルを使用する場合は、1 つのクラスタ内のグループ データだけが同期されていることを確認します。 そうでない場合は、エンタープライズ グループ機能が想定どおりに機能しません。

[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [プレゼンス(Presence)] > [クラスタ間設定(Inter-Clustering)]ウィンドウで設定を確認できます。

クラスタ間ピアテーブルで [エンタープライズグループLDAP設定(Enterprise Groups LDAP Configuration)] パラメータのステータスを確認します。 [矛盾は見つかりませんでした(No conflict found)]は、ピア間に設定ミスがないことを意味します。 矛盾が見つかった場合は、[エンタープライズ グループの矛盾(Enterprise GroupConflicts)] リンクをクリックして、表示された [詳細(details)]ボタンをクリックします。 これにより、レポート ウィンドウが開いて、詳細なレポートが表示されます。


図 2. エンタープライズ グループ導入モデル 2


エンタープライズ グループの制限事項

表 1. エンタープライズ グループの制限事項

制限事項

説明

全員をブロック(Block everyone)

Cisco Jabber ユーザが [全員をブロック] を有効にした場合このブロックは、Cisco Jabber ポリシー設定内の機能であるため、ブロックしているユーザの連絡先リストに連絡先としてリストされていない限り、他の Jabber ユーザがブロックしているユーザとの IM and Presence の表示または交換を禁止します。

たとえば、Cisco Jabber ユーザ(Andy)は、自分の個人的な Jabber 設定内の[全員をブロック]を有効にしています。 次のリストは、Andy の個人用連絡先リストに含まれているかどうかにかかわらず、Andy のブロックが他の Jabber ユーザにどのように影響するかを示しています。 ブロックに加えて、Andy には以下のような個人用連絡先リストがあります。

  • Bob を含む - Bob は Andy の個人用連絡先リストに登録されているため、ブロックしていても IM を送信したり、Andy のプレゼンスを表示したりできます。

  • キャロルを省略 - ブロックされているので、キャロルはアンディのプレゼンスを表示したり、IM を送信したりできません。

  • 個人的な連絡先として Deborah を省略します。 ただし、Deborah は、Andy が連絡先としてリストしている企業グループのメンバーです - Deborah は、Andy のプレゼンスを表示したり、Andy に IM を送信したりすることはできません。

Andy の連絡先リストの企業グループのメンバーであるにもかかわらず、Deborah は Andy のプレゼンスを閲覧したり、IM を Andy に送信したりすることはできないことに留意してください。 エンタープライズグループ連絡先の動作の詳細については、CSCvg48001 を参照してください。

10.x クラスタとのクラスタ間ピアリング

エンタープライズ グループは、リリース 11.0(1) 以降でサポートされます。

同期されたグループに 10.x クラスタ間ピアからのグループ メンバーが含まれている場合、より高いクラスタ上のユーザは 10.x クラスタからの同期されたメンバーのプレゼンスを確認できません。 これは、エンタープライズ グループの同期用に 11.0(1) で導入されたデータベース更新が原因です。 この更新は 10.x リリースの一部ではありません。

より高いクラスタをホームにしているユーザが 10.x クラスタをホームにしているグループ メンバーのプレゼンスを確認できることを保証するには、より高いクラスタ上のユーザが自分の連絡先リストに 10.x ユーザを手動で追加する必要があります。 手動で追加されたユーザに関するプレゼンスの問題は存在しません。

複数レベルのグループ分け

複数レベルのグループ分けは、グループ同期に対して許可されません。

グループ専用同期

ユーザ グループとユーザが同じ検索ベース内に存在する場合、グループ専用同期は許容されません。 代わりに、ユーザ グループとユーザが同期されます。

ユーザ グループの最大数

Microsoft Active Directory サーバから Unified Communications Manager データベースに最大 15000 のユーザ グループを同期できます。 各ユーザグループには 1 ~ 200 人のユーザを含めることができます。[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [サービスパラメータ(Service Parameters)] ウィンドウで、正確な数量を設定できます。

データベース内のユーザ アカウントの最大数は 160,000 を超えることはできません。

ユーザ グループの移行

ユーザ グループを組織単位間で移動する場合は、元の単位に対して完全同期を実行してから、新しい単位に対して完全同期を実行する必要があります。

ローカル グループ

ローカル グループはサポートされません。 Microsoft Active Directory から同期されたグループのみがサポートされます。

IM and Presence Service ノードに割り当てられていないグループ メンバー

IM and Presence Service ノードに割り当てられていないグループ メンバーは、プレゼンス バブルが灰色表示されて連絡先リストに表示されます。 ただし、これらのメンバーは、連絡先リストで許可されるユーザの最大数を計算する際に考慮されます。

Microsoft Office Communications Server からの移行

Microsoft Office Communications Server からの移行中は、ユーザが IM and Presence Service ノードに完全に移行されるまで、グループ エンタープライズ機能がサポートされません。

LDAP 同期

同期の進行中に、[LDAPディレクトリの設定(LDAP Directory Configuration)]ウィンドウで同期オプションを変更しても、既存の同期は影響を受けません。 たとえば、同期の進行中に同期オプションを [ユーザとグループ(Users and Groups)] から [ユーザのみ(Users Only)] に変更しても、ユーザとグループの同期はそのまま継続されます。

エッジ経由のグループ検索機能

エッジ経由のグループ検索機能は、このリリースで提供されますが、完全にテストされているわけではありません。 そのため、エッジ経由のグループ検索のフル サポートは保証できません。 フル サポートは今後のリリースで提供される予定です。

Cisco Intercluster Sync Agent サービスの定期同期

外部 LDAP ディレクトリでグループ名またはグループ メンバー名を更新すると、定期 Cisco Intercluster Sync Agent サービス同期の後でしか Cisco Jabber 連絡先リストが更新されません。 通常、Cisco Intercluster Sync Agent サービスの同期は 30 分ごとに実行されます。

LDAP 設定内の別々の同期アグリーメント経由のユーザとユーザ グループの同期

ユーザとユーザ グループが同じ同期アグリーメントの一部として Cisco Unified Communications Manager データベースに同期されている場合は、同期後に、Cisco Unified Communications Manager データベースで、想定されているようにユーザとグループの関連付けが更新されます。 ただし、ユーザとユーザ グループが別々の同期アグリーメントの一部として同期されている場合は、最初の同期後、ユーザとグループはデータベースで関連付けされないことがあります。 データベース内のユーザとグループの関連付けは、同期アグリーメントが処理される順序によって異なります。 ユーザがグループより前に同期された場合は、データベース内でグループを関連付けに使用できない可能性があります。 その場合は、グループとの同期アグリーメントがユーザとの同期アグリーメントより前にスケジュールされるようにします。 そうでない場合は、グループをデータベースに同期した後、ユーザは次の手動同期または定期的に同期タイプを設定してユーザとグループとして同期した後にグループに関連付けられます。 契約の同期タイプがユーザとグループとして設定されている場合にのみ、ユーザおよび対応するグループ情報がマップされます。

.

エンタープライズ グループの検証済 OVA 情報

検証 シナリオ

2 つのクラスタを持つクラスタ間の導入では、クラスタ A とクラスタ B が使用されています。

クラスタ A は、Active Directory から同期される 160 k ユーザの IM and Presence Service で 15K OVA および 15K ユーザが有効になっています。 15K OVA クラスタでは、ユーザあたりのエンタープライズグループの検証され、サポートされる平均数は 13 のエンタープライズ グループです。

クラスタ B では、Active Directory から同期される 160 k ユーザの IM and Presence Service で 25K OVA および 25K ユーザが有効になっています。 25K OVA クラスタでは、ユーザあたりのエンタープライズグループの検証され、サポートされる平均数は 8 のエンタープライズ グループです。

名簿に記載されているユーザの個人連絡先と、ユーザの名簿に含まれるエンタープライズグループからの連絡先の、検証済およびサポートされる合計は、200 以下です。

(注)  

 
2 つ以上のクラスタがある環境では、これらの数量はサポートされていません。

連絡先リストのエクスポート

[一括管理(Bulk Administration)] > [連絡先リスト(Contact List)] > [連絡先リストのエクスポート(Export Contact List)] を使用してユーザの連絡先リストをエクスポートする場合、連絡先リスト CSV ファイルには Jabber クライアントに含まれるエンタープライズグループの詳細は含まれません。