サーバー情報を登録する

 
Active Directory/LDAPサーバー/Microsoft Entra IDを認証サーバーとして追加指定するには、認証時に使用するサーバー情報を登録する必要があります。必要に応じて接続テストを行ってください。
1
リモートUIを起動する リモートUIを起動する
2
ポータルページで[設定/登録]をクリックする リモートUIの画面について
3
[ユーザー管理]  [認証管理]をクリックする
4
[サーバー設定]  [編集...]をクリックする
5
認証サーバーとドメイン情報を設定する
[Active Directoryを利用する]
Active Directoryを利用するときはチェックマークを付けます。
[ドメインリストの設定 :]
ログイン先のActive Directory情報を自動取得するか、手動で指定するかを選びます。手動で指定するときは、[手動で設定する]を選んで[Active Directory管理]からログイン先のドメインを追加してください。
[サイト内アクセスモードを利用する]
複数のActive Directoryサーバーがある場合、本機が所属するサイト内のActive Directoryに優先してアクセスするときは、チェックマークを付けます。必要に応じて[サイト情報の取得タイミング :]と[サイトのアクセス範囲 :]を変更してください。
[サイトのアクセス範囲 :]の[デバイスが所属するサイトのみ]が設定されていても、本体の起動時にドメインコントローラーにアクセスを行う場合は、本体が所属するサイト以外へもアクセスが行われることがあります。その場合、通常はサイト内のドメインコントローラーに対してのアクセスが優先されます。例外として、サイト内のドメインコントローラーにアクセスできず、サイト外のドメインコントローラーにアクセスできた場合はサイト外のドメインコントローラーへのアクセスが優先されます。
[サービスチケットのキャッシュ数 :]
本機が保持できるサービスチケットの数を指定します。サービスチケットはログインしたことの証となるActive Directoryの機能で、同じユーザーの次回ログインにかかる時間を短縮することができます。
[LDAPサーバーを利用する]
LDAPサーバーを利用するときはチェックマークを付けます。
[Microsoft Entra IDを利用する]
Microsoft Entra IDを利用するときはチェックマークを付けます。
[タイムアウト時間]
認証サーバーとの接続を試みる時間および応答待ち時間の上限を設定します。[ログインユーザーの認証情報を保存する]を有効にしている場合に、ここで設定した時間が経過するまでログインできないときは、キャッシュに保持している認証情報を使ってログインを試みます。
[ログイン先のデフォルトドメイン :]
優先して接続するドメインを指定します。
Active Directoryのドメインを手動で指定する
LDAPサーバー情報を登録する
Microsoft Entra ID情報を設定する
6
ユーザー情報や権限の設定をする
[ログインユーザーの認証情報を保存する]
操作パネルからログインしたユーザーの認証情報を保持するときはチェックマークを付けます。キーボード認証時にログインしたユーザー情報をキャッシュする場合は、[キーボード認証時のユーザー情報を保存する]にチェックマークを付けます。設定後は、サーバーに接続できない場合でも保持した認証情報を使ってログインすることができます。必要に応じて[保存期間 :]を変更してください。
[参照するユーザー属性 :]
ユーザーの権限(ロール)を決定するために参照するサーバー上のデータフィールド(属性名)を入力します。所属グループを示す「memberOf」がすでに設定されていますので、通常はこのままお使いいただけます。
[適用するロール名を[参照するユーザー属性]から取得する]
[参照するユーザー属性 :]で指定したサーバー上のデータフィールドに登録されている文字列をそのままロール名として使用します。あらかじめ本機で選択可能なロール名を確認し、サーバー側で登録しておいてください。
[適用条件]
ユーザーの権限を決定する条件を設定できます。適用条件は上から順に適用されます。
[一致条件]
[文字列]との一致条件を選びます。
[文字列]
[参照するユーザー属性 :]で指定した属性に登録されている文字列を入力します。ユーザーの所属グループに応じた権限を設定するときは、所属グループ名を入力してください。
[ロール]
条件を満たしたユーザーに適用する権限を選びます。
Active Directoryサーバーを使用するときの[適用条件]
あらかじめ「Canon Peripheral Admins」グループの所属メンバーが[Administrator]に設定されていますので、サーバーで作成した別のグループに他の権限を割り当ててください。
7
[更新]をクリックする
8
本機を再起動する 本機を再起動する
DNSの設定について
Active Directory側でKerberosポートのポート番号を変更している場合は、さらに次の設定が必要です。
Active DirectoryのKerberosサービスの情報がSRVレコードとして次のように登録します。
サービス: 「_kerberos」
プロトコル: 「_udp」
ポート番号: Active Directoryドメイン(ゾーン)のKerberosサービスが実際に使用しているポート番号
このサービスを提供しているホスト: Active Directoryドメイン(ゾーン)のKerberosサービスを実際に提供しているドメインコントローラーのホスト名

Microsoft Entra IDにアプリを登録する

以下の手順でMicrosoft Entra IDにアプリを登録します。
サービスの更新などによって、登録方法が変更されることがあります。詳しくは、Microsoftのホームページを参照してください。
1
Microsoft Entra IDにログインする
2
ナビゲーションメニューで[Microsoft Entra ID]をクリックする
3
アプリケーションを登録する
1
ナビゲーションメニューで[アプリの登録]  [新規登録]をクリックする
2
アプリケーションの名称を入力する
任意の名称を入力します。
入力例:
Canon 「プリンター名」 Login
3
アカウントの種類を選択し、[登録]をクリックする
アプリケーション (クライアント) IDが発行されます。
発行されたIDをメモします。
4
シークレットを発行する、または証明書を登録する
シークレットを発行する場合
1
ナビゲーションメニューで[証明書とシークレット]をクリックする
2
[新しいクライアントシークレット]をクリックする
3
[クライアント シークレットの追加]ダイアログで説明と有効期限を入力し、[追加]をクリックする
シークレットID と値がそれぞれ発行されます。
発行されたシークレットの値をメモします。シークレットID は不要です。
※シークレットの値は一度しか表示されません。メモができなかった場合は、新しいクライアント シークレットを発行します。
証明書を登録する場合
あらかじめ本機の証明書をエクスポートしておく必要があります。証明書は、Microsoft Entra IDの情報を設定するときにエクスポートできます。Microsoft Entra ID情報を設定する
1
ナビゲーションメニューで[証明書とシークレット]をクリックする
2
[証明書のアップロード]をクリックする
3
ファイルを選択し、[追加]をクリックする
アップロードが完了したら、[捺印]の値をメモします。
5
ナビゲーションメニューで[APIのアクセス許可]をクリックする
6
[アクセス許可の追加]をクリックする
7
[APIアクセス許可の要求]から[Microsoft Graph]を選ぶ
8
アクセス許可の種類から[委任されたアクセス許可]を選択し、アクセス権を付与する
以下のアクセス権を付与します。
User.Read.All
Group.Read.All
GroupMember.Read.All
9
アクセス許可の種類から[アプリケーションの許可]を選択し、アクセス権を付与する
以下のアクセス権を付与します。
User.Read.All
User.ReadWrite.All(本機からICカードを登録・削除する場合)
Group.Read.All
GroupMember.Read.All
※ICカード認証を使用する場合や、多要素認証のエラーで本機にログインできない場合に、アクセス権を使用します。使用する機能や環境によっては不要です。
10
[管理者の同意を与えます]をクリックし、[はい]を選択する
選択したアクセス権に管理者の同意が付与されます。
A7YS-088