認証サーバー情報を登録する

外部認証サーバーとして、Active Directory／LDAPサーバー／Microsoft Entra IDを利用する場合は、使用するサーバー情報を登録します。

サーバー情報は、パソコンからリモートUIを使用して登録します。操作パネルを使用して登録することはできません。
Administrator権限が必要です。登録の反映には、本機の再起動が必要となります。

必要な準備

DNSや日付／時刻の設定など、Active Directory／LDAPサーバー／Microsoft Entra IDの使用に必要な設定が完了している必要があります。

DNSを設定する

日付／時刻を設定する

使用するActive Directory／LDAPサーバー／Microsoft Entra IDへのアクセス情報を手元に用意します。

リモートUIに管理者ユーザーでログインするリモートUIを起動する

リモートUIのポータル画面で、［設定/登録］をクリックするリモートUIのポータル画面

［ユーザー管理］

［認証管理］

［サーバー設定］

［編集］をクリックする

［サーバー設定の編集］画面が表示されます。

［認証サーバー］で、Active Directory／LDAPサーバー／Microsoft Entra IDの情報を設定する

Active Directory情報を自動取得する場合

［Active Directoryを利用する］にチェックマークを付ける

［ドメインリストの設定］で、［自動で取得する］を選択する

Active Directoryへのアクセス方法やキャッシュの数を設定する

［サイト内アクセスモードを利用する］

複数のActive Directoryサーバーがある場合に、本機が所属するサイト内のActive Directoryに優先してアクセスするときは、チェックマークを付けます。

必要に応じて、［サイト情報の取得タイミング］と［サイトのアクセス範囲］を変更します。

※［サイトのアクセス範囲］で［デバイスが所属するサイトのみ］が設定されていても、本機の起動時にドメインコントローラーにアクセスする場合は、本機が所属するサイト以外へもアクセスすることがあります。その場合、通常はサイト内のドメインコントローラーへのアクセスが優先されます。

例外として、サイト内のドメインコントローラーにアクセスできず、サイト外のドメインコントローラーにアクセスできた場合は、サイト外のドメインコントローラーへのアクセスが優先されます。

［サービスチケットのキャッシュ数］

本機が保持できるサービスチケットの数を指定します。
サービスチケットはログインしたことの証となるActive Directoryの機能で、同じユーザーが次回ログインするときにかかる時間を短縮することができます。

Active Directory情報を手動で設定する場合

［Active Directoryを利用する］にチェックマークを付ける

［ドメインリストの設定］で、［手動で設定する］を選択する

［Active Directory管理］

［OK］をクリックする

［Active Directory管理］画面が表示されます。

［ドメインの追加］をクリックする

［ドメインの追加］画面が表示されます。

Active Directory情報を設定する

［ドメイン名］

ログイン先となるActive Directoryのドメイン名を入力します。

入力例：
company.domain.com

［NetBIOS名］

NetBIOSのドメイン名を入力します。

［プライマリーホスト名またはIPアドレス］／［セカンダリーホスト名またはIPアドレス］

Active Directoryサーバーのホスト名またはIPアドレスを入力します。

※セカンダリーサーバーを利用する場合は、［セカンダリーホスト名またはIPアドレス］で指定します。

［ユーザー名］／［パスワード］

Active Directoryサーバーにアクセスして検索を行うためのユーザー名とパスワードを入力します。

［検索開始位置］

Active Directoryサーバー認証時に、ユーザー情報を検索する位置（階層）を指定します。検索開始位置を指定しない場合は、サーバーに登録されているすべてのユーザー情報が検索対象となります。

属性を設定する

［認証時に照合する属性］

ICカード認証を利用する場合は、カードのID／正当性値（再発行回数）／暗証番号が登録されている属性を、それぞれ入力します。

［ログインアカウントに設定する属性］

各ユーザーアカウントのログイン名／表示名／メールアドレスが登録されている属性を、それぞれ入力します。

［接続テスト］をクリックし、接続できることを確認する

［追加］をクリックする

サーバー情報が追加されて、［Active Directory管理］画面に戻ります。

［戻る］をクリックする

［サーバー設定の編集］画面に戻ります。

［サービスチケットのキャッシュ数］で、キャッシュの数を設定する

LDAPサーバー情報を設定する場合

［LDAPサーバーを利用する］にチェックマークを付ける

［LDAPサーバー管理］

［OK］をクリックする

［LDAPサーバー管理］画面が表示されます。

［サーバーの追加］をクリックする

［LDAPサーバーの追加］画面が表示されます。

LDAPサーバー情報を設定する

［サーバー名］

LDAPサーバーを識別するための名前を入力します。

※「localhost」は使用できません。また、半角スペースをサーバー名に含めることはできません。

［プライマリーアドレス］／［セカンダリーアドレス］

LDAPサーバーのIPアドレスまたはホスト名を入力します。

入力例：ホスト名の場合
ldap.example.com

※ループバックアドレス（127.0.0.1）は使用できません。

※セカンダリーサーバーを利用する場合は、［セカンダリーアドレス］で指定します。

［ポート番号］

LDAPサーバーとの通信で使用するポート番号を入力します。

※入力を省略した場合は、［TLSを使用する］の設定に応じて、以下のとおり設定されます。

チェックマークを付けた場合：「636」

チェックマークを外した場合：「389」

［コメント］

必要に応じて、説明やメモなどを入力します。

［TLSを使用する］

LDAPサーバーとの通信をTLSで暗号化する場合は、チェックマークを付けます。

［認証情報を使用する］

認証情報を使用してLDAPサーバー認証する場合は、チェックマークを付け、認証に使用するユーザー名とパスワードを入力します。

認証情報を使用せずに匿名でLDAPサーバー認証する場合は、チェックマークを外します。
※LDAPサーバーが匿名アクセスを許可している場合に限ります。

［検索開始位置］

LDAPサーバー認証時に、ユーザー情報を検索する位置（階層）を入力します。

属性を設定する

［認証時に照合する属性］

ユーザー名が登録されている属性を、［ユーザー名 (キーボード認証)］で入力します。

ICカード認証を利用する場合は、カードのID／正当性値（再発行回数）／暗証番号が登録されている属性を、それぞれ入力します。

［ログインアカウントに設定する属性］

各ユーザーアカウントのログイン名／表示名／メールアドレスが登録されている属性を、それぞれ入力します。

［ドメイン名の設定方法］で、ログイン先のドメイン名を設定する

ドメイン名が登録されている属性を設定する場合は、［ドメイン名を取得する属性名を指定］を選択し、属性を入力します。

［接続テスト］をクリックし、接続できることを確認する

［追加］をクリックする

サーバー情報が追加されて、［LDAPサーバー管理］画面に戻ります。

［戻る］をクリックする

［サーバー設定の編集］画面に戻ります。

Microsoft Entra ID情報を設定する場合

［Microsoft Entra IDを利用する］にチェックマークを付ける

［ドメインの設定］をクリックする

［Microsoft Entra IDのドメインの設定］画面が表示されます。

Microsoft Entra ID情報を設定する

［ログイン先の表示名］

ログイン先で表示する名称を入力します。

［ドメイン名］

ログイン先となるMicrosoft Entra IDのドメイン名を入力します。

［アプリケーションID］

アプリケーション（クライアント）IDを入力します。

［シークレット］

Microsoft Entra IDで発行したシークレットを入力します。［鍵と証明書］を使用する場合は、入力する必要はありません。

［鍵と証明書］

鍵と証明書を使用する場合は、［鍵と証明書］をクリックし、Microsoft Entra IDに登録する証明書を設定します。鍵のアルゴリズムがRSA 2048 bit以上で署名アルゴリズムがSHA256／SHA384／SHA512のものを選択します。
［証明書のエクスポート］を押すと、Microsoft Entra IDに登録する証明書をエクスポートできます。

［Microsoft Entra ID認証URL］／［Microsoft Entra ID API URL］

URLを入力します。ご使用のクラウド環境によっては変更する必要があります。［シークレット］を使用する場合は、入力する必要はありません。

属性を設定する

［認証時に照合する属性］

使用するICカードのIDや正当性値（再発行回数）を、それぞれ入力します。

［ログインアカウントに設定する属性］

［ログイン名］

各ユーザーアカウントのログイン名が登録されている属性を、プルダウンメニューで選択します。

※プルダウンメニューに表示されない属性を指定したい場合は、属性を直接入力することもできます。

［WindowsLogonName］：
Microsoft Entra IDからdisplayNameを取得します。以下の内容で変更されたdisplayNameがログイン名となります。

displayNameから、半角スペースおよび * + , . / : ; < > = ? \ [ ] |の記号が削除されます。

@および@以降の文字は削除されます。

20 文字を超える文字列の場合は、20 文字以内の文字列に変更されます。

例：displayNameが「user.001@example.com」の場合
user001

［displayName］：
Microsoft Entra IDから取得したdisplayNameがログイン名となります。

［userPrincipalName］：
Microsoft Entra IDから取得したuserPrincipalNameがログイン名となります。

［userPrincipalName-Prefix］：
Microsoft Entra IDから取得したuserPrincipalNameの@以前がログイン名となります。
例：userPrincipalNameが「user.002@mail.test」の場合
user.002

［表示名］／［メールアドレス］

各ユーザーアカウントの表示名／メールアドレスが登録されている属性を、それぞれ入力します。

［ログインアカウントに設定するドメイン名］の［ドメイン名］で、ログイン先のドメイン名を設定する

［キーボード認証時のユーザー名入力補完］の［補完するドメイン名］を設定する

補完するドメイン名を入力します。通常は、［ドメイン名］と同じにします。

［接続テスト］をクリックし、接続できることを確認する

［更新］をクリックする

［サーバー設定の編集］画面に戻ります。

［認証タイムアウト］で、認証開始からタイムアウトするまでの時間を入力する

［デフォルトドメイン］で、優先して接続するドメインを指定する

［ユーザー情報のキャッシュ］で、ユーザーの認証情報を保持するかどうかを設定する

操作パネルからログインしたユーザーの認証情報を保持する場合は、［ログインユーザーの認証情報を保存する］にチェックマークを付けます。手順5で設定した時間内に認証サーバーに接続できなかった場合は、キャッシュに保持した認証情報を使用してログインすることができます。

キーボード認証時にログインしたユーザーの認証情報を保持する場合は、［キーボード認証時のユーザー情報を保存する］にもチェックマークを付けます。チェックマークを付けると、サーバーに接続できない場合でも、保持した認証情報を使用してログインできます。

［ロールの関連付け］で、ユーザー情報や権限の設定をする

［参照するユーザー属性］

ユーザーの権限（ロール）を決定するために参照するサーバー上の属性を入力します。所属グループを示す「memberOf」があらかじめ設定されているため、通常はこのまま使用できます。

［適用するロール名を［参照するユーザー属性］から取得する］

［参照するユーザー属性］で指定した属性に登録されている文字列をそのままロール名として使用する場合は、チェックマークを付けます。あらかじめ本機で選択可能なロール名を確認し、サーバー側で登録しておく必要があります。

［適用条件］

ユーザーの権限を決定する条件を設定できます。条件は、上から順に適用されます。

［一致条件］で、［文字列］との一致条件を選択します。

［文字列］に、［参照するユーザー属性］で指定した属性に登録されている文字列を入力します。ユーザーの所属グループに応じた権限を設定する場合は、所属グループ名を入力します。

［ロール］で、条件を満たしたユーザーに適用する権限を選択します。

※Active Directoryサーバーを使用する場合は、あらかじめ「Canon Peripheral Admins」グループの所属メンバーが［Administrator］に設定されています。

［更新］をクリックする

本機を再起動する再起動する

登録が反映されます。

メモ

認証情報のキャッシュ保存を禁止する

外部認証サーバーへのログイン時に入力したパスワードのキャッシュ保存を禁止できます。［認証パスワードのキャッシュ保存を禁止］

キャッシュ保存を禁止した場合、手順7の［ログインユーザーの認証情報を保存する］の設定が自動的に無効になります。手順7の設定を有効にする場合は、［ログインユーザーの認証情報を保存する］にチェックマークを付け、認証サーバー情報を更新します。

Active Directory側でKerberosポートのポート番号を変更している場合

以下の情報をSRVレコードとしてDNSサーバーに登録します。

サービス：「_kerberos」

プロトコル：「_udp」

ポート番号：Active Directoryドメイン（ゾーン）のKerberosサービスが実際に使用しているポート番号

このサービスを提供しているホスト：Active Directoryドメイン（ゾーン）のKerberosサービスを実際に提供しているドメインコントローラーのホスト名

Microsoft Entra ID にアプリを登録する

以下の手順でMicrosoft Entra IDにアプリを登録します。
サービスの更新などによって、登録方法が変更されることがあります。詳しくは、Microsoftのホームページを参照してください。

Microsoft Entra ID にログインする

ナビゲーションメニューで［Microsoft Entra ID］をクリックする

アプリケーションを登録する

ナビゲーションメニューで［アプリの登録］

［新規登録］をクリックする

アプリケーションの名称を入力する

任意の名称を入力します。
入力例：
Canon 「プリンター名」 Login

アカウントの種類を選択し、［登録］をクリックする

アプリケーション (クライアント) IDが発行されます。
発行されたIDをメモします。

シークレットを発行する、または証明書を登録する

シークレットを発行する場合

ナビゲーションメニューで［証明書とシークレット］をクリックする

［新しいクライアントシークレット］をクリックする

［クライアントシークレットの追加］ダイアログで説明と有効期限を入力し、［追加］をクリックする

シークレットIDと値がそれぞれ発行されます。
発行されたシークレットの値をメモします。シークレットIDは不要です。
※シークレットの値は一度しか表示されません。メモができなかった場合は、新しいクライアントシークレットを発行します。

証明書を登録する場合

あらかじめ本機の証明書をエクスポートしておく必要があります。証明書は、Microsoft Entra IDの情報を設定するときにエクスポートできます。認証サーバー情報を登録する

ナビゲーションメニューで［証明書とシークレット］をクリックする

［証明書のアップロード］をクリックする

ファイルを選択し、［追加］をクリックする

アップロードが完了したら、［拇印］の値をメモします。

ナビゲーションメニューで［API のアクセス許可］をクリックする

［アクセス許可の追加］をクリックする

［API アクセス許可の要求］から［Microsoft Graph］を選ぶ

アクセス許可の種類から［委任されたアクセス許可］を選択し、アクセス権を付与する

以下のアクセス権を付与します。

User.Read.All

Group.Read.All

GroupMember.Read.All

アクセス許可の種類から［アプリケーションの許可］を選択し、アクセス権を付与する

以下のアクセス権を付与します。

User.Read.All

User.ReadWrite.All（本機からICカードを登録・削除する場合）

Group.Read.All

GroupMember.Read.All

※ICカード認証を使用する場合や、多要素認証のエラーで本機にログインできない場合に、アクセス権を使用します。使用する機能や環境によっては不要です。

［管理者の同意を与えます］をクリックし、［はい］を選択する

選択したアクセス権に管理者の同意が付与されます。