標準Azure ADから同期する場合にUPNユーザ名を使用するための準備事項

標準Azure AD同期オプション(「Microsoft Graph API」を参照) の使用もしくはユーザの移行を検討している場合、
この記事で紹介する準備事項を参照してください。

Azure AD 同期を使用するためには、ユーザ名をsAMAccountNames(もしくはMailNickNames) からUPNへ移行する必要があります。
全く新しい環境にPaperCutを導入しAzure AD同期ソースを設定する場合でも、この記事の準備事項は役立つはずです。 

注記 オンプレのWindows Active Directory同期を使用していて、UPNを使用したい場合、ガイド「管理者詳細設定ガイド(ユーザ管理)」の「12. Windowsマルチドメイン環境のユーザ名の重複を防ぐ」を参照してください。

 

UPNが重要な理由

現在、Windows Active Directory, LDAP, Azure AD Secure LDAPのいずれかの同期ソースを使用している場合、
PaperCutに同期されるユーザ名はsAMAccountNames (alex.wallaby)になります。

同期ソースを標準Azure ADへ移行する場合、PaperCutはUPN (alex.wallaby@papercut.com) をユーザ名として同期します。
これにより、クライアント・ソフトウェアのログイン方法やプリント・ジョブとPaperCutユーザ名の正しいマッチングなど、
ダウンストリームが影響を受ける可能性があります。

下記に記載する手順は、UPNをユーザ名として使用することを計画している管理者に役立つでしょう。

UPNに移行するための準備事項

　　Step1 – FAQと同期方法の機能比較を確認する

　　Step2 - テスト環境の構築

　　Step3 - 使用環境のプリント・ジョブの所有者を確認する

　　Step4 - システムのバックアップを取得する

　　Step5 (任意) - カード番号の同期の設定キー

　　Step6 – PaperCutユーザ・リストのユーザ名をリネーム

　　Step7 – 同期ソースを標準Azure ADに設定後の初回同期

　　FAQ

Step1 – FAQと同期方法の機能比較を確認する

設定に入る前に、ガイド「管理者詳細設定ガイド(システム管理)」の「4-4 ユーザ/グループ同期にAzure ADを使用する場合」の
「Azure ADもしくはAzure AD Secure LDAPの同期設定」および「FAQ」のページをご一読ください。
これらのページには、Azure AD/Azure AD Secure LDAPの比較やそれぞれの同期方法をどの機能が利用できるかを記載しています。

重要！ 標準Azure ADを使用する場合、管理者画面/ユーザ用Web画面にユーザ名とパスワードでログインできるのは、PaperCut MF/Plus Ver.21.2以降のバージョンになります。

Step2 - テスト環境の構築

このような大きな変更を実施する場合、常にテスト環境で検証する必要があります。テスト・サーバにPaperCut MFをインストールしてお試しください。
テスト・インストールでは、40日間の試用版として使用できるため、ライセンスを購入する必要はありません。

テスト環境では、標準Azure ADの同期を設定し、同期が期待通りに機能することを確認し、印刷もテストすることができます。
クライアントPCからプリント・サーバ上のプリント・キューへ、もしくはモビリティ・プリント機能やプリンタ展開を使用して印刷することができます。
理想的なのは、本番で使用する印刷方法でテストすることです。

実際の「本番データ」を使用したテスト(ユーザの移行なども含む) を検証する場合、弊社までお問合せください。
本番用のデータベースをしようしてユーザ名の変更やテスト同期を検証する場合、
テスト・サーバは可能な限り本番とは別のネットワーク上に配置することを推奨します。

テストを行わない場合、どうなる?
本番環境で設定する前にテスト環境で検証することを強く推奨します。
ただし、テストを行わずに設定せざる得ない場合、設定前にバックアップを取得することを強く推奨します。

Step3 - 使用環境のプリント・ジョブの所有者を確認する

この時点で重要なのは、PaperCutが印刷システムに入ってくるプリント・ジョブと
標準Azure AD同期でインポートしたPaperCutユーザをどのようにマッチングさせるのかを確認するため計画することです。

プリント・ジョブの所有者として、UPNもしくはsAMAccountName のいずれかが表示されるはずです。
ジョブの所有者としてUPNとsAMAccountNameのどちらが表示されるかは、
印刷方法やクライアントPCがAzure ADのドメインに参加しているかどうかによって異なります。
PaperCutは、このジョブの所有者とPaperCutのユーザ名を一致させる必要があります。

注記: Azure ADの大規模な移行の一環として、
最初にクライアントPCをAzure ADにバインドする場合に、このテストを検証環境で実施することをお勧めします。

下記図のように、alex.wallaby という名前のプリント・ジョブは、
PaperCutのユーザ名がUPN(alex.wallaby@papercut.com)である場合、一致しません。

この問題を解決するためには、PaperCut管理画面の <ログ> - <ジョブ・ログ>、またはジョブが拒否されている場合は、
<ログ> - <アプリケーション・ログ> を確認し、
Windowsのプリント・キュー(印刷ジョブの表示) を表示して、OSレベルの所有者(Owner) を確認します。

その後、ジョブの所有者のユーザ名とPaperCutのユーザ名(UPN) を一致させるための最適な方法を選択する必要があります。

プリント・ジョブの所有者がUPN(alex.wallaby@papercut.com) の場合
プリント・ジョブの所有者がUPNで表示される場合(例: alex.wallaby@papercut.com)、追加の設定は不要です。
PaperCutはプリント・ジョブの所有者のUPNとPaperCutユーザ・リストのUPNユーザ名を照合します。

プリント・ジョブの所有者がsAMAccountName (alex.wallaby) の場合
プリント・ジョブの所有者がalex.wallaby と表示され、PaperCutのユーザ名がalex.wallaby@papercut.com の場合、次のオプションがあります。

　● PaperCut Print Providerの設定ファイル「print-provider.conf」のオプション「UPNSuffix=」を
　　 「UPNSuffix=papercut.com」のようにUPNのドメイン名を追記します。これは、ドメインが1つの場合にのみ利用できます。

　● PaperCutの「ユーザ名のエイリアス」を有効化します。なお、現時点ではユーザ名のエイリアスはAzure ADから同期することができません。
　　 そのため手動で一括更新する必要があります。

プリント・ジョブの所有者がUPNでもsAMAccountNameでもない場合
プリント・ジョブの所有者がUPNやsAMAccountName以外で表示される場合、次のオプションがあります。

　● モビリティ・プリント機能を使用します。
　　 モビリティ・プリント・クライアントもしくはアプリを使用すると、ユーザ認証にUPNとパスワードが利用できます。

　● クライアント端末にPaperCutのクライアント・ソフトウェアをインストールすることにより、
　　 印刷時にUPNとパスワードを使用してユーザ認証することができます。

　● 「PROMPT」モードのプリンタ展開を使用(ユーザ認証にUPNとパスワードを使用)し、サーバの共有プリンタ(プリント・キュー) を使用している場合、
　　 上述したいずれかの方法を併用するか、モビリティ・プリント・キューに切り替えることを検討してください。

　● 環境に応じて、ユーザ名のエイリアスやユーザ名の正規化(特にジョブの所有者が「AzureAD\alex.wallaby@papercut.com」と表示されている場合に有効) の
　　 いずれかを組み合わせて使用することもできます。ユーザ名の正規化の詳細は別記事「プリンタ使用時のユーザ名の正規化」を参照してください。

プリント・ジョブの所有者が確認できない場合
プリント・ジョブの所有者のユーザ名がsAMAccountName形式で、PaperCutのユーザ名がUPN形式の場合、
PaperCutはユーザ名が一致しないと判断し、ユーザのプリント・ジョブを拒否することがあります。

Step4 - システムのバックアップを取得する

Azure ADとの最初の同期中に予期せぬ問題が発生した場合、「元に戻す」ことはできません。
設定を行う前にデータベースのバックアップを行うことを強く推奨します。

バックアップを行わない場合、どうなる?
後述する手順に失敗すると、ユーザが重複してしまう可能性があります。
サーバ・コマンドやバッチ・スクリプトを使用して復旧させることもできますが、移行前のバックアップに戻す方が簡単です。

Step5 (任意) - カード番号の同期の設定キー

(任意) 組織がカードを使用している場合、設定キー「user-source.update-user-details-card-id」の値を「Y」に設定する必要があります。

　① PaperCut管理者画面へログイン

　② <オプション> を選択し、「アクション」から「設定エディタ(応用)」をクリック

　③ クイック検索欄に「user-source.update-user-details-card-id」を入力して検索

　④ 値を「Y」に変更し、[更新]ボタンをクリック

Azure ADからPaperCutの「カード番号/ID」を同期させたい場合
 (カードリーダにカードをかざして複合機やリリースステーションにログインできるようにするため) 、
このキーの値を「Y」に設定すると、Azure ADの「EmployeeID」フィールドから「プライマリ・カード/ID 番号」に同期されます。

この設定キーを設定しない場合、どうなる?
カード番号はPaperCutに同期されません。
しかし、後からこのキーの値を「Y」に設定して再度同期をを実行すると、プライマリ・カード番号としてPaperCutにインポートされます。

Step6 – PaperCutユーザ・リストのユーザ名をリネーム

注記: 初めて同期ソースに「Azure AD」を設定して同期を実行する場合で移行対象のユーザが存在しない場合、
この手順をスキップすることができます。

ガイド「管理者詳細設定ガイド(システム管理)」の「4-4 ユーザ/グループ同期にAzure ADを使用する場合」には、
標準Azure ADを使用する場合、ユーザはUPNを使用してPaperCutに同期されることを記載しています。

現在、sAMAccountNameをユーザ名として同期ソースからPaperCutにインポートする同期ソースを使用している場合、
Azure ADからの初回同期を行う前に、すべてのPaperCut上のユーザ名をUPN形式に変更することを強く推奨します。

　● 別記事「ユーザ名の変更方法」を参考にすべてのユーザの名前をsAMAccountName(alex.wallaby)から
　　 UPN(alex.wallaby@papercut.com)にリネームしてください。

　● (任意) ガイド「管理者詳細設定ガイド(ユーザ管理)」の「8.ユーザ名のエイリアスの有効化」と「15.ユーザの一括インポートと更新」を参考に、
　　 ユーザのsAMAccountNameをユーザ名のエイリアスに一括更新してください。

ユーザ名をリネームしない場合、どうなる?
初めて標準Azure ADを使用し、すでにPaperCutに登録されているユーザを新しいAzure ADソースから再同期する場合、
次のいずれかが発生する可能性があります。

　● ユーザ名がsAMAccountName(alex.wallaby) として存在し、
　　 メール・アドレスやユーザ名のエイリアスにUPN (alex.wallaby@papercut.com) として登録されている場合、
　　 PaperCutはそのユーザを同期し、ユーザ名としてsAMAccountName (alex.wallaby)を保持します。

　● ユーザ名がsAMAccountName(alex.wallaby) として存在し、
　　 メール・アドレスやユーザ名のエイリアスにUPN(alex.wallaby@papercut.com) として登録されていない場合、
　　 PaperCutは「新規ユーザ」として「alex.wallaby@papercut.com」を同期します。
　　 そして元のユーザ名「alex.wallaby」のレコードもPaperCutデータベース上に残り、ユーザ・リストに重複したユーザが表示されてしまいます。

さらに、後続のユーザがAzure ADに追加された場合(PaperCut上にはまだ存在していない場合)、PaperCutはUPNを使用して新規ユーザとして同期します。
(例: alex.wallaby@papercut.com)
これは、これまでのすべてのユーザがUPNをメール・アドレスとして登録していた場合に問題となります。
つまり、99%のユーザのユーザ名がsAMAccountNameとして表示され、新規に追加されたユーザのユーザ名はUPNで表示されます。

結局のところ、ログイン・ユーザ名とプリント・ジョブの所有者をPaperCutのユーザ名と一致させる問題が発生する可能性があります。

Step7 – 同期ソースを標準Azure ADに設定後の初回同期

上術したステップを実行しバックアップを取得したら、標準Azure ADを同期設定し、ユーザを同期する準備が整います。

重要な注記1: 標準Azure AD同期を使用する場合、オンデマンド・ユーザ作成はデフォルトで無効になります。
これは、PaperCutのユーザ・リストに誤って重複したユーザが作成されるのを防ぐためです。

重要な注記2: Azure ADテナントでMFA/2FAを有効化している場合:
MSテナント内のセキュリティ・ポリシーでPaperCutアプリに2FAを強制しないことを確認してください。
(2FAをグローバルに無効化しなければならないという意味ではありません)
Azure ADを使用したPaperCutのユーザ/パスワード認証は、現在2FAをサポートしていません。
また、機器レベルでポリシーや条件付きアクセスを適用している場合、デバイス自体ではなく、
PaperCutアプリケーション・サーバを2FAの実行対象から除外する必要があることにも注意が必要です。

FAQ

設定キー「user-source.ad.upn-as-username」は何をするものですか?
標準Azure AD同期の使用に切り替えると、この設定キーの値は自動的に「Y」に設定されます。

注記: 同期に標準Azure AD方式を使用する場合、このキーによって同期の動作や作成されるPaperCutユーザ名の種類が変わることはありません。
同期では常にUPNがPaperCutユーザ名として登録されます。

ログインやプリント・ジョブのユーザ名を照合する際、このキーの値が「Y」に設定されていると、PaperCutは完全なUPNを保持します
(ユーザ名をsAMAccountNameに切り詰めません)。
このキーの値が誤って「N」に設定されている場合、
PaperCutはログインしようとしているユーザ名やプリント・ジョブの所有者のユーザ名からドメインを切り捨てます。
例えば、ユーザ「alex.wallaby@papercut.com」がログインしようとした場合、ユーザ名は「alex.wallaby」に切り詰められ、
PaperCutのUPNと一致しないため、ログインに失敗します。
ユーザからは「PaperCutクライアント(モビリティ・プリント/ユーザ用Web画面/プリンタ展開/クライアント・ソフトウェア)にログインできない」という
問い合わせが来る可能性があります。

また、プリント・サーバ上の共有プリンタ(プリント・キュー)に送信されるプリント・ジョブは、ユーザ名からドメインが切り捨てられている可能性があります。
PaperCutはプリント・ジョブの所有者名とPaperCutユーザ名(UPN) を一致させることができないため、
プリント・ジョブは拒否されたり、削除されたりする可能性があります。

-------------------------

https://www.papercut.com/kb/Main/UsingUPNswithAzureADSync