Dropbox 的 Active Directory 連接器

管理員可以利用 Active Directory 管理 Dropbox Business 團隊的成員資格。有了 Dropbox Active Directory 連接器,Active Directory 上的任何變更都會自動同步到 Dropbox。

在 Dropbox 管理員主控台對 AD 進行的變更,皆不適用於 AD 連接器。AD 連接器會覆寫管理員主控台中對受管理成員的變更。

您可以聯絡我們的身分管理合作夥伴,讓他們進一步協助您設定 Dropbox Business 帳戶的 AD 連接器。

這篇文章的區段:

步驟 1:查閱 AD 連接器的最佳操作方式。

操作需求:

  • 所有您想由 Active Directory 同步至 Dropbox 的使用者,都必須是位於單一 AD 網域的有效使用者
  • PowerShell 4.0 或更高版本
  • Windows 伺服器 2008 (或更高版本)
  • 遠端伺服器管理工具

建議事項:

  • 建立一個叫「Dropbox」的群組,並把您想要佈建的所有成員都加進來。您可以把使用者和群組都加至此 Dropbox 群組。
  • 以唯讀模式將 AD 連接器安裝至伺服器 (AD 連接器僅會同步 AD 方的變更)。
  • 由舊版 AD 連接器升級:若您要將 AD 連接器由 2.0.1 版升級至 2.0.2 版,通常只需安裝新版,即可正確更新。不過,若您是從主版本升級至另一主版本 (由 1.0 版升級至 2.0 版),必須先取消安裝目前的版本,才能更新成新版本。
  • 使用目前的 AD 連接器時,我們建議您不要一次由 Active Directory 同步超過 10,000 名使用者。若您想要藉由 AD 連接器同步 10,000 名以上的使用者,請與您的 Dropbox 客戶關係團隊聯絡。

返回選單

步驟 2:下載 AD 連接器 Microsoft 安裝程式 (MSI)。

返回選單

步驟 3:安裝 AD 連接器。

  1. 找到並執行 Dropbox-AD-Connector.msi 安裝程式。
  2. 按一下 [Next],繼續安裝精靈。
  3. 勾選方格接受條款,再按一下 [Next]。
  4. 按一下 [Next],在預設路徑進行安裝。
  5. 按一下 [Install],若出現「User Account Control (UAC)」視窗,請選擇 [Yes]。
  6. 新手指南 (Get Started) 已預設勾選,如果您已開啟此份指南,請取消勾選。
  7. 選擇 [Finish] 結束安裝。

返回選單

步驟 4:設定配置 AD 連接器工具。

完成配置 AD 連接器有五個步驟:

  1. 設定。
  2. 同步 Active Directory 中的使用者。
  3. 同步 Active Directory 中的群組。
  4. 紀錄。
  5. 電子郵件通知。

請仔細遵照每一步驟進行,以完成設定:

設定

  1. 在您的桌面上找到並打開 Configure AD Connector 捷徑。
  2. 按一下 [Get OAuth2 Token],連結至您 Dropbox Business 團隊的團隊管理員。
    • 若需要的話,以 Dropbox Business 團隊的管理員身分登入 Dropbox
    • 若需要的話,請准許 AD 連接器存取應用程式
  3. 複製憑證。
  4. 把複製的憑證貼上 [OAuth 2 DfB Token] 欄位。
  5. 若您想測試設定,請勾選 [Simulation Mode]。
    • 備註:執行模擬模式時,您的 Dropbox Business 團隊不會遭到任何變更

AD 連接器配置

同步 Active Directory 的使用者

  1. 選擇您想要與 Dropbox Business 團隊同步的 Active Directory 群組。
    • 最簡單的就是建立一個叫做「Dropbox」的 Active Directory 群組
  2. 確認您已將 [Email Attribute] 設為 [Email Address]。
  3. 選擇 [Manage existing users],將變更內容同步至透過 Dropbox Business 管理員主控台中手動建立的使用者。

同步 Active Directory 的群組

  1. 選擇您是否要同步群組至您的 Dropbox Business 團隊 (非必要)。
  2. 若要同步群組,請選擇您是否要續用您用來同步使用者的群組。
  3. 若您選擇將群組同步至不同的群組,請選擇群組名稱。

紀錄

  1. 如果您想把紀錄檔儲存在不同的路徑,請點選 [Change]。
    • 注意:若您沒有提供不同的檔案路徑,紀錄檔便會儲存至預設位置:C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

電子郵件通知

  1. 若您希望收到電子郵件通知,請點選 [Settings]。
    • 注意:請使用連接埠 587 或 25 (未加密);連接埠 465 目前未受支援
  2. 完成所有區塊後,請使用 [Test Connection],確認配置無誤。
  3. 完成電子郵件設定後,請點選 [OK]。

電子郵件通知設定

完成

  1. 按一下 [Save] 以保留所有設定。

返回選單

步驟 5:執行 AD 連接器測試,確認運作正常。

  1. 在桌面找到 [Run AD Connector] 捷徑。
  2. 在 [Run AD Connector] 工具上按右鍵,選擇 [Run as Administrator]。
  3. 查看結果,確保使用者都如預期般列入清單。
  4. 如果是的話,重新開啟 Config AD Connector 工具,並取消勾選 [Simulation Mode]。
  5. 使用 [Run AD Connector] 工具,將新成員同步至您的 Dropbox Business 團隊。

返回選單

步驟 6:找到排定工作並執行。

  1. 前往 Program Files \ Dropbox \ AD Connector \ Helpers。
  2. 在 [AD-Connector-CreateTask.bat] 上按右鍵,選擇 [Run as Administrator]。
  3. 開啟 Windows 伺服器專用的工作排程器 (Task Scheduler) 應用程式。
  4. 開啟 [Dropbox Tasks] 資料夾。
  5. Dropbox AD 連接器工作上按右鍵,並選擇 [Enable]。
    • 備註:若您找不到此項工作,請在工作排程器資料庫上按右鍵,並點選 [Refresh]。
  6. 在工作上按右鍵,並選擇 [Run]。
  7. 確認測試執行成功:請查看 AD 連接器同步紀錄。
  8. 確認邀請已送給團隊成員:查看 Dropbox Business 管理員主控台中的 [成員] 頁面

建立排程工作時的注意事項

  • 預設上,這項作業會在當地時間每天早上 2 點執行一次
  • 您可以增加此工作的頻率,但我們建議每次間隔不要少於三小時
  • 為確保各個排程工作不相互干擾,在 [Settings] 分頁中選擇 [Do not start a new instance]:

返回選單

排程工作設定

進階設定與疑難排解 (選擇性)

群組與 Dropbox Active Directory 連接器

Active Directory 中的群組會與 Dropbox 同步,但 Dropbox 上的群組不會同步到 AD。Dropbox Business 中的變更內容不會同步回 Active Directory。從 Dropbox Business 刪除群組,並不會同時在 Active Directory 刪除該群組。如要同時刪除 Dropbox Business 和 Active Directory 裡的群組,您必須:

  • 移除 Active Directory 同步群組中的所有成員
  • 從配置步驟中移除該同步群組

提醒您:

  • 如果您在 Active Directory 和 Dropbox Business 中有多個名稱相同的群組,群組會同步失敗。系統會產生一筆錯誤紀錄。
  • 您無法在 Dropbox 上將群組置於其他群組中。Dropbox Business 中的群組不能有多層結構。每個群組皆是單層結構,不能容納其他群組。

若選擇將使用者和群組同步至單一群組會怎樣?

若群組中有使用者不在受同步的群組中,該群組便不會同步至 Dropbox Business。

如果我以另一個 Active Directory 群組與使用者帳戶同步,原本的群組會以什麼方式同步到 Dropbox?

系統會同步使用者同步群組中的所有使用者,而在使用者同步群組中的群組則會被忽略。在群組同步群組中的使用者也會被系統略過,除非該使用者同時也存在使用者群組中。放置在使用者同步群組中的群組會被系統略過,除非該群組也存在群組同步群組中。

帳戶移轉與 Dropbox Active Directory 連接器

AD 連接器並不支援將帳戶自動移轉給另一名團隊成員。不過,已刪除的帳戶 (及任何相關檔案) 都會保存在管理員主控台,您可以從 Dropbox 管理員主控台移轉或永久刪除帳戶內容。團隊管理員可以透過 Dropbox 管理員主控台移轉帳戶

遠端清除與 Dropbox Active Directory 連接器

透過 AD 連接器暫停使用者權限或刪除使用者時,所有裝置都會自動被遠端移除。若您要移除使用者或裝置,但不要遠端移除所有內容,請改用管理員主控台。

如果 Active Directory 連接器同步失敗,我該怎麼做?

每次執行 AD 連接器時,紀錄檔尾端都會多出一個結束代碼,該代碼可以說明發生錯誤的原因或是指明出錯的環節。下列表格列舉了發生錯誤的可能原因。

  • 備註:若執行成功,AD 連接器會記錄下「0

程式碼

失敗原因

修正錯誤的方法

-1

Powershell 版本未受支援

  • 升級至 Powershell 4、5 或更新的版本

-10

無法讀取配置檔

  • 若您手動編輯了配置檔,可能其中出現我們的程式碼無法判讀的檔案錯誤。請重新啟動配置程式碼以複寫手動編輯
  • 檢查配置檔的權限設定。執行程式碼應擁有執行此檔案的權限
  • 重新執行配置檔以儲存新檔案

-11

必須有管理員權限才能執行程式碼

  • 選擇程式碼後,按右鍵並選擇 [run with admin privileges]

-12

無法初始化 Active Directory 模組

  • 確認已設定 AD,並與 AD 連接器位於同一裝置
  • 確認 AD 擁有程式碼權限
  • 確認同步群組中的成員少於 5000 名,包括子群組 (2.0 版不支援 5000 名以上的使用者)

-13

初始化 Dropbox Business API 失敗

-14

無法由 Dropbox Business API 擷取團隊資料

  • 查看錯誤代碼
  • 確認 OAuth 憑證有效 (重新執行配置程式碼以取得新的 OAuth 憑證)
  • 確認管理員驗證成功且團隊仍然存在
  • 確認可在 status.dropbox.com 上存取 dropbox.com

-15

在已配置的 Active Directory 群組中找不到使用者

  • 確認已選取的群組含有您想要同步的使用者 (系統只會將位於此群組中的使用者同步至您的 Dropbox Business 團隊)

-16

無法由 Dropbox Business API 取得團隊成員

  • 再試一次。可能是網路臨時出了問題
  • 確認可在 status.dropbox.com 上存取 dropbox.com

-17

同步時發生錯誤

  • 再試一次。可能是網路臨時出了問題
  • 查看裝置是否受其他工作或錯誤中斷
  • 確認同步群組中的成員少於 5000 名,包括子群組 (2.0 版不支援 5000 名以上的使用者)
  • 使用目前的 2.0 版本時,我們建議您將同步群組的大小限制在 2000 名以下名使用者
  • 聯絡 Dropbox 支援服務

AD 連接器執行程序有哪些階段?

第 1 階段:辨識受管理的使用者。

AD 連接器只會更新受管理的使用者。在以下條件符合時會辨識受管理的使用者:

  1. AD 連接器會先完成佈建工作。a) 使用者的電子郵件地址加入已配置的 Active Directory 群組中,且 b) 該電子郵件地址存在於 Dropbox Business 中時,便會進行佈建。
  2. 使用者是您 Dropbox Business 團隊的現有使用者。「現有使用者」表示該電子郵件地址同時出現在團隊成員清單和已配置的 Active Directory 群組中。

備註: 

  • 此項只有在 AD 連接器配置中勾選了管理現有使用者的方塊時才會執行。
  • 如果上述兩個條件有一項不符合,該使用者就會認定為未受管理,不會經由 AD 連接器更新。對大多數的管理員來說,管理現有使用者是最佳的執行選項。

第 2 階段:僅更新受管理使用者的使用者資訊。

  • 使用者名字
  • 使用者姓氏
  • 使用者電子郵件地址

AD 連接器能確保 Dropbox Business 和第 1 階段中受管理使用者 AD 的外部 ID 相符。

例外:AD 連接器並不會更新 Dropbox Business 中處於「已邀請」(但未加入) 狀態的使用者資訊。AD 連接器會在後續的執行過程中,重新嘗試更新。

第 3 階段:僅更新受管理使用者的使用者狀態。

  • 停用受管理的使用者並不會將使用者從您的 Dropbox Business 團隊中移除,也不會由 AD 同步群組中移除使用者。這些使用者只是在您的 Dropbox Business 中,被暫停權限而已。
  • 對於在第一步被認定為受管理的使用者來說:AD 連接器會更新 Dropbox Business 中的使用者狀態 (有效、已停用、或已刪除),以符合 AD 中的使用者狀態。

返回選單

身分管理合作夥伴 (選擇性)

若要整合 Dropbox 與 Active Directory,您必須:

  • 要是 Dropbox Business 帳戶的團隊管理員
  • 擁有 Dropbox 身分管理服務夥伴的帳戶,Dropbox Business API 執行的整合工具

您可以聯絡我們的身分管理服務夥伴,進一步瞭解他們提供的 Dropbox 專屬方案:

Dropbox 與 Active Directory 的整合讓使用者能輕鬆管理帳戶及使用單一登入 (SSO)。若您對此整合服務有其他問題,請聯絡 Dropbox 銷售團隊或 Okta 及 OneLogin 的技術支援服務。

返回選單

這篇文章有多大幫助?

很遺憾聽到這個消息。
若有什麼可以改善的地方,請告訴我們:

感謝您的意見。
請告訴我們這篇文章在哪方面對您有幫助:

感謝您的意見。

社群解答