API 駆動型インバウンド プロビジョニング アプリの構成
はじめに
このチュートリアルでは、API 駆動型インバウンド ユーザー プロビジョニングを構成する方法について説明します。
この機能は、次のエンタープライズ ギャラリー アプリを構成する場合にのみ使用できます。
- Microsoft Entra ID への API 駆動型インバウンド ユーザー プロビジョニング
- オンプレミス AD への API 駆動型インバウンド ユーザー プロビジョニング
前提条件
このチュートリアルの手順を完了するには、次のロールで Microsoft Entra 管理センターにアクセスする必要があります。
- アプリケーション管理者 (Microsoft Entra ID へのインバウンド ユーザー プロビジョニングを構成する場合) または
- [アプリケーション管理者] + [ハイブリッド ID 管理者] (オンプレミス Active Directory へのインバウンド ユーザー プロビジョニングを構成する場合)
オンプレミス Active Directory へのインバウンド ユーザー プロビジョニングを構成する場合は、Active Directory ドメイン コントローラーに接続するためのプロビジョニング エージェントをインストールできる Windows Server へのアクセス権が必要です。
API 駆動型プロビジョニング アプリの作成
少なくともアプリケーション管理者として Microsoft Entra 管理センターにログインします。
ID>アプリケーション>エンタープライズ アプリケーション を参照します。
[新しいアプリケーション] をクリックして、新しいプロビジョニング アプリケーションを作成します。
検索フィールドに「API-driven」と入力し、セットアップするアプリケーションを選択します。
- オンプレミスの AD への API 駆動型インバウンド ユーザー プロビジョニング: レコードのシステムからハイブリッド ID (オンプレミス AD と Microsoft Entra アカウントの両方を必要とする ID) をプロビジョニングする場合は、このアプリを選択します。 これらのアカウントがオンプレミス AD でプロビジョニングされると、Microsoft Entra Connect 同期または Microsoft Entra Connect クラウド同期を使用して Microsoft Entra テナントに自動的に同期されます。
- Microsoft Entra ID への API 駆動型インバウンド ユーザー プロビジョニング: レコードのシステムからクラウドのみの ID (オンプレミス AD アカウントを必要とせず、Microsoft Entra アカウントのみを必要とする ID) をプロビジョニングする場合は、このアプリを選択します。
[名前] フィールドで、自分の名前付け要件を満たすようにアプリケーションの名前を変更し、[作成] をクリックします。
Note
複数のソースからデータを取り込む予定で、それぞれ独自の同期規則を使用する場合は、複数のアプリを作成し、各アプリにわかりやすい名前 (
Provision-Employees-From-CSV-to-ADやProvision-Contractors-From-SQL-to-ADなど) を付けることができます。アプリケーションの作成が正常に完了したら、[プロビジョニング] ブレードに移動し、[開始する] をクリックします。
![[開始する] ボタンのスクリーンショット。](media/inbound-provisioning-api-configure-app/provisioning-overview-get-started.png)
[プロビジョニング モード] を [手動] から [自動] に切り替えます。
![[開始する] ボタンのスクリーンショット。](media/inbound-provisioning-api-configure-app/provisioning-overview-get-started.png#lightbox)
選択したアプリに応じて、次のいずれかのセクションを使用してセットアップを完了します。
オンプレミス AD への API 駆動型インバウンド プロビジョニングの構成
- [プロビジョニング モード] を [自動] に設定した後、[保存] をクリックしてプロビジョニング ジョブの初期構成を作成します。
- Microsoft Entra プロビジョニング エージェントに関する情報バナーをクリックします。
- [利用規約に同意してダウンロードする] をクリックして、Microsoft Entra プロビジョニング エージェントをダウンロードします。
- ここに記載されている手順を参照して、プロビジョニング エージェントをインストールして構成します。 この手順では、オンプレミス Active Directory ドメインを Microsoft Entra テナントに登録します。
- エージェントの登録が正常に完了したら、ドロップダウン [Active Directory ドメイン] でそのドメインを選択し、新しいユーザー アカウントが既定で作成される OU の識別名を指定します。
Note
ご使用の AD ドメインが [Active Directory ドメイン] ドロップダウン リストに表示されない場合は、ブラウザーでプロビジョニング アプリを再読み込みします。 [そのドメインのオンプレミス エージェントを表示] をクリックして、エージェントの状態が正常であることを確認します。
- [テスト接続] をクリックして、Microsoft Entra ID がプロビジョニング エージェントに接続できることを確かめます。
- [保存] をクリックして変更を保存します。
- 保存操作が正常に完了すると、さらに 2 つの拡張パネル ([マッピング] 用と [設定] 用) が表示されます。 次の手順に進む前に、有効な通知メール ID を指定し、構成をもう一度保存します。
Note
[設定] で [Notification Email](通知用メール) を指定することは必須です。 [通知用メール] が空のままの場合、プロビジョニングは実行の開始時に検査されます。
- [マッピング] 拡張パネルでハイパーリンクをクリックして、既定の属性マッピングを表示します。
注意
[Attribute Mappings](属性マッピング) ページの既定の構成では、SCIM Core ユーザーとエンタープライズ ユーザーの属性がオンプレミス AD 属性にマップされます。 既定のマッピングを使用して開始し、全体的なデータ フローに慣れてきたら、後でカスタマイズすることをお勧めします。
- 「プロビジョニング要求の受け入れ開始」セクションの手順に従って、構成を完了します。
Microsoft Entra ID への API 駆動型インバウンド ユーザー プロビジョニングを構成する
[プロビジョニング モード] を [自動] に設定した後、[保存] をクリックしてプロビジョニング ジョブの初期構成を作成します。
保存操作が正常に完了すると、さらに 2 つの拡張パネル ([マッピング] 用と [設定] 用) が表示されます。 次の手順に進む前に、有効な通知メール ID を指定し、構成をもう一度保存する必要があります。
Note
[設定] で [Notification Email](通知用メール) を指定することは必須です。 [通知用メール] が空のままの場合、プロビジョニングは実行の開始時に検査されます。
[マッピング] 拡張パネルでハイパーリンクをクリックして、既定の属性マッピングを表示します。
注意
[Attribute Mappings](属性マッピング) ページの既定の構成では、SCIM Core ユーザーとエンタープライズ ユーザーの属性がオンプレミス AD 属性にマップされます。 既定のマッピングを使用して開始し、全体的なデータ フローに慣れてきたら、後でカスタマイズすることをお勧めします。
「プロビジョニング要求の受け入れ開始」セクションの手順に従って、構成を完了します。
プロビジョニング要求の受け入れ開始
- プロビジョニング アプリケーションの [プロビジョニング]>[概要] ページを開きます。
- このページでは、以下のアクションを実行できます。
- [プロビジョニングの開始] 制御ボタン – このボタンをクリックすると、プロビジョニング ジョブをリッスン モードにして、インバウンド一括アップロード要求ペイロードを処理できます。
- [プロビジョニングの停止] 制御ボタン – このオプションを使用すると、プロビジョニング ジョブを一時停止/停止することができます。
- [プロビジョニングの再開] 制御ボタン – このオプションを使用すると、処理を保留中の既存の要求ペイロードを消去し、新しいプロビジョニング サイクルを開始できます。
- [プロビジョニングの編集] 制御ボタン – このオプションを使用すると、ジョブ設定、属性マッピングを編集したり、プロビジョニング スキーマをカスタマイズしたりできます。
- [要求時にプロビジョニング] 制御ボタン – この機能は、API 駆動型インバウンド プロビジョニングではサポートされていません。
- プロビジョニング API エンドポイント URL テキスト – 表示されている HTTPS URL 値をコピーし、後で API クライアントで使用するためにメモ帳または OneNote に保存します。
- [現在までの統計情報]>[技術情報の表示] パネルを展開し、プロビジョニング API エンドポイント URL をコピーします。 API を呼び出すための権限を付与した後、この URL を API 開発者と共有します。