概要
このチュートリアルでは、 API 主導の受信ユーザー プロビジョニングを構成する方法について説明します。
この機能は、次のエンタープライズ ギャラリー アプリを構成するときにのみ使用できます。
- Microsoft Entra ID への API 駆動型インバウンド ユーザー プロビジョニング
- オンプレミス AD への API 駆動型インバウンド ユーザー プロビジョニング
前提条件
このチュートリアルの手順を完了するには、次のロールで Microsoft Entra 管理センターにアクセスする必要があります。
- アプリケーション管理者 (Microsoft Entra ID への受信ユーザー プロビジョニングを構成している場合) または
- アプリケーション管理者 + ハイブリッド ID 管理者 (オンプレミス Active Directory への受信ユーザー プロビジョニングを構成している場合)
オンプレミス Active Directory へのインバウンド ユーザー プロビジョニングを構成する場合は、Active Directory ドメイン コントローラーに接続するためのプロビジョニング エージェントをインストールできる Windows Server へのアクセス権が必要です。
API 駆動型プロビジョニング アプリを作成する
Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてログインします。
[Entra ID]>[エンタープライズ アプリ] に移動します。
検索フィールドに 「API ドリブン 」と入力し、セットアップ用のアプリケーションを選択します。
- オンプレミス Active Directory への API 駆動型プロビジョニング: レコードシステムからハイブリッド ID (オンプレミス AD と Microsoft Entra アカウントの両方を必要とする ID) をプロビジョニングする場合は、このアプリを選択します。 これらのアカウントがオンプレミス AD でプロビジョニングされると、Microsoft Entra Connect Sync または Microsoft Entra Connect クラウド同期を使用して Microsoft Entra テナントに自動的に同期されます。
- Microsoft Entra ID への API 駆動型プロビジョニング: 記録システムからクラウドのみの ID (オンプレミスの AD アカウントを必要とせず、Microsoft Entra アカウントのみが必要な ID) をプロビジョニングする場合は、このアプリを選択します。
[ 名前 ] フィールドで、名前付け要件を満たすようにアプリケーションの名前を変更し、[ 作成] をクリックします。
注
複数のソースからデータを取り込む予定で、それぞれ独自の同期規則を使用する場合は、複数のアプリを作成して、それぞれアプリにわかりやすい名前 (
Provision-Employees-From-CSV-to-AD
やProvision-Contractors-From-SQL-to-AD
など) を付けることができます。プロビジョニング モードを手動から 自動に切り替えます。
選択したアプリに応じて、次のいずれかのセクションを使用してセットアップを完了します。
オンプレミス AD への API 駆動型インバウンド プロビジョニングを構成する
- [プロビジョニング モード] を [自動] に設定した後、[ 保存 ] をクリックして、プロビジョニング ジョブの初期構成を作成します。
- Microsoft Entra プロビジョニング エージェントに関する情報バナーをクリックします。
- [ 同意する] を クリックして、Microsoft Entra プロビジョニング エージェントをダウンロードします。
- プロビジョニング エージェントをインストールして構成するには、ここに記載されている手順を参照してください。 この手順により、オンプレミス Active Directory ドメインが Microsoft Entra テナントに登録されます。
- エージェントの登録が成功したら、ドロップダウン Active Directory ドメイン でドメインを選択し、新しいユーザー アカウントが既定で作成される OU の識別名を指定します。
注
AD ドメインが [Active Directory ドメイン ] ドロップダウン リストに表示されない場合は、ブラウザーでプロビジョニング アプリを再読み込みします。 ドメインの オンプレミス エージェントの表示 をクリックして、エージェントの状態が正常であることを確認します。
- [ テスト接続 ] をクリックして、Microsoft Entra ID がプロビジョニング エージェントに接続できることを確認します。
- [ 保存 ] をクリックして変更を保存します。
- 保存操作が成功すると、さらに 2 つの拡張パネル ( マッピング 用と 設定用) が表示されます。 次の手順に進む前に、有効な通知用メール ID を指定して、構成をもう一度保存してください。
注
[設定] で通知メールを指定することは必須です。 [通知用メール] が空欄のままの場合、実行を開始するとプロビジョニングは検疫状態になります。
- [ マッピング ] 拡張パネルでハイパーリンクをクリックして、既定の属性マッピングを表示します。
注
[属性マッピング] ページの既定の構成では、SCIM Core ユーザー属性とエンタープライズ ユーザー属性がオンプレミスの AD 属性にマップされます。 既定のマッピングを使用して開始し、全体的なデータ フローに慣れてきたら、後でカスタマイズすることをお勧めします。
- 「プロビジョニング要求の受け入れ開始」セクションの手順に従って、構成を完了します。
Microsoft Entra ID への API 駆動型インバウンド ユーザー プロビジョニングを構成する
[プロビジョニング モード] を [自動] に設定した後、[ 保存 ] をクリックして、プロビジョニング ジョブの初期構成を作成します。
保存操作が成功すると、さらに 2 つの拡張パネル ( マッピング 用と 設定用) が表示されます。 次の手順に進む前に、有効な通知用メール ID を指定して、構成をもう一度保存してください。
注
[設定] で通知メールを指定することは必須です。 [通知用メール] が空欄のままの場合、実行を開始するとプロビジョニングは検疫状態になります。
[ マッピング ] 拡張パネルでハイパーリンクをクリックして、既定の属性マッピングを表示します。
注
[属性マッピング] ページの既定の構成では、SCIM Core ユーザー属性とエンタープライズ ユーザー属性がオンプレミスの AD 属性にマップされます。 既定のマッピングを使用して開始し、全体的なデータ フローに慣れてきたら、後でカスタマイズすることをお勧めします。
「プロビジョニング要求の受け入れ開始」セクションの手順に従って、構成を完了します。
プロビジョニング要求の受け入れを開始する
- プロビジョニング アプリケーションの [プロビジョニング>] ページを開きます。
- このページでは、以下の操作を実行できます。
- [プロビジョニング制御の開始 ] ボタン – このボタンをクリックすると、プロビジョニング ジョブが リッスン モード で配置され、受信一括アップロード要求ペイロードが処理されます。
- [プロビジョニング制御の停止 ] ボタン – このオプションを使用して、プロビジョニング ジョブを一時停止または停止します。
- [プロビジョニング制御の再起動 ] ボタン – このオプションを使用して、処理が保留中の既存の要求ペイロードを消去し、新しいプロビジョニング サイクルを開始します。
- [プロビジョニング制御の編集 ] ボタン – このオプションを使用して、ジョブ設定、属性マッピングを編集し、プロビジョニング スキーマをカスタマイズします。
- オンデマンドプロビジョニング制御ボタン – この機能は、API ドリブンのインバウンドプロビジョニングではサポートされていません。
- プロビジョニング API エンドポイント URL テキスト – 表示されている HTTPS URL 値をコピーし、後で API クライアントで使用するためにメモ帳または OneNote に保存します。
- [統計] を現在まで展開し>[技術情報] パネルを開き、[プロビジョニング API エンドポイントの URL] をコピーします。 API を呼び出す アクセス許可を付与 した後、この URL を API 開発者と共有します。