Microsoft Entra ID でシングル サインオン用に AirWatch を構成する

この記事では、AirWatch と Microsoft Entra ID を統合する方法について説明します。 AirWatch を Microsoft Entra ID と統合すると、次のことが可能になります。

• AirWatch にアクセスできるユーザーを Microsoft Entra ID で制御する。
• ユーザーが Microsoft Entra アカウントで AirWatch に自動的にサインインできるようにする。
• アカウントを一元的に管理する。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
• 次のいずれかのロール:
  • アプリケーション管理者
  • クラウドのアプリケーション管理者
  • アプリケーション所有者。

• AirWatch でのシングル サインオン (SSO) が有効なサブスクリプション。

Note

このアプリケーションの識別子は固定文字列値であるため、1 つのテナントで構成できるインスタンスは 1 つだけです。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

• AirWatch では、SP によって開始される SSO がサポートされます。

ギャラリーからの AirWatch の追加

Microsoft Entra ID への AirWatch の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に AirWatch を追加する必要があります。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
2. Entra ID>のEnterprise apps>に移動し、新しいアプリケーションを選択します。
3. [ギャラリーから追加する] セクションで、検索ボックスに、「AirWatch」と入力します。
4. 結果のパネルから [AirWatch] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。

AirWatch に対する Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、AirWatch に対して Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと AirWatch の関連ユーザーとの間にリンク関係を確立する必要があります。

AirWatch に対して Microsoft Entra SSO を構成してテストするには、次の手順を行います。

1. Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
   1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
   2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
2. AirWatch SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
   1. AirWatch のテストユーザーの作成 - AirWatch で B.Simon に対応するユーザーを作成し、そのユーザーを Microsoft Entra のユーザー表現にリンクさせます。
3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO を構成する

Microsoft Entra SSO を有効にするには、次のステップに従います。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. Entra ID>Enterprise apps>AirWatch アプリケーション統合ページに移動し、[管理] セクションを見つけて、[シングル サインオン] を選択します。

3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。

   

5. [基本的な SAML 構成] ページで、次のフィールドの値を入力します。

   a. [識別子 (エンティティ ID)] ボックスに、AirWatch という値を入力します。

   b。 [応答 URL] ボックスに、次のいずれかのパターンを使用して URL を入力します。

   [応答 URL]
   https://<SUBDOMAIN>.awmdm.com/<COMPANY_CODE>
   https://<SUBDOMAIN>.airwatchportals.com/<COMPANY_CODE>

   c. [サインオン URL] ボックスに、次のパターンを使用して URL を入力します。https://<subdomain>.awmdm.com/AirWatch/Login?gid=companycode

   Note

   これらの値は実際の値ではありません。 実際の応答 URL とサインオン URL でこれらの値を更新します。 これらの値を取得するには、AirWatch クライアント サポート チームにお問い合わせください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

6. AirWatch アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。 このアプリケーションには、次の要求を構成します。 これらの属性の値は、アプリケーション統合ページの [ユーザー属性] セクションで管理できます。 [ SAML を使用した単一 Sign-On のセットアップ ] ページで、[ 編集] ボタンを選択して [ ユーザー属性] ダイアログを 開きます。

   

7. [ユーザー属性] ダイアログの [ユーザーの要求] セクションで、編集アイコンを使用して要求を編集するか、 [新しい要求の追加] を使用して要求を追加することで、上の図のように SAML トークン属性を構成し、次の手順を実行します。

   名前	ソース属性
   ユーザー識別子	user.userprincipalname

   a. [ 新しい要求の追加] を選択して、[ ユーザー要求の管理 ] ダイアログを開きます。

   b。 [名前] ボックスに、その行に対して表示される属性名を入力します。

   c. [名前空間] は空白のままにします。

   d. [ソース] として [属性] を選択します。

   e. [ソース属性] の一覧から、その行に表示される属性値を入力します。

   f. [OK] を選択します。

   g. 保存を選択します。

8. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、メタデータ XML をダウンロードしてコンピューターに保存します。

   

9. [AirWatch の設定] セクションで、要件に基づいて適切な URL をコピーします。

   

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

AirWatch SSO の構成

1. 別の Web ブラウザーのウィンドウで、管理者として AirWatch 企業サイトにサインインします。

2. 左側のナビゲーション ウィンドウで、[Groups] (グループ) & [Settings] (設定) を選択し、[All Settings] (すべての設定) を選択します。

3. 次に、[System] (システム) > [Enterprise Integration] (エンタープライズ統合) > [Directory Services] (ディレクトリ サービス) に移動します。

4. [User] (ユーザー) タブを選択し、[Base DN] (ベース DN) フィールドに domain name を入力し、[Save] (保存) を選択します。

5. [Group] (グループ) タブを選択し、[Base DN] (ベース DN) フィールドに domain name を入力し、[Save] (保存) を選択します。

6. [Server] (サーバー) タブを選択し、次の手順を実行します。

   1. [Directory Type] として [None] を選択します。
   2. [Use SAML For Authentication] (認証に SAML を使用する) オプションを有効にします。
   3. [ Import Identity Provider Settings]\(ID プロバイダーの設定のインポート \) を選択し、[ アップロード ] を選択して、上記の手順 4 でダウンロードした XML ファイルをアップロードします。

7. [Request] セクションで、次の手順に従います。

   1. [Request Binding Type] として [POST] を選択します。
   2. Entra ID>エンタープライズアプリケーション>AirWatch にブラウズします。
   3. [AirWatch 構成] セクションで [AirWatch の構成] を選択して、[サインオンの構成] ウィンドウを開きます。
   4. [クイック リファレンス] セクションから [SAML シングル サインオン サービス URL] をコピーし、[ID プロバイダーのシングル サインオン URL] テキストボックスに貼り付けます。
   5. [NameID Format] として [Email Address] を選択します。
   6. 保存を選択します。

8. [Response] (応答) セクションの [Response Binding Type] (応答バインドの種類) で、[Post] (投稿) を選択します。

9. [User] (ユーザー) タブをもう一度クリックします。

10. [Show Advanced] (詳細設定の表示) を選択して、ユーザーの詳細設定を表示します。

11. [Attribute] セクションで、次の手順に従います。

    

    1. [オブジェクト識別子] ボックスに「http://schemas.microsoft.com/identity/claims/objectidentifier」と入力します。
    2. [ユーザー名] ボックスに「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress」と入力します。
    3. [表示名] ボックスに「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname」と入力します。
    4. [名] ボックスに「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname」と入力します。
    5. [姓] ボックスに「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname」と入力します。
    6. [電子メール] ボックスに「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress」と入力します。
    7. 保存を選択します。

AirWatch のテスト ユーザーを作成する

Microsoft Entra ユーザーが AirWatch にサインインできるようにするには、そのユーザーを AirWatch にプロビジョニングする必要があります。 AirWatch の場合、プロビジョニングは手動で行います。

ユーザー プロビジョニングを構成するには、次の手順を実行します。

1. AirWatch 企業サイトに管理者としてサインインします。

2. 左側のナビゲーション ウィンドウで、[ アカウント] を選択し、[ユーザー] を選択 します。

3. [ ユーザー ] メニューの [リスト ビュー] を選択し、[ 追加] > [ユーザーの追加] を選択します。

4. [Add / Edit User] ダイアログで、次の手順を実行します。

   a. 関連するテキストボックスに、プロビジョニングする有効な Microsoft Entra アカウントの [ユーザー名] 、 [パスワード] 、 [パスワードの確認] 、 [名] 、 [姓] 、 [メール アドレス] を入力します。

   b。 保存を選択します。

Note

他の AirWatch ユーザー アカウント作成ツールや、AirWatch から提供されている API を使用して、Microsoft Entra ユーザー アカウントをプロビジョニングできます。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

• [ このアプリケーションをテストする] を選択すると、このオプションはログイン フローを開始できる AirWatch のサインオン URL にリダイレクトされます。

• AirWatch のサインオン URL に直接移動し、そこからログイン フローを開始します。

• Microsoft マイ アプリを使用することができます。 マイ アプリで [AirWatch] タイルを選択すると、このオプションは AirWatch のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

関連コンテンツ

AirWatch を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 「Microsoft Defender for Cloud Apps でセッション制御を強制する方法」を参照してください。