チュートリアル:自動ユーザー プロビジョニングに対応するように Apple School Manager を構成する
このチュートリアルでは、自動ユーザー プロビジョニングを構成するために Apple School Manager と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、Apple School Manager に対するユーザーのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。
サポートされる機能
- Apple School Manager でユーザーを作成する
- ユーザーがアクセスする必要なくなった場合に Apple School Manager でそのユーザーを削除する
- Microsoft Entra ID と Apple School Manager の間で特定のユーザー属性の同期を維持する
- Apple School Manager へのシングル サインオン (推奨)。
前提条件
このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。
- Microsoft Entra テナント
- 次のいずれかのロール: アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者。
- 管理者、サイト マネージャー、またはユーザー マネージャーの役割を持つ Apple School Manager のアカウント。
Note
Microsoft Entra ID へのトークン転送と正常な接続の確立は 4 日以内に完了する必要があります。そうしないと、このプロセスを再度開始しなければならなくなります。
手順 1:プロビジョニングのデプロイを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングの対象となるユーザーを決定します。
- Microsoft Entra ID と Apple School Manager の間でマップするデータを決定します。
手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように Apple School Manager を構成する
Apple School Manager で、管理者、サイト マネージャー、またはユーザー マネージャーの役割を持つアカウントを使用してサインインします。
サイドバーの下部にある [設定] をクリックし、[組織の設定] の下にある [データ ソース] をクリックしてから、[データ ソースに接続] をクリックします。
SCIM の横にある [接続] をクリックし、警告を注意深く読んでから、[コピー] をクリックし、その後で [閉じる] をクリックします。 [[Connect to SCIM](SCIM への接続) ウィンドウ。トークンとその下のコピー ボタンを提供します。] このウィンドウを開いたままにして、Apple School Manager のテナント URL
https://federation.apple.com/feeds/school/scim
を Microsoft Entra ID にコピーします。Note
シークレット トークンは、Microsoft Entra 管理者以外のユーザーと共有しないでください。
手順 3: Microsoft Entra アプリケーション ギャラリーから Apple School Manager を追加する
Microsoft Entra アプリケーション ギャラリーから Apple School Manager を追加して、Apple School Manager へのプロビジョニングの管理を開始します。 前に SSO 用に Apple School Manager を設定している場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。
Microsoft テナントを持つ Apple School Manager Microsoft Entra アプリを追加するには、テナントの管理者が認証のテストを含むフェデレーション認証の設定プロセスを実行する必要があります。 認証が成功すると、Apple School Manager Microsoft Entra アプリがテナントに取り込まれ、管理者はドメインをフェデレーションし、ディレクトリ同期に SCIM (クロスドメイン ID 管理システム) を使用するように Apple School Manager を構成できます。
Apple School Manager で MS Microsoft Entra ID とのフェデレーション認証を使用する
手順 4:プロビジョニングの対象となるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。
小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。
手順 5: Apple School Manager への自動ユーザー プロビジョニングを構成する
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します
アプリケーションの一覧で、 [Apple School Manager] を選択します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションの [テナント URL] および [シークレット トークン] に、Apple School Manager から取得した SCIM 2.0 ベース URL およびアクセス トークンの値をそれぞれ入力します。 [接続テスト] をクリックして、Microsoft Entra ID で Apple School Manager に接続できることを確認します。 接続できない場合は、お使いの Apple School Manager アカウントに管理者アクセス許可があることを確認してから、もう一度試します。
注意
接続に成功すると、Apple School Manager に SCIM 接続がアクティブとして表示します。 このプロセスでは、Apple School Manager に最新の接続状態が反映されるまで最長で 60 秒ほどかかる場合があります。
[通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
[保存] をクリックします。
[マッピング] セクションで、[Microsoft Entra ユーザーを Apple School Manager に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Apple School Manager に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新操作で Apple School Manager のユーザー アカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
属性 Type active Boolean userName String name.givenName String name.familyName String name.givenName String externalId String locale String timezone String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。
Apple School Manager に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択して、Apple School Manager にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] をクリックします。
これにより、 [設定] セクションの [スコープ] で 定義したユーザーやグループの初期同期が開始されます。 初期同期は、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行される後続の同期よりも実行に時間がかかります。
手順 6:デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。
その他のリソース
- エンタープライズ アプリのユーザー アカウント プロビジョニングの管理
- Microsoft Entra ID のアプリケーション アクセスとシングル サインオンとは
- Apple School Manager で SCIM を使用するための必要条件を確認する
- Apple School Manager でのユーザー ID の用途
- SCIM を使用して Apple School Manager にユーザーをインポートする
- Apple School Manager で SCIM ユーザー アカウントの競合を解決する
- Apple School Manager に表示される Microsoft Entra アカウントを削除する
- Apple School Manager で SCIM のアクティビティを表示する
- Apple School Manager で既存の SCIM トークンと接続を管理する
- Apple School Manager で SCIM 接続を解除する
- Apple School Manager での SCIM 接続のトラブルシューティング
次のステップ
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示