チュートリアル:Box を構成し、自動ユーザー プロビジョニングに対応させる

  • [アーティクル]

このチュートリアルでは、Microsoft Entra ID から Box にユーザー アカウントを自動的にプロビジョニングおよびプロビジョニング解除するために、Box と Microsoft Entra ID で実行する必要がある手順について説明します。

Note

このチュートリアルでは、Microsoft Entra ユーザー プロビジョニング サービスの上に構築されるコネクタについて説明します。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

前提条件

Box と Microsoft Entra の統合を構成するには、次の項目が必要です。

  • Microsoft Entra テナント
  • ボックス ビジネス プランまたは進化版

注意

このチュートリアルの手順をテストする場合、運用環境を使用しないことをお勧めします。

注意

最初に Box アプリケーションでアプリを有効にする必要があります。

Note

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

このチュートリアルの手順をテストするには、次の推奨事項に従います。

  • 必要な場合を除き、運用環境は使用しないでください。
  • Microsoft Entra の評価環境がない場合は、1 か月間の評価版を入手できます。

Box へのユーザーの割り当て

Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。

プロビジョニング サービスを構成して有効にする前に、Box アプリへのアクセスが必要なユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順でこれらのユーザーを Box アプリに割り当てることができます。

エンタープライズ アプリケーションにユーザーまたはグループを割り当てる

ユーザーとグループの割り当て

Azure portal の [Box] > [ユーザーとグループ] タブでは、Box へのアクセスを許可するユーザーとグループを指定できます。 ユーザーまたはグループを割り当てると、次の処理が実行されます。

  • Microsoft Entra ID により、(直接割り当てまたはグループのメンバーシップによる) 割り当て済みユーザーに Box への認証が許可されます。 ユーザーが割り当てられていない場合、Microsoft Entra ID によって Box へのサインインが許可されず、Microsoft Entra サインイン ページでエラーが返されます。

  • Box のアプリ タイルがユーザーの アプリケーション起動プログラムに追加されます。

  • 自動プロビジョニングが有効になっている場合、割り当てられたユーザーまたはグループはプロビジョニング キューに追加され、自動的にプロビジョニングされます。

    • ユーザー オブジェクトのみをプロビジョニングするよう構成した場合は、直接割り当てられたすべてのユーザーがプロビジョニング キューに配置され、さらに、割り当てられたグループのメンバーであるユーザーもすべてプロビジョニング キューに配置されます。
    • グループ オブジェクトをプロビジョニングするよう構成した場合は、割り当てられたすべてのグループ オブジェクトと、それらのグループのメンバーであるユーザーもすべて Box にプロビジョニングされます。 Box への書き込み時に、グループとユーザーのメンバーシップは保持されます。

[属性] > [シングル サインオン] タブを使うと、SAML ベースの認証時に Box に提示するユーザーの属性 (または要求) を構成できます。また、[属性] > [プロビジョニング] タブを使うと、プロビジョニング操作時の Microsoft Entra ID から Box へのユーザーとグループの属性のフロー方法を構成できます。

ユーザーを Box に割り当てる際の重要なヒント

  • 1 人の Microsoft Entra ユーザーを Box に割り当てて、プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。

  • Box にユーザーを割り当てるときに、有効なユーザー ロールを選択する必要があります。 "既定のアクセス" ロールはプロビジョニングでは使えません。

自動化されたユーザー プロビジョニングを有効にする

このセクションでは、Microsoft Entra ID を Box のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーとグループの割り当てに基づいて、割り当て済みユーザー アカウントを Box で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。

自動プロビジョニングが有効になっている場合、割り当てられたユーザーまたはグループはプロビジョニング キューに追加され、自動的にプロビジョニングされます。

  • ユーザー オブジェクトのみがプロビジョニングされるように構成した場合は、直接割り当てられたすべてのユーザーがプロビジョニング キューに配置され、さらに、割り当てられたグループのメンバーであるユーザーもすべてプロビジョニング キューに配置されます。

  • グループ オブジェクトをプロビジョニングするよう構成した場合は、割り当てられたすべてのグループ オブジェクトと、それらのグループのメンバーであるユーザーもすべて Box にプロビジョニングされます。 Box への書き込み時に、グループとユーザーのメンバーシップは保持されます。

ヒント

Box では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Azure portal で説明されている手順に従ってください。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

自動ユーザー アカウント プロビジョニングを構成するには:

このセクションでは、Box への Active Directory ユーザー アカウントのプロビジョニングを有効にする方法を説明します。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。

  3. シングル サインオンのために Box を既に構成している場合は、検索フィールドで Box のインスタンスを検索します。 構成していない場合は、 [追加] を選択してアプリケーション ギャラリーで Box を検索します。 検索結果から Box を選択してアプリケーションの一覧に追加します。

  4. Box のインスタンスを選択してから、 [プロビジョニング] タブを選択します。

  5. [プロビジョニング モード][自動] に設定します。

    Screenshot of the Provisioning tab for Box in Azure portal. Provisioning Mode is set to Automatic and Authorize is highlighted in Admin Credentials.

  6. [管理者資格情報] セクションの [承認する] をクリックして、新しいブラウザー ウィンドウで Box のログイン ダイアログを開きます。

  7. [Box へのアクセスを許可するにはログインしてください] ページで、必要な資格情報を入力し、 [認証する] をクリックします。

    Screenshot of the Log in to grant access to box screen, showing entry for Email and Password, and the Authorize button.

  8. [Box のアクセス許可] をクリックしてこの操作を承認し、Azure Portal に戻ります。

    Screenshot of the authorize access screen in Box, showing an explanatory message and the Grant access to Box button.

  9. [接続テスト] をクリックして、Microsoft Entra ID で Box アプリに接続できることを確認します。 接続が失敗した場合、使用中の Box アカウントに Team Admin アクセス許可があることを確認して、 "承認" の手順をもう一度試してください。

  10. プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを [通知用メール] フィールドに入力して、下のチェック ボックスをオンにします。

  11. [保存] をクリックします。

  12. [マッピング] セクションで、[Synchronize Microsoft Entra users to Box] (Microsoft Entra ユーザーを Box に同期する) を選択します。

  13. [属性マッピング] セクションで、Microsoft Entra ID から Box に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Box のユーザー アカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

  14. Box に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します

  15. [保存] をクリックします。

[ユーザーとグループ] セクションで Box に割り当てたユーザーやグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視できるほか、リンクをクリックしてプロビジョニング アクティビティ ログを取得できます。このログには、プロビジョニング サービスによって Box アプリに対して実行されたすべてのアクションが記載されています。

Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。

Box テナントでは、同期済みのユーザーは、 [管理コンソール][管理対象のユーザー] に表示されます。

Integration status

その他のリソース