この記事の目的は、Microsoft Entra ID から Box にユーザー アカウントを自動的にプロビジョニングおよびプロビジョニング解除するために Box と Microsoft Entra ID で実行する必要がある手順を示することです。
注
この記事では、Microsoft Entra ユーザー プロビジョニング サービスの上に構築されたコネクタについて説明します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。
前提条件
Box と Microsoft Entra の統合を構成するには、次のものが必要です。
- Microsoft Entra テナント
- ボックス ビジネス プランまたは進化版
注
この記事の手順をテストするときは、運用環境を使用 しないことを お勧めします。
注
最初に Box アプリケーションでアプリを有効にする必要があります。
注
この統合は、Microsoft Entra US Government Cloud 環境からも利用できます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあります。パブリック クラウドの場合と同じように構成してください。
この記事の手順をテストするには、次の推奨事項に従います。
- 必要な場合を除き、運用環境を使用しないでください。
- Microsoft Entra 試用版環境がない場合は、 1 か月の試用版を入手できます。
Box へのユーザーの割り当て
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に「割り当て」という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。
プロビジョニング サービスを構成して有効にする前に、Box アプリへのアクセスが必要なユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順でこれらのユーザーを Box アプリに割り当てることができます。
エンタープライズ アプリにユーザーまたはグループを割り当てる
ユーザーとグループの割り当て
Azure portal の [Box > ユーザーとグループ ] タブでは、Box へのアクセスを許可するユーザーとグループを指定できます。 ユーザーまたはグループを割り当てると、次の処理が実行されます。
Microsoft Entra ID により、(直接割り当てまたはグループのメンバーシップによって) 割り当てられたユーザーに Box への認証が許可されます。 ユーザーが割り当てられていない場合、Microsoft Entra ID は Box へのサインインを許可せず、Microsoft Entra サインイン ページでエラーを返します。
Box のアプリ タイルがユーザーの アプリケーション起動ツールに追加されます。
自動プロビジョニングが有効になっている場合、割り当てられたユーザーまたはグループはプロビジョニング キューに追加され、自動的にプロビジョニングされます。
- ユーザー オブジェクトのみをプロビジョニングするよう構成した場合は、直接割り当てられたすべてのユーザーがプロビジョニング キューに配置され、さらに、割り当てられたグループのメンバーであるユーザーもすべてプロビジョニング キューに配置されます。
- グループ オブジェクトをプロビジョニングするよう構成した場合は、割り当てられたすべてのグループ オブジェクトと、それらのグループのメンバーであるユーザーもすべて Box にプロビジョニングされます。 Box への書き込み時に、グループとユーザーのメンバーシップは保持されます。
[ 属性 > シングル サインオン ] タブを使用して、SAML ベースの認証時に Box に表示されるユーザー属性 (またはクレーム) と 、[属性 > プロビジョニング ] タブを使用して、プロビジョニング操作中にユーザー属性とグループ属性が Microsoft Entra ID から Box にどのように流れるかを構成できます。
ユーザーを Box に割り当てる際の重要なヒント
1 人の Microsoft Entra ユーザーを Box に割り当ててプロビジョニング構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。
Box にユーザーを割り当てるときに、有効なユーザー ロールを選択する必要があります。 "既定のアクセス" ロールはプロビジョニングでは機能しません。
自動化されたユーザー プロビジョニングを有効にする
このセクションでは、Microsoft Entra ID を Box のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーとグループの割り当てに基づいて、割り当て済みのユーザー アカウントを Box で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。
自動プロビジョニングが有効になっている場合、割り当てられたユーザーまたはグループはプロビジョニング キューに追加され、自動的にプロビジョニングされます。
ユーザー オブジェクトのみがプロビジョニングされるように構成した場合は、直接割り当てられたすべてのユーザーがプロビジョニング キューに配置され、さらに、割り当てられたグループのメンバーであるユーザーもすべてプロビジョニング キューに配置されます。
グループ オブジェクトをプロビジョニングするよう構成した場合は、割り当てられたすべてのグループ オブジェクトと、それらのグループのメンバーであるユーザーもすべて Box にプロビジョニングされます。 Box への書き込み時に、グループとユーザーのメンバーシップは保持されます。
ヒント
Azure portal で提供されている手順に従って、Box に対して SAML ベースの単一 Sign-On を有効にすることもできます。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
自動ユーザー アカウント プロビジョニングを構成するには:
このセクションでは、Box への Active Directory ユーザー アカウントのプロビジョニングを有効にする方法を説明します。
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
[Entra ID]>[エンタープライズ アプリ] に移動します。
シングル サインオンのために Box を既に構成している場合は、検索フィールドで Box のインスタンスを検索します。 それ以外の場合は、[ 追加] を選択し、アプリケーション ギャラリーで Box を検索します。 検索結果から Box を選択してアプリケーションの一覧に追加します。
Box のインスタンスを選択し、[プロビジョニング] タブ を 選択します。
[プロビジョニング モード] を[自動] に設定します。
![[プロビジョニング] タブの [自動] のスクリーンショット。](common/provisioning-automatic.png)
[ 管理者資格情報 ] セクションで、[ 承認 ] を選択して、新しいブラウザー ウィンドウで Box ログイン ダイアログを開きます。
[ ログインして Box へのアクセスを許可する ] ページで、必要な資格情報を入力し、[ 承認] を選択します。
![[ログインしてボックスへのアクセスを許可する] 画面のスクリーンショット。[電子メールとパスワード] のエントリと [承認] ボタンが表示されています。](media/box-userprovisioning-tutorial/ic769546.png "自動ユーザー プロビジョニングを有効にする")
この操作を承認し、Azure portal に戻るために Box へのアクセス 権を付与するを選択します。
![Box の [アクセスの承認] 画面のスクリーンショット。説明メッセージと [Box へのアクセス権の付与] ボタンが表示されています。](media/box-userprovisioning-tutorial/ic769549.png "自動ユーザー プロビジョニングを有効にする")
[ テスト接続] を選択して、Microsoft Entra ID が Box アプリに接続できることを確認します。 接続に失敗した場合は、Box アカウントにチーム管理者のアクセス許可があることを確認し、もう一度 "承認" 手順を試してください。
プロビジョニング エラー通知を受信するユーザーまたはグループのメール アドレスを [ 通知メール ] フィールドに入力し、チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクションで、[Microsoft Entra ユーザーを Box に同期する] を選択します。
[ 属性マッピング ] セクションで、Microsoft Entra ID から Box に同期されるユーザー属性を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Box のユーザー アカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
Box の Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン ] に変更します
[保存] を選択します。
[ユーザーとグループ] セクションで Box に割り当てたユーザーやグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視し、リンクをクリックしてプロビジョニング アクティビティ ログを取得できます。このログには、Box アプリでプロビジョニング サービスによって実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログを読み取る方法の詳細については、「 自動ユーザー アカウント プロビジョニングに関するレポート」を参照してください。
Box テナントでは、同期されたユーザーが管理コンソールの [管理対象ユーザー] の下に一覧表示されます。
