Microsoft Entra ID を使用した自動ユーザー プロビジョニング用に Meta Work Accounts を構成する

この記事では、自動ユーザー プロビジョニングを構成するために Meta Work アカウントと Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成すると、Microsoft Entra ID は、Microsoft Entra プロビジョニング サービスを使用して、ユーザーとグループを Meta Work アカウント に自動的にプロビジョニングおよびプロビジョニング解除します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。

サポートされている機能

• Meta Work Accounts でユーザーを作成する
• アクセスが不要になった Meta Work アカウントのユーザーを削除する
• Microsoft Entra ID と Meta Work Accounts の間でユーザー属性の同期を維持する
• Meta Work Accounts にシングル サインオンする (推奨)

[前提条件]

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• Microsoft Entra テナント
• アプリケーション管理者、クラウド アプリケーション管理者、またはアプリケーション所有者のいずれかのロール。
• 会社の設定を変更して統合を構成するためのアクセス許可を持っている、職場アカウント内の管理者アカウント。

手順 1: プロビジョニングデプロイメントを計画する

1. プロビジョニング サービスのしくみについて説明します。
2. プロビジョニングのスコープに含めるユーザーを決定します。
3. Microsoft Entra ID と Meta Work アカウントの間でマップするデータを決定します。

ステップ 2: Microsoft Entra アプリケーション ギャラリーから Meta Work Accounts を追加する

Microsoft Entra アプリケーション ギャラリーから Meta Work Accounts を追加して、Meta Work Accounts に対するプロビジョニングの管理を開始します。 以前、SSO のために Meta Work Accounts を設定している場合は、同じアプリケーションを使用できます。 ただし、最初に統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからのアプリケーションの追加の詳細については、 こちらをご覧ください。

手順 3: プロビジョニングのスコープに含まれるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、 スコープ フィルターを使用できます。

• 小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。

• 追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。

ステップ 4: Meta Work Accounts に対する自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID のユーザーやグループの割り当てに基づいて TestApp でユーザーやグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で Meta Work Accounts の自動ユーザー プロビジョニングを構成するには:

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>エンタープライズ アプリにアクセスする

3. アプリケーションの一覧で [ Meta Work Accounts] を選択します。

4. [プロビジョニング] タブ を 選択します。

5. [プロビジョニング モード] を[自動] に設定します。

6. [ 管理者資格情報 ] セクションで、[ 承認] を選択します。 メタワークアカウントの承認ページにリダイレクトされます。 Meta Work Accounts ユーザー名を入力し、[ 続行 ] ボタンを選択します。 [ テスト接続] を選択して、Microsoft Entra ID が Meta Work アカウントに接続できることを確認します。 接続が失敗した場合、お使いの Meta Work Accounts アカウントに Admin アクセス許可があることを確認し、再試行してください。

   

7. [ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラーが発生したときに電子メール通知を送信 する] チェック ボックスをオンにします。

8. [保存] を選択します。

9. [マッピング] セクション で 、[ Microsoft Entra ユーザーを Meta Work Accounts に同期する] を選択します。

10. [属性マッピング] セクションで、Microsoft Entra ID から Meta Work Accounts に同期されるユーザー 属性 を確認します。 [ 照合 プロパティ] として選択されている属性は、更新操作で Meta Work Accounts のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、Meta Work Accounts API がその属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。 [ 保存 ] ボタンを選択して変更をコミットします。

    特性	タイプ	フィルター処理でサポートされます
    ユーザー名	糸	✓
    externalId	糸
    活動中	ボーリアン
    タイトル	糸
    emails[type eq "work"].value	糸
    優先言語	糸
    name.givenName	糸
    name.familyName	糸
    name.formatted	糸
    addresses[type eq "work"].formatted	糸
    addresses[type eq "work"].streetAddress	糸
    アドレス[タイプ eq "職場"].ローカリティ	糸
    addresses[type eq "work"].region	糸
    addresses[type eq "work"].postalCode	糸
    addresses[type eq "work"].country	糸
    phoneNumbers[type eq "work"].value	糸
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	糸
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	糸

11. スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 を参照してください。

12. Meta Work アカウントに対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。

13. [設定] セクションの [スコープ] で目的の値を選択して、Meta Work Accounts にプロビジョニングするユーザーやグループを定義します。

    

14. プロビジョニングの準備ができたら、[ 保存] を選択します。

この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 最初のサイクルは、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生する後続のサイクルよりも実行に時間がかかります。

手順 5:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

1. プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
3. プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態の詳細については、 アプリケーションプロビジョニングの検疫状態 に関する記事を参照してください。

その他のリソース

• Enterprise Apps のユーザー アカウント プロビジョニングの管理
• Microsoft Entra ID を使用したアプリケーション アクセスとシングル サインオンとは

関連コンテンツ

• ログを確認し、プロビジョニング アクティビティに関するレポートを取得する方法について説明します