次の方法で共有


Microsoft Entra ID を使用した自動ユーザー プロビジョニング用に G Suite を構成する

この記事では、自動ユーザー プロビジョニングを構成するために G Suite と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成が完了すると、Microsoft Entra ID は Microsoft Entra プロビジョニング サービスを使用して、G Suite に対してユーザーとグループの自動プロビジョニングおよび自動プロビジョニング解除を行うようになります。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

この記事では、Microsoft Entra ユーザー プロビジョニング サービスの上に構築されたコネクタについて説明します。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

  • G Suite でユーザーを作成する
  • アクセスが不要になったときに G Suite のユーザーを削除します (注: 同期スコープからユーザーを削除しても、GSuite 内のオブジェクトは削除されません)
  • Microsoft Entra ID と G Suite の間でユーザー属性の同期を維持する
  • G Suite でグループとグループ メンバーシップをプロビジョニングする
  • G Suite へのシングル サインオン (推奨)

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

  • G Suite テナント
  • 管理者アクセス許可を持つ G Suite 上のユーザー アカウント。

手順 1:プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの範囲に含めるユーザーを決定します。
  3. Microsoft Entra ID と G Suite 間でマップするデータを決定します。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように G Suite を構成する

Microsoft Entra ID での自動ユーザー プロビジョニング用に G Suite を構成する前に、G Suite 上で SCIM プロビジョニングを有効にする必要があります。

  1. 管理者アカウントで G Suite 管理コンソール にサインインし、 メイン メニュー を選択して [セキュリティ] を選択 します。 表示されない場合は、 [詳細を表示] メニューの下に隠れている可能性があります。

    G Suite のセキュリティ

    G Suiteをさらに表示

  2. [Security -> Access and data control -> API Controls] に移動します。[内部のドメイン所有アプリを信頼する] チェック ボックスをオンにし、[保存] を選択します

    G Suite の API

    重要

    G Suite にプロビジョニングしようとしているすべてのユーザーについて、その Microsoft Entra ID でのユーザー名がカスタム ドメインに関連付けられている必要があります。 たとえば、 bob@contoso.onmicrosoft.com のようなユーザー名は、G Suite では受け入れられません。 bob@contoso.com のようなユーザー名は使用できます。 既存のユーザーのドメインは、ここにある手順に従って変更できます。

  3. Microsoft Entra ID で目的のカスタム ドメインを追加して検証したら、それらを G Suite で再度検証する必要があります。 G Suite でドメインを検証するには、次の手順を参照してください。

    1. G Suite 管理コンソールで、[アカウント] -> [ドメイン] ->[ドメインの管理] に移動します。

      G Suite のドメイン

    2. [ドメインの管理] ページで、[ ドメインの追加] を選択します。

      G Suite のドメインの追加

    3. [別のドメインを追加] を選択し、追加するドメインの名前を入力します。

      G Suite のドメイン確認

    4. [ ドメインの&の開始確認の追加 ] を選択します。 次に、手順に従って、ドメイン名を所有していることを確認します。 Google でドメインを検証する方法に関する包括的な手順については、「サイトの所有権を確認する」を参照してください。

    5. G Suite に追加しようとしているすべてのその他のドメインについて、前の手順を繰り返します。

  4. 次に、G Suite でユーザー プロビジョニングを管理するためにどの管理者アカウントを使用するかを決定します。 [アカウント]->[管理者 ロール] に移動します。

    G Suite の管理者

  5. そのアカウントの [Admin role] (管理者ロール) で、そのロールの [特権] を編集します。 このアカウントをプロビジョニングに使用できるように、 [Admin API Privileges](管理 API の権限) がすべて有効になっていることを確認します。

    G Suite の管理者権限

Microsoft Entra アプリケーション ギャラリーから G Suite を追加して、G Suite へのプロビジョニングの管理を開始します。 SSO のために G Suite を以前に設定している場合は、その同じアプリケーションを使用することができます。 ただし、最初に統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4: プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングする対象を決定する場合、スコープフィルターを使用できます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。

手順 5: G Suite への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザー/グループの割り当てに基づいて TestApp 内のユーザー/グループを作成、更新、無効にするよう、Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

G Suite の Directory API エンドポイントの詳細については、Directory API のリファレンス ドキュメントを参照してください。

Microsoft Entra ID で G Suite に対する自動ユーザー プロビジョニングを構成するには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. Entra ID>エンタープライズアプリケーションに移動します。

    [エンタープライズ アプリケーション] ブレード

    [すべてのアプリケーション] ブレード

  3. アプリケーションの一覧で [G Suite] を選択します。

    アプリケーションの一覧の G Suite のリンク

  4. [プロビジョニング] タブ 選択します。[ 作業の開始] を選択します

    [プロビジョニング] オプションが強調表示された [管理] オプションのスクリーンショット。

  5. [プロビジョニング モード][自動] に設定します。

    [自動] オプションが強調表示された [プロビジョニング モード] ドロップダウン リストのスクリーンショット。

  6. [ 管理者資格情報 ] セクションで、[ 承認] を選択します。 新しいブラウザー ウィンドウで Google 承認ダイアログ ボックスにリダイレクトされます。

    G Suite の承認

  7. Microsoft Entra に G Suite テナントを変更するためのアクセス許可を付与することを確認します。 [Accept](承認) を選択します。

    G Suite のテナントの承認

  8. [テスト接続] を選択して、Microsoft Entra ID が G Suite に接続できることを確認します。 接続できない場合は、使用中の G Suite アカウントに管理者アクセス許可があることを確認してから、もう一度試します。 その後、承認手順を再び試します。

  9. [通知用 Email] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループのメール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  10. 保存を選択します。

  11. [マッピング] セクションで、[Microsoft Entra ユーザーのプロビジョニング] を選択します。

  12. [属性マッピング] セクションで、Microsoft Entra ID から G Suite に同期されるユーザー属性を確認します。 [保存] ボタンをクリックして変更をコミットします。

現在、GSuite Provisioning では、一致する属性として primaryEmail の使用のみがサポートされています。

属性 タイプ
主要なメールアドレス
relations.[type eq "manager"].value
name.familyName
name.givenName
suspended
externalIds.[type eq "custom"].value
externalIds.[type eq "organization"].value
addresses.[type eq "work"].country
addresses.[type eq "work"].streetAddress
addresses.[type eq "work"].region
addresses.[type eq "work"].locality
addresses.[type eq "work"].postalCode
emails.[type eq "work"].address
organizations.[type eq "work"].department
organizations.[type eq "work"].title
phoneNumbers.[type eq "work"].value
phoneNumbers.[type eq "mobile"].value
phoneNumbers.[type eq "work_fax"].value
emails.[type eq "work"].address
organizations.[type eq "work"].department
organizations.[type eq "work"].title
addresses.[type eq "home"].country
addresses.[type eq "home"].formatted
addresses.[type eq "home"].locality
addresses.[type eq "home"].postalCode
addresses.[type eq "home"].region
addresses.[type eq "home"].streetAddress
addresses.[type eq "other"].country
addresses.[type eq "other"].formatted
addresses.[type eq "other"].locality
addresses.[type eq "other"].postalCode
addresses.[type eq "other"].region
addresses.[type eq "other"].streetAddress
addresses.[type eq "work"].formatted
次回ログイン時にパスワードを変更する
emails.[type eq "home"].address
emails.[type eq "other"].address
externalIds.[type eq "account"].value
externalIds.[type eq "custom"].customType
externalIds.[type eq "customer"].value
externalIds.[type eq "login_id"].value
externalIds.[type eq "network"].value
gender.type
生成された不変のID
識別子
ims.[type eq "home"].protocol
ims.[type eq "other"].protocol
ims.[type eq "work"].protocol
グローバルアドレスリストに含める
ipWhitelisted
organizations.[type eq "school"].costCenter
組織。[タイプ=「学校」]。部門
organizations.[type eq "school"].domain
organizations.[type eq "school"].fullTimeEquivalent
organizations.[type eq "school"].location
organizations.[type eq "school"].name
organizations.[type eq "school"].symbol
organizations.[type eq "school"].title
organizations.[type eq "work"].costCenter
organizations.[type eq "work"].domain
organizations.[type eq "work"].fullTimeEquivalent
organizations.[type eq "work"].location
organizations.[type eq "work"].name
organizations.[type eq "work"].symbol
OrgUnitPath
phoneNumbers.[type eq "home"].value
phoneNumbers.[type eq "other"].value
websites.[type eq "home"].value
websites.[type eq "other"].value
websites.[type eq "work"].value
  1. [マッピング] セクションで、[Microsoft Entra グループのプロビジョニング] を選択します。

  2. [属性マッピング] セクションで、Microsoft Entra ID から G Suite に同期されるグループ属性を確認します。 [Matching] (照合) プロパティとして選択されている属性は、更新操作のために G Suite のグループを照合するために使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 タイプ
    Eメール
    Members
    名前
    説明
  3. スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 参照してください。

  4. G Suite で Microsoft Entra プロビジョニング サービスを有効にするには、 [設定] セクションで [プロビジョニングの状態][オン] に変更します。

    プロビジョニングの状態を [オン] に切り替える

  5. [設定] セクションの [スコープ] で目的の値を選択することによって、G Suite にプロビジョニングするユーザーまたはグループ、あるいはその両方を定義します。

    プロビジョニングのスコープ

  6. プロビジョニングの準備ができたら、 [保存] を選択します。

    プロビジョニング構成の保存

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

ユーザーが Microsoft Entra ユーザーのメール アドレスを使用して既存の個人/コンシューマー アカウントを既に持っている場合は、ディレクトリ同期を実行する前に Google 転送ツールを使用して解決できる問題が発生する可能性があります。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態についての詳細は、アプリケーションプロビジョニングの隔離状態に関する記事をご覧ください。

トラブルシューティングのヒント

  • 同期スコープからユーザーを削除すると、GSuite で無効になりますが、そのユーザーが G Suite から削除されることはありません

グループの PIM を使用した Just-In-Time (JIT) アプリケーション アクセス

グループの PIM を使用すると、Google Cloud / Google Workspace のグループへの Just-In-Time アクセス権を提供し、Google Cloud / Google Workspace の特権グループに永続的にアクセスできるユーザーの数を減らすことができます。

SSO とプロビジョニング用にエンタープライズ アプリケーションを構成する

  1. テナントに Google Cloud/Google Workspace を追加し、この記事の説明に従ってプロビジョニング用に構成し、プロビジョニングを開始します。
  2. Google Cloud / Google Workspace のシングル サインオンを構成します。
  3. すべてのユーザーがアプリケーションにアクセスできるようにするグループを作成します。
  4. グループを Google Cloud / Google Workspace アプリケーションに割り当てます。
  5. 前の手順で作成したグループの直接メンバーとしてテスト ユーザーを割り当てるか、アクセス パッケージを使用してグループへのアクセスを提供します。 このグループは、Google Cloud / Google Workspace での永続的な管理者以外のアクセスに使用できます。

グループの PIM を有効にする

  1. Microsoft Entra ID で 2 つ目のグループを作成します。 このグループは、Google Cloud / Google Workspace での管理者権限へのアクセスを提供します。
  2. グループを Microsoft Entra PIM の管理下に置きます。
  3. ロールがメンバーに設定されている PIM のグループの対象としてテスト ユーザーを割り当てます。
  4. 2 番目のグループを Google Cloud / Google Workspace アプリケーションに割り当てます。
  5. オンデマンド プロビジョニングを使用して、Google Cloud / Google Workspace でグループを作成します。
  6. Google Cloud / Google Workspace にサインインし、2 番目のグループに対して管理タスクを実行するために必要なアクセス許可を割り当てます。

PIM のグループの対象となったエンド ユーザーは、グループ メンバーシップをアクティブ化することで、Google Cloud / Google Workspace のグループへの JIT アクセスを取得できるようになりました。 割り当ての有効期限が切れると、ユーザーは Google Cloud / Google Workspace のグループから削除されます。 次の増分サイクル中に、プロビジョニング サービスはグループからユーザーを再度削除しようとします。 これにより、プロビジョニング ログにエラーが発生する可能性があります。 このエラーは、グループ メンバーシップが既に削除されているために発生します。 このエラー メッセージは無視することができます。

  • ユーザーがアプリケーションにプロビジョニングされるまでにかかる時間
    • Microsoft Entra ID Privileged Identity Management (PIM) を使用したグループ メンバーシップのアクティブ化以外で、ユーザーを Microsoft Entra ID のグループに追加するとき:
      • グループ メンバーシップは、次の同期サイクルの間に、アプリケーションでプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。
    • ユーザーが Microsoft Entra ID PIM でグループ メンバーシップをアクティブ化するとき:
      • グループ メンバーシップは 2 から 10 分でプロビジョニングされます。 一度に行われる要求の数が多い場合、10 秒あたり 5 つの要求に調整されます。
      • 特定のアプリケーションのグループ メンバーシップをアクティブ化しようとするユーザーのうち、10 秒の期間内の最初の 5 人については、2 分から 10 分以内にアプリケーションでグループ メンバーシップがプロビジョニングされます。
      • 特定のアプリケーションのグループ メンバーシップをアクティブ化する 10 秒以内の 6 番目のユーザーの場合、グループ メンバーシップは次の同期サイクルでアプリケーションにプロビジョニングされます。 同期サイクルは 40 分ごとに実行されます。 調整の制限は、エンタープライズ アプリケーションごとに行われます。
  • ユーザーが Google Cloud / Google Workspace の必要なグループにアクセスできない場合は、PIM のログとプロビジョニングのログを調べて、グループ メンバーシップが正常に更新されたことを確認してください。 ターゲット アプリケーションの設計方法によっては、グループ メンバーシップがアプリケーションで有効になるのに時間がかかる場合があります。
  • Azure Monitor を使うと、お客様は障害に対するアラートを作成できます。

ログの変更

  • 10/17/2020 - G Suite のその他のユーザーおよびグループ属性に対するサポートが追加されました。
  • 10/17/2020 - G Suite ターゲットの属性名が、ここで定義されている内容に一致するように更新されました。
  • 10/17/2020 - 既定の属性マッピングが更新されました。

その他のリソース