Microsoft Entra ID を使用した自動ユーザー プロビジョニング用に KnowBe4 Security Awareness Training を構成する

この記事では、自動ユーザー プロビジョニングを構成するために KnowBe4 Security Awareness Training と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成すると、Microsoft Entra ID は、Microsoft Entra プロビジョニング サービスを使用してユーザーとグループを KnowBe4 Security Awareness Training に自動的にプロビジョニングおよびプロビジョニング解除します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。

サポートされている機能

• KnowBe4 Security Awareness Training のユーザーを作成する。
• アクセスが不要になった場合は、KnowBe4 Security Awareness Training のユーザーを削除します。
• Microsoft Entra ID と KnowBe4 Security Awareness Training の間のユーザー属性の同期を維持する。
• KnowBe4 Security Awareness Training のグループとグループ メンバーシップをプロビジョニングする。
• KnowBe4 Security Awareness Training にシングル サインオンします (推奨)。

[前提条件]

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

• Microsoft Entra テナント。
• アプリケーション管理者、クラウド アプリケーション管理者、またはアプリケーション所有者のいずれかのロール。
• 管理者のアクセス許可を持つ KnowBe4 Security Awareness Training のユーザー アカウント。

手順 1: プロビジョニングデプロイメントを計画する

1. プロビジョニング サービスのしくみについて説明します。
2. プロビジョニングのスコープに含めるユーザーを決定しまする。
3. Microsoft Entra ID と KnowBe4 Security Awareness Training の間でマップするデータを決定します。

手順 2: Microsoft Entra ID でのプロビジョニングをサポートするように KnowBe4 Security Awareness Training を構成する

次の手順に従って、コンソールで SCIM 設定を構成します。

注

ADI から SCIM に切り替える場合は、エイリアスのメール アドレスを使用している場合、SCIM との統合ではその接続がサポートされないため、 テスト モード を無効にして同期を実行すると、この情報は削除されることに注意してください。

1. KnowBe4 コンソールで、右上隅にあるメール アドレスを選択し 、[アカウント設定] を選択します。

2. 設定の [ ユーザー管理 > ユーザー プロビジョニング ] セクションに移動します。

3. [ ユーザー プロビジョニングの有効化 (ユーザー同期)] を選択して、プロビジョニング設定をさらに表示します。

   

4. デフォルトでは、トグルは ADI に設定されています。 SCIM トグルを選択して設定を開始します。

5. [+ SCIM 設定] を選択して SCIM 設定を展開します。

   

6. [ SCIM トークンの生成] を選択します。 これにより、トークン ID を含む新しいウィンドウが開きます。 この ID をコピーし、後で簡単にアクセスできる場所に保存します。 このウィンドウを閉じるとトークンを再度表示できないため、このトークンを保存することが重要です。 情報を保存したら、[ OK] を 選択してウィンドウを閉じます。

   注

   SCIM トークンが生成されると、このボタンが [ SCIM トークンの再生成 ] ボタンに変わります。 詳細については、この記事の 「トラブルシューティングのヒント 」セクションを参照してください。

   注

   KnowBe4 との接続を確立するには、ID プロバイダーにトークン (手順 5) とテナント ID (手順 6) を提供する必要があります。 ID プロバイダーとの接続を設定する準備ができたらすぐに使用できるように、この情報を保存してください。

7. テナント URL をコピーし、後で簡単にアクセスできる場所に保存します。

8. テスト モード オプションが選択されていることを確認します。

   

   注

   KnowBe4 と ID プロバイダーの間の接続を構成し、正常に同期を実行するまで、 テスト モード を有効にしておくことをお勧めします。テスト モードは、SCIM が有効な場合に何が起こるかのレポートを生成するために使用されます。 つまり、コンソールに変更は加えられないため、コンソールの変更を気にすることなくセットアップを構成できます。 準備ができたら、アカウント設定からテスト モードを無効にして同期を有効にすることができます。ADIからSCIMに切り替える場合は、アカウント設定を保存した後にテストモードが自動的に有効になります。

9. [アカウント設定] ページの下部まで下にスクロールし、[変更の保存] を選択します。 KnowBe4 アカウントで SCIM を有効にしたら、ID プロバイダーとの接続を完了する準備ができました。 使用している ID プロバイダーの SCIM を構成する手順については、以下のいずれかの記事を参照してください。

手順 3: Microsoft Entra アプリケーション ギャラリーから KnowBe4 Security Awareness Training を追加する

KnowBe4 Security Awareness Training へのプロビジョニングの管理を開始するには、Microsoft Entra アプリケーション ギャラリーから KnowBe4 Security Awareness Training を追加します。 SSO のために nowBe4 Security Awareness Training を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、最初に統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからのアプリケーションの追加の詳細については、 こちらをご覧ください。

手順 4: プロビジョニングのスコープに含まれるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、 スコープ フィルターを使用できます。

• 小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。

• 追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。

手順 5: KnowBe4 Security Awareness Training への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザーやグループの割り当てに基づいて KnowBe4 Security Awareness Training のユーザーやグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で KnowBe4 Security Awareness Training の自動ユーザー プロビジョニングを構成するには:

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>Enterprise アプリにアクセスする

   

3. アプリケーションの一覧で、[ KnowBe4 Security Awareness Training] を選択します。

   

4. [プロビジョニング] タブ を 選択します。

   

5. [プロビジョニング モード] を[自動] に設定します。

   

6. [ 管理者資格情報 ] セクションで、KnowBe4 Security Awareness Training テナントの URL とシークレット トークンを入力します。 [ テスト接続] を選択して、Microsoft Entra ID が KnowBe4 Security Awareness Training に接続できることを確認します。 接続に失敗する場合は、KnowBe4 Security Awareness Training アカウントに管理者アクセス許可があることを確認し、再試行します。

   

7. [ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラーが発生したときに電子メール通知を送信 する] チェック ボックスをオンにします。

   

8. [保存] を選択します。

9. [マッピング] セクション で 、[ Microsoft Entra ユーザーを KnowBe4 Security Awareness Training に同期する] を選択します。

10. [属性マッピング] セクションで、Microsoft Entra ID から KnowBe4 Security Awareness Training に同期されるユーザー 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作の KnowBe4 Security Awareness Training のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、KnowBe4 Security Awareness Training API で、その属性に基づくユーザーのフィルター処理がサポートされていることを確認する必要があります。 [ 保存 ] ボタンを選択して変更をコミットします。

    特性	タイプ	フィルター処理でサポートされます	KnowBe4 Security Awareness Training で必要
    ユーザー名	糸	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	リファレンス
    活動中	ボーリアン
    タイトル	糸
    name.givenName	糸
    name.familyName	糸
    externalId	糸
    displayName	糸
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	糸
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	糸
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	糸
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	糸
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	日付と時間
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	日付と時間
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	糸
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	糸
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	糸
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	糸

11. [マッピング] セクション で 、[ Microsoft Entra グループを KnowBe4 Security Awareness Training に同期する] を選択します。

12. [属性マッピング] セクションで、Microsoft Entra ID から KnowBe4 Security Awareness Training に同期されるグループ 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作の KnowBe4 Security Awareness Training のグループとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。

    特性	タイプ	フィルター処理でサポートされます	KnowBe4 Security Awareness Training で必要
    displayName	糸	✓	✓
    members	リファレンス
    externalId	糸

13. スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 を参照してください。

14. KnowBe4 Security Awareness Training の Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。

    

15. [設定] セクションの [スコープ] で目的の値を選択して、KnowBe4 Security Awareness Training にプロビジョニングするユーザーやグループを定義します。

    

16. プロビジョニングの準備ができたら、[ 保存] を選択します。

    

この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 最初のサイクルは、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生する後続のサイクルよりも実行に時間がかかります。

手順 6: デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

1. プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
3. プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態の詳細については、 アプリケーションプロビジョニングの検疫状態 に関する記事を参照してください。

手順 7: トラブルシューティングのヒント

• SCIM が有効になると、アカウント設定の SCIM セクションに、トラブルシューティングのために使用できる 3 つのボタンが表示されます。 これらのオプションの詳細については、以下一覧を参照してください。

  

  • SCIM トークンを再生成する: このボタンを使用して、新しい SCIM トークンを生成します。 このトークンは 1 度しか表示できないので、ウィンドウを閉じる前にこの情報を保存しておいてください。 ID プロバイダーと KnowBe4 コンソールの間のリンクは、新しい SCIM トークンを指定するまで無効になります。

  • SCIM トークンの取り消し: このボタンを使用して、現在の SCIM トークンを無効にします。 現在このトークンを使用している ID プロバイダーは、KnowBe4 コンソールにリンクされなくなります。

  • [今すぐ同期を強制する]: このボタンを使用すると、ID プロバイダーからの変更を必要とせずに、いつでも SCIM 同期を手動で強制できます。

その他のリソース

• Enterprise Apps のユーザー アカウント プロビジョニングの管理
• Microsoft Entra ID を使用したアプリケーション アクセスとシングル サインオンとは

関連コンテンツ

• ログを確認し、プロビジョニング アクティビティに関するレポートを取得する方法について説明します