次の方法で共有


Microsoft Entra ID を使用した自動ユーザー プロビジョニング用に Workplace from Meta を構成する

この記事では、Workplace from Meta と Microsoft Entra ID の両方で、自動ユーザー プロビジョニングを構成するために必要な手順について説明します。 構成すると、Microsoft Entra ID は、Microsoft Entra プロビジョニング サービスを使用して、ユーザーを Workplace from Meta に自動的にプロビジョニングおよびプロビジョニング解除します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。

サポートされている機能

  • Meta から Workplace でユーザーを作成する
  • アクセスが不要になった場合に Workplace のユーザーを Meta から削除する
  • Microsoft Entra ID と Workplace from Meta の間でユーザー属性の同期を維持する
  • Workplace from Meta へのシングル サインオン (推奨)

[前提条件]

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

この記事の手順をテストするために、運用環境を使用することはお勧めしません。

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

この記事の手順をテストするには、次の推奨事項に従う必要があります。

  • 運用環境は、必要な場合を除き、使用しないでください。
  • Microsoft Entra 試用版環境をお持ちでない場合は、 ここで 1 か月間の試用版を入手できます。

手順 1: プロビジョニングデプロイメントを計画する

  1. プロビジョニング サービスのしくみについて説明します。
  2. プロビジョニングの対象範囲にいるユーザーを決定します。
  3. Microsoft Entra ID と Workplace from Meta の間でマップするデータを決定します。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように Workplace from Meta を構成する

プロビジョニング サービスを構成して有効にする前に、Meta アプリから Workplace にアクセスする必要があるユーザーを表す Microsoft Entra ID のユーザーを決定する必要があります。 決定したら、次の手順に従って、Meta アプリから Workplace にこれらのユーザーを割り当てることができます。

  • プロビジョニング構成をテストするには、1 人の Microsoft Entra ユーザーを Workplace from Meta に割り当てることをお勧めします。 後で割り当てられるユーザーが増える可能性があります。

  • Meta から Workplace にユーザーを割り当てるときは、有効なユーザー ロールを選択する必要があります。 "既定のアクセス" ロールはプロビジョニングでは機能しません。

Microsoft Entra アプリケーション ギャラリーから Workplace from Meta を追加して、Workplace from Meta へのプロビジョニングの管理を開始します。 シングル サインオン (SSO) のために Workplace from Meta を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、最初に統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからのアプリケーションの追加の詳細については、 こちらをご覧ください

手順 4: プロビジョニングのスコープに含まれるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、 スコープ フィルターを使用できます。

  • 小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。

手順 5: Meta から Workplace への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID のユーザー割り当てに基づいて、Meta App から Workplace のユーザーを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

  2. Entra ID>エンタープライズ アプリにアクセスする

    エンタープライズ アプリケーション ブレード

  3. アプリケーションの一覧で、[ メタ] から [Workplace] を選択します。

    アプリケーションの一覧の [Workplace from Meta] リンク

  4. [プロビジョニング] タブ 選択します。

    [プロビジョニング] オプションが強調表示されている [管理] オプションのスクリーンショット。

  5. [プロビジョニング モード] を[自動] に設定します。

    [自動] オプションが強調表示されている [プロビジョニング モード] ドロップダウン リストのスクリーンショット。

  6. "テナント URL" セクションに正しいエンドポイント ( https://scim.workplace.com/) が設定されていることを確認します。 [ 管理者資格情報 ] セクションで、[ 承認] を選択します。 Meta の承認ページから Workplace にリダイレクトされます。 Workplace を Meta ユーザー名から入力し、[ 続行 ] ボタンを選択します。 [ テスト接続] を選択して、Microsoft Entra ID が Meta から Workplace に接続できることを確認します。 接続に失敗した場合は、Workplace from Meta アカウントに管理者アクセス許可があることを確認してから、もう一度やり直してください。

    [承認] オプションが表示された [管理者資格情報] ダイアログ ボックスを示すスクリーンショット。

    許可する

    URL を https://scim.workplace.com/ に変更しないと、構成を保存しようとするとエラーが発生する

  7. [ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラーが発生したときに電子メール通知を送信 する] チェック ボックスをオンにします。

    通知メール

  8. [保存] を選択します

  9. [マッピング] セクション 、[ Microsoft Entra ユーザーを Meta から Workplace に同期する] を選択します。

  10. [属性マッピング] セクションで、Microsoft Entra ID から Workplace from Meta に同期されるユーザー 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Workplace from Meta のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、Workplace from Meta API がその属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。 [ 保存 ] ボタンを選択して変更をコミットします。

    特性 タイプ
    ユーザー名
    表示名
    活動中 ボーリアン
    タイトル ボーリアン
    emails[type eq "仕事"].value
    名前.名
    名前.姓
    名前.整形済み
    addresses[type eq "work"].フォーマット済み
    アドレス[タイプ eq "作業"].ストリートアドレス
    アドレス[タイプ eq "職場"].ローカリティ
    アドレス[タイプが"仕事"に等しい].地域
    アドレス[タイプ Eq "仕事"].国
    addresses[タイプ eq "work"].郵便番号
    アドレス[タイプ eq "other"].フォーマット済み
    phoneNumbers[タイプが "職場" の場合].値
    電話番号[タイプ eq "携帯"].値
    phoneNumbers[type eq "ファックス"].value
    エクスターナルID
    優先言語
    urn:scim:schemas:extension:enterprise:1.0.manager
    urn:scim:schemas:extension:enterprise:1.0.department
    urn:scim:schemas:extension:enterprise:1.0.部門
    urn:scim:schemas:extension:enterprise:1.0.organization
    urn:scim:schemas:extension:enterprise:1.0.コストセンター
    urn:scim:schemas:extension:enterprise:1.0.社員番号
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method
    urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline ボーリアン
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate 整数
  11. スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 参照してください。

  12. Workplace from Meta の Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

    プロビジョニングの状態がオンに切り替わりました

  13. [設定] セクションの [スコープ] で適切な値を選択して、Workplace from Meta にプロビジョニングするユーザーを定義します。

    プロビジョニング スコープ

  14. プロビジョニングの準備ができたら、[ 保存] を選択します。

    プロビジョニング構成の保存

この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーの初期同期サイクルが開始されます。 最初のサイクルは、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生する後続のサイクルよりも実行に時間がかかります。

手順 6: デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
  3. プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態の詳細については、 アプリケーションプロビジョニングの検疫状態 に関する記事を参照してください。

トラブルシューティングのヒント

  • ユーザーの作成に失敗し、コード "1789003" を含む監査ログ イベントが発生した場合は、そのユーザーが未確認のドメインからのユーザーであることを意味します。
  • 次のようなエラーが表示される場合があります。「エラー: 電子メール フィールドがありません: 電子メールを提供する必要があります Facebook からエラーが返されました: HTTP 要求の処理中に例外が発生しました。 詳細については、この例外の 'Response' プロパティによって返される HTTP 応答を参照してください。 この操作は 0 回再試行されました。 この日付より後に操作が再試行されます。' このエラーの原因は、メールを userPrincipalName ではなく Facebook の電子メールにマップしているが、一部のユーザーにメール属性がないためです。 このエラーを回避して、エラーが発生したユーザーを Workplace from Facebook に正常にプロビジョニングするには、Workplace from Facebook の電子メール属性への属性マッピングを結合 ([mail]、[userPrincipalName]) に変更するか、Workplace from Facebook からユーザーの割り当てを解除するか、ユーザーの電子メール アドレスをプロビジョニングします。
  • Workplace には、 メール アドレスのないユーザー の存在を許可するオプションがあります。この設定が Workplace 側で切り替えられる場合は、メールのないユーザーが Workplace で正常に作成されるように、Azure 側のプロビジョニングを再起動する必要があります。

Meta SCIM 2.0 エンドポイントから Workplace を使用するように Meta アプリケーションから Workplace を更新する

Facebook では、2021 年 12 月に SCIM 2.0 コネクタをリリースしました。 指定された手順を完了すると、SCIM 1.0 エンドポイントを使用するように構成されたアプリケーションが SCIM 2.0 エンドポイントを使用するように更新されます。 次の手順では、以前に Workplace に対して行われたカスタマイズを Meta アプリケーションから削除します。

  • 認証の詳細
  • スコープ フィルター
  • カスタム属性マッピング

次の手順を完了する前に、前のセクションに示した設定に加えられた変更を必ずメモしておいてください。 これを行わないと、カスタマイズされた設定が失われます。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

  2. Entra ID>エンタープライズアプリ>Workplace を Meta から参照します。

  3. 新しいカスタム アプリの [プロパティ] セクションで、 [オブジェクト ID] をコピーします。

    Azure portal の Workplace from Meta アプリのスクリーンショット

  4. 新しい Web ブラウザー ウィンドウで https://developer.microsoft.com/graph/graph-explorer に移動し、アプリの追加先の Microsoft Entra テナントの管理者としてサインインします。

    Microsoft Graph エクスプローラーのサインイン ページのスクリーンショット

  5. 使用されているアカウントに適切なアクセス許可が付与されていることを確認します。 この変更を行うには、アクセス許可 "Directory.ReadWrite.All" が必要です。

    Microsoft Graph 設定オプションのスクリーンショット

    Microsoft Graph のアクセス許可のスクリーンショット

  6. 前にアプリから選択したオブジェクト ID を使用して、次のコマンドを実行します。

    GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
    
  7. 前の例のGET要求の応答本文から "id" 値を取得し、次のコマンドを実行し、"[job-id]" を GETrequest の id 値に置き換えます。 値は、"FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx" という形式にする必要があります。

    DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
    
  8. Microsoft Graph エクスプローラーで、次のコマンドを実行します。 "[object-id]" を、手順 3 でコピーしたサービス プリンシパル ID (オブジェクト ID) に置き換えます。

    POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
    

    Microsoft Graph 要求のスクリーンショット

  9. 最初の Web ブラウザー ウィンドウに戻り、アプリケーションの [プロビジョニング] タブを選択します。 構成がリセットされます。 ジョブ ID が "FacebookWorkplace" で始まれば、アップグレードが成功したことを確認できます。

  10. [管理者資格情報] セクションのテナント URL を次の URL に更新します。 https://scim.workplace.com/

    Azure portal の Workplace from Meta アプリの管理者資格情報のスクリーンショット

  11. アプリケーションに対して加えた以前の変更 (認証の詳細、スコープ フィルター、カスタム属性マッピング) を復元し、プロビジョニングを再び有効にします。

    前の設定を復元しないと、Workplace で属性 (name.formatted など) が予期せず更新される可能性があります。 プロビジョニングを有効にする前に必ず構成を確認してください。

変更ログ

  • 2020 年 9 月 10 日 - エンタープライズ属性 "division"、"organization"、"costCenter"、"employeeNumber" のサポートが追加されました。カスタム属性 "startDate"、"auth_method"、"現場線" のサポートが追加されました。
  • 2021年7月22日 - メールをFacebookメールにマッピングするためのトラブルシューティングのヒントを更新しましたが、一部のユーザーにはメール属性がありません。

その他のリソース