Microsoft Identity Manager(MIM) 2016 SP1 と Azure アプリケーションプロキシとのMicrosoft Entra企業間 (B2B) コラボレーション

[アーティクル]
10/12/2023

最初のシナリオは、外部ユーザーの AD アカウントライフサイクル管理についてです。このシナリオでは、organizationがゲストを Microsoft Entra ディレクトリに招待し、Microsoft Entra アプリケーションプロキシまたはその他のゲートウェイメカニズムを使用して、ゲストにオンプレミスの Windows-Integrated 認証または Kerberos ベースのアプリケーションへのアクセスを許可することを望みます。 Microsoft Entra アプリケーションプロキシでは、識別と委任を目的として、各ユーザーが独自の AD DS アカウントを持っている必要があります。

シナリオ固有のガイダンス

MIM とMicrosoft Entra ID アプリケーションプロキシを使用した B2B の構成で行われたいくつかの前提条件:

オンプレミス AD を既に展開していること、Microsoft Identity Manager がインストールされていること、MIM サービス、MIM ポータル、Active Directory 管理エージェント (AD MA) および FIM 管理エージェント (FIM MA) の基本構成。詳細については、「deploy Microsoft Identity Manager 2016 SP2」を参照してください。
Graph コネクタのダウンロードおよびインストール方法に関する記事の指示に既に従っていること。
ユーザーとグループを Microsoft Entra ID に同期するように接続Microsoft Entra構成されています。
アプリケーションプロキシコネクタとコネクタグループは既に設定されています。そうでない場合は、「チュートリアル: Microsoft Entra ID のアプリケーションプロキシを使用してリモートアクセス用のオンプレミスアプリケーションを追加してインストールおよび構成する」を参照してください。
既に 1 つ以上のアプリケーションを発行しています。これは、Windows 統合認証またはアプリケーションプロキシ経由の個々の AD アカウントMicrosoft Entra依存しています。
1 つ以上のゲストを招待したか、1 つ以上のゲストを招待した結果、1 人以上のユーザーが Microsoft Entra ID で作成されました。詳細については、「Microsoft Entra B2B コラボレーションサインアップのセルフサービス」を参照してください。

B2B エンドツーエンドデプロイのシナリオ例

このガイドは以下のシナリオに基づいています。

Contoso Pharmaceuticals は、研究開発部門の一部である Trey Research Inc. と連携しています。 Trey Research の従業員は、Contoso Pharmaceuticals によって提供される研究報告アプリケーションにアクセスする必要があります。

Contoso Pharmaceuticals は独立したテナント内にあり、カスタムドメインが構成されています。
Contoso Pharmaceuticals テナントに外部ユーザーが招待されています。このユーザーは招待を受け入れており、共有されているリソースにアクセスできます。
Contoso Pharmaceuticals ではアプリケーションプロキシ経由でアプリケーションを発行しています。このシナリオでは、サンプルアプリケーションは MIM ポータルです。これにより、ゲストユーザーは MIM プロセスに参加できるようになります。たとえば、ヘルプデスクシナリオの場合や、MIM のグループへのアクセスを要求する場合などです。

AD と Microsoft Entra Connect を構成して、Microsoft Entra ID から追加されたユーザーを除外する

既定では、Microsoft Entra Connect では、Active Directory の管理者以外のユーザーを Microsoft Entra ID に同期する必要があると想定されます。 Microsoft Entra Connect によって、オンプレミス AD のユーザーと一致する既存のユーザーが Microsoft Entra ID で検出された場合、Microsoft Entra Connect は 2 つのアカウントと一致し、これがユーザーの以前の同期であると想定し、オンプレミス AD を権限のあるものにします。ただし、この既定の動作は、ユーザーアカウントが Microsoft Entra ID で生成される B2B フローには適していません。

そのため、MICROSOFT ENTRA ID から MIM によって AD DS に取り込まれたユーザーは、Microsoft Entra ID がそれらのユーザーを Microsoft Entra ID に同期しようとしないように格納する必要があります。これを行う方法の 1 つは、AD DS に新しい組織単位を作成し、その組織単位を除外するように Microsoft Entra Connect を構成する方法です。

詳細については、「Microsoft Entra接続同期: フィルター処理の構成」を参照してください。

Microsoft Entra アプリケーションを作成する

注:グラフコネクタ用の管理エージェントである、MIM Sync で作成する前に、グラフコネクタのデプロイガイドを参照し、クライアント ID とシークレットを使用してアプリケーションを作成したことを確認してください。 User.Read.All、User.ReadWrite.All、Directory.Read.All、または Directory.ReadWrite.All の 1 つ以上のアクセス許可に対して、アプリケーションが承認されていることを確認してください。

新しい管理エージェントを作成する

Synchronization Service Manager の UI で、 [コネクタ] 、 [作成] の順に選びます。 [Graph (Microsoft)]$Graph (Microsoft)$ を選び、わかりやすい名前を付けます。

名前が B 2 B Graph の Graph の管理エージェントと、OK ボタンを示すスクリーンショット。

接続

[接続] ページで、Graph API のバージョンを指定する必要があります。実稼働環境の準備ができている PAI はV 1.0、非実稼働環境は Beta です。

Graph A P I バージョンが選択され、[次へ] ボタンを示すスクリーンショット。

グローバルパラメーター

グローバルパラメーターの値と [次へ] ボタンを示すスクリーンショット。

Configure Provisioning Hierarchy (プロビジョニング階層の構成)

このページでは、DN コンポーネント (OU など) をプロビジョニングするオブジェクト型 (organizationalUnit など) にマップします。このシナリオではこれは必要ないため、既定値のままにして、[次へ] をクリックします。

[プロビジョニング階層の構成] ページと [次へ] ボタンを示すスクリーンショット。

パーティションと階層を構成する

パーティションと階層のページでは、インポートおよびエクスポートする予定のオブジェクトを含むすべての名前空間を選びます。

[パーティションと階層の構成] ページと [OK] ボタンを示すスクリーンショット。

オブジェクトの種類を選択する

オブジェクトの種類のページで、インポートする予定のオブジェクトの種類を選択します。少なくとも "ユーザー" を選択する必要があります。

オブジェクトの種類が選択され、[OK] ボタンが選択された [オブジェクトの種類の選択] ページを示すスクリーンショット。

属性を選択する

[属性の選択] 画面で、AD で B2B ユーザーを管理するために必要なMicrosoft Entraから属性を選択します。属性 "ID" は必須です。属性 userPrincipalName と userType は、後でこの構成で使用されます。次のような他の属性は省略可能です。

displayName
mail
givenName
surname
userPrincipalName
userType

一部の属性が選択された [属性の選択] 画面と [OK] ボタンを示すスクリーンショット。

アンカーを構成する

[Configure Anchor]$アンカーの構成$ 画面では、必ずアンカー属性を構成してください。既定では、ユーザーマッピングに ID 属性を使用します。

オブジェクトの種類がユーザーでアンカー属性が i d の [アンカーの構成] 画面と [次へ] ボタンを示すスクリーンショット。

コネクタフィルターを構成する

[Configure Connector Filter]$コネクタフィルターの構成$ ページでは、属性フィルターに基づいてオブジェクトを除外できます。 B2B のこのシナリオでは、userType がと等しいユーザーではなく、と等しい属性のuserType値を持つ Users のみを取り込むことを目標としていますmember。Guest

ユーザーのフィルターが選択された [コネクタフィルターの構成] ページと [OK] ボタンを示すスクリーンショット。

参加とプロジェクションの規則を構成する

このガイドでは、同期規則を作成することを前提としています。参加とプロジェクションの規則の構成は、同期規則によって処理されるため、コネクタ自体では参加とプロジェクションを識別する必要はありません。既定値をそのまま使用し、[OK] をクリックします。

[Join and Projection Rules の構成] ページと [OK] ボタンを示すスクリーンショット。

属性フローを構成する

このガイドでは、同期規則を作成することを前提としています。 MIM Sync で属性フローを定義するためにプロジェクションは必要はありません。後で作成する同期規則によって処理されます。既定値をそのまま使用し、[OK] をクリックします。

$[Configure Attribute Flow]$属性フローの構成$ ページと [OK] ボタンを示すスクリーンショット。$

Configure Deprovision (プロビジョニング解除の構成)

プロビジョニング解除を構成する設定では、メタバースオブジェクトが削除される場合、オブジェクトを削除するように MIM 同期を構成することができます。このシナリオでは、Microsoft Entra ID のままにすることが目標であるため、切断子にします。このシナリオでは、Microsoft Entra ID に何もエクスポートせず、コネクタはインポート専用に構成されています。

[プロビジョニング解除の構成] ページと [OK] ボタンを示すスクリーンショット。

拡張機能を構成する

この管理エージェントでの拡張機能の構成はオプションですが、同期規則を使用するため必要ありません。前に属性フローで高度な規則を使用することにした場合、規則の拡張を定義できます。

[拡張機能の構成] ページと [OK] ボタンを示すスクリーンショット。

metaverse スキーマの拡張

同期ルールを作成する前に、MV デザイナーを使って、ユーザーオブジェクトに関連付けられた userPrincipalName という名前の属性を作成する必要があります。

同期クライアントで、[Metaverse Designer]$メタバースデザイナー$ を選びます

[同期Service Manager] リボンメニューの [Metaverse Designer] オプションを示すスクリーンショット。

オブジェクトの種類として person を選びます

ユーザーオブジェクトの種類が選択された Metaverse Designer オブジェクトの種類を示すスクリーンショット。

次に、[Actions]$アクション$ で [Add Attribute]$属性の追加$ をクリックします

[アクション] メニューの [属性の追加] 項目を示すスクリーンショット。

次に、以下の詳細を設定します

Attribute name (属性の名前): userPrincipalName

属性の種類: 文字列 (インデックス可能)

Indexed (インデックス付け) = オン

[属性名]、[属性の種類]、[インデックス付き] の値を入力するダイアログボックスを示すスクリーンショット。

MIM サービス同期ルールの作成

次の手順では、B2B ゲストアカウントと属性フローのマッピングを開始します。前提条件として、Active Directory MA を既に構成しており、ユーザーを MIM サービスおよびポータルに誘導するように FIM MA が構成されている必要があります。

[同期規則] 画面を示すスクリーンショット。

次の手順では、FIM MA と AD MA に最小限の構成を追加する必要があります。

構成について詳しくは、「How Do I Provision Users to AD DS」(AD DS にユーザーをプロビジョニングする方法) (https://technet.microsoft.com/library/ff686263(v=ws.10).aspx) をご覧ください

同期規則: ゲストユーザーを MV にインポートし、Microsoft Entra ID から同期サービスメタバースにインポートする

MIM ポータルに移動し、[同期規則] を選択して [新規] をクリックします。グラフコネクタを使用して、B2B フローの受信同期規則を作成します。同期規則の名前が入力された [同期規則の作成] 画面の [全般] タブを示すスクリーンショット。

メタバースリソースの種類、外部システム、外部システムリソースの種類、フィルターを含む [スコープ] タブを示すスクリーンショット。

リレーションシップ条件の手順では、必ず [Create resource in FIM]$FIM のリソースを作成する$ を選択してください。 [リレーションシップ] タブと [リレーションシップ条件] を示すスクリーンショット。

[同期規則 IN] 画面の [受信属性フロー] タブを示すスクリーンショット。

次の受信属性フロー規則を構成します。属性と uid 属性は、このシナリオのaccountNameuserPrincipalName後半で使用するので、必ず設定してください。

初期フローのみ	存在テストとして使用	フロー (ソース値 ⇒ FIM 属性)
		`[displayName⇒displayName](javascript:void(0);)`
		`[Left(id,20)⇒accountName](javascript:void(0);)`
		`[id⇒uid](javascript:void(0);)`
		`[userType⇒employeeType](javascript:void(0);)`
		`[givenName⇒givenName](javascript:void(0);)`
		`[surname⇒sn](javascript:void(0);)`
		`[userPrincipalName⇒userPrincipalName](javascript:void(0);)`
		`[id⇒cn](javascript:void(0);)`
		`[mail⇒mail](javascript:void(0);)`
		`[mobilePhone⇒mobilePhone](javascript:void(0);)`

同期ルール: Active Directory にゲストユーザーアカウントを作成する

この同期規則では、Active Directory にユーザーを作成します。のフローdnで、Microsoft Entra Connect から除外された組織単位にユーザーを配置する必要があります。また、unicodePwd のフローを更新して、ご利用の AD パスワードポリシーを満たすようにしてください。ユーザーがパスワードを知っている必要はありません。 userAccountControl のための 262656 の値で、SMARTCARD_REQUIRED および NORMAL_ACCOUNT というフラグがエンコードされることに注意してください。

[同期規則の出力] 画面の [全般] タブを示すスクリーンショット。

Metaverse リソースの種類、外部システム、外部システムリソースの種類、および送信システムスコープフィルターを含む [スコープ] タブを示すスクリーンショット。

[送信属性フロー] タブを示すスクリーンショット。

フロールール:

初期フローのみ	存在テストとして使用	フロー (FIM 値 ⇒ フロー後の属性)
		`[accountName⇒sAMAccountName](javascript:void(0);)`
		`[givenName⇒givenName](javascript:void(0);)`
		`[mail⇒mail](javascript:void(0);)`
		`[sn⇒sn](javascript:void(0);)`
		`[userPrincipalName⇒userPrincipalName](javascript:void(0);)`
Y		`["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);)`
Y		`[RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);)`
Y		`[262656⇒userAccountControl](javascript:void(0);)`

この受信同期規則では、Active Directory からユーザーの SID 属性が MIM に戻されるため、ユーザーは MIM ポータルにアクセスできます。 MIM ポータルを使用するには、ユーザーが、MIM サービスデータベースに samAccountName、domain および objectSid の各属性を設定している必要があります。

objectSid 属性は、MIM でユーザーが作成されるときに AD によって自動的に設定されるため、ソースの外部システムを ADMA として構成します。

MIM サービスでユーザーが作成されるように構成する場合は、そのユーザーが、従業員の SSPR 管理ポリシールールを対象としたすべてのセットのスコープに含まれないようにしてください。 B2B フローで作成されたユーザーを除外するには、セット定義を変更する必要がある場合があります。

[同期規則 IN] 画面の [全般] タブを示すスクリーンショット。

[同期規則 IN] 画面の [リレーションシップ] タブを示すスクリーンショット。

[同期規則 IN] 画面の [スコープ] タブを示すスクリーンショット。

[受信属性フロー] タブを示すスクリーンショット。

初期フローのみ	存在テストとして使用	フロー (ソース値 ⇒ FIM 属性)
		`[sAMAccountName⇒accountName](javascript:void(0);)`
		`["CONTOSO"⇒domain](javascript:void(0);)`
		`[objectSid⇒objectSid](javascript:void(0);)`

同期規則を実行する

次に、ユーザーを招待し、以下の順序で管理エージェント同期規則を実行します。

MIMMA 管理エージェントで完全なインポートと同期を行います。これにより、MIM Sync に構成される同期規則が最新のものとなります。
ADMA 管理エージェントで完全なインポートと同期を行います。これにより、MIM と Active Directory が一貫したものとなります。この時点では、まだゲストのエクスポートは保留中にはなりません。
B2B Graph 管理エージェントで完全なインポートと同期を行います。これで、メタバースにゲストユーザーが取り込まれます。この時点で、1 つ以上のアカウントで、ADMA のエクスポートが保留中になります。保留中のエクスポートがない場合は、ゲストユーザーがコネクタスペースにインポートされたことと、ユーザーに AD アカウントが与えられるように規則が構成されたことを確認します。
ADMA 管理エージェントでエクスポート、差分インポート、および同期を行います。エクスポートに失敗した場合は、同期規則を調べ、スキーマ要件が不足していないかどうかを確認します。
MIMMA 管理エージェントでエクスポート、差分インポート、および同期を行います。これが完了すると、保留中のエクスポートはなくなるはずです。

名前、種類、説明、および状態別の管理エージェントの一覧を示すテーブル。

オプション:MIM ポータルにログインする B2B ゲストのためのアプリケーションプロキシ

MIM で同期ルールを作成しました。アプリケーションプロキシの構成での定義は、クラウド原則を使用してアプリプロキシで KCD を許可します。また、次に、管理ユーザーおよびグループに手動でユーザーを追加しました。 MIM で作成が発生して Office グループにゲストを追加するまで、オプションはユーザーに表示されません。プロビジョニングされたら、このドキュメントで扱っていない構成がもう少し必要です。

MIM B 2 B の [ユーザーとグループの管理] 画面を示すスクリーンショット。