次の方法で共有


Microsoft Identity Manager(MIM) 2016 SP1 と Azure アプリケーション プロキシとのMicrosoft Entra企業間 (B2B) コラボレーション

最初のシナリオは、外部ユーザーの AD アカウント ライフサイクル管理についてです。 このシナリオでは、organizationがゲストを Microsoft Entra ディレクトリに招待し、Microsoft Entra アプリケーション プロキシまたはその他のゲートウェイ メカニズムを使用して、ゲストにオンプレミスの Windows-Integrated 認証または Kerberos ベースのアプリケーションへのアクセスを許可することを望みます。 Microsoft Entra アプリケーション プロキシでは、識別と委任を目的として、各ユーザーが独自の AD DS アカウントを持っている必要があります。

シナリオ固有のガイダンス

MIM とMicrosoft Entra ID アプリケーション プロキシを使用した B2B の構成で行われたいくつかの前提条件:

B2B エンド ツー エンド デプロイのシナリオ例

このガイドは以下のシナリオに基づいています。

Contoso Pharmaceuticals は、研究開発部門の一部である Trey Research Inc. と連携しています。 Trey Research の従業員は、Contoso Pharmaceuticals によって提供される研究報告アプリケーションにアクセスする必要があります。

  • Contoso Pharmaceuticals は独立したテナント内にあり、カスタム ドメインが構成されています。

  • Contoso Pharmaceuticals テナントに外部ユーザーが招待されています。 このユーザーは招待を受け入れており、共有されているリソースにアクセスできます。

  • Contoso Pharmaceuticals ではアプリケーション プロキシ経由でアプリケーションを発行しています。 このシナリオでは、サンプル アプリケーションは MIM ポータルです。 これにより、ゲスト ユーザーは MIM プロセスに参加できるようになります。たとえば、ヘルプ デスク シナリオの場合や、MIM のグループへのアクセスを要求する場合などです。

AD と Microsoft Entra Connect を構成して、Microsoft Entra ID から追加されたユーザーを除外する

既定では、Microsoft Entra Connect では、Active Directory の管理者以外のユーザーを Microsoft Entra ID に同期する必要があると想定されます。 Microsoft Entra Connect によって、オンプレミス AD のユーザーと一致する既存のユーザーが Microsoft Entra ID で検出された場合、Microsoft Entra Connect は 2 つのアカウントと一致し、これがユーザーの以前の同期であると想定し、オンプレミス AD を権限のあるものにします。 ただし、この既定の動作は、ユーザー アカウントが Microsoft Entra ID で生成される B2B フローには適していません。

そのため、MICROSOFT ENTRA ID から MIM によって AD DS に取り込まれたユーザーは、Microsoft Entra ID がそれらのユーザーを Microsoft Entra ID に同期しようとしないように格納する必要があります。 これを行う方法の 1 つは、AD DS に新しい組織単位を作成し、その組織単位を除外するように Microsoft Entra Connect を構成する方法です。

詳細については、「Microsoft Entra接続同期: フィルター処理の構成」を参照してください。

Microsoft Entra アプリケーションを作成する

注:グラフ コネクタ用の管理エージェントである、MIM Sync で作成する前に、グラフ コネクタのデプロイ ガイドを参照し、クライアント ID とシークレットを使用してアプリケーションを作成したことを確認してください。 User.Read.AllUser.ReadWrite.AllDirectory.Read.All、または Directory.ReadWrite.All の 1 つ以上のアクセス許可に対して、アプリケーションが承認されていることを確認してください。

新しい管理エージェントを作成する

Synchronization Service Manager の UI で、 [コネクタ][作成] の順に選びます。 [Graph (Microsoft)]\(Graph (Microsoft)\) を選び、わかりやすい名前を付けます。

名前が B 2 B Graph の Graph の管理エージェントと、OK ボタンを示すスクリーンショット。

接続

[接続] ページで、Graph API のバージョンを指定する必要があります。 実稼働環境の準備ができている PAI はV 1.0、非実稼働環境は Beta です。

Graph A P I バージョンが選択され、[次へ] ボタンを示すスクリーンショット。

グローバル パラメーター

グローバル パラメーターの値と [次へ] ボタンを示すスクリーンショット。

Configure Provisioning Hierarchy (プロビジョニング階層の構成)

このページでは、DN コンポーネント (OU など) をプロビジョニングするオブジェクト型 (organizationalUnit など) にマップします。 このシナリオではこれは必要ないため、既定値のままにして、[次へ] をクリックします。

[プロビジョニング階層の構成] ページと [次へ] ボタンを示すスクリーンショット。

パーティションと階層を構成する

パーティションと階層のページでは、インポートおよびエクスポートする予定のオブジェクトを含むすべての名前空間を選びます。

[パーティションと階層の構成] ページと [OK] ボタンを示すスクリーンショット。

オブジェクトの種類を選択する

オブジェクトの種類のページで、インポートする予定のオブジェクトの種類を選択します。 少なくとも "ユーザー" を選択する必要があります。

オブジェクトの種類が選択され、[OK] ボタンが選択された [オブジェクトの種類の選択] ページを示すスクリーンショット。

属性を選択する

[属性の選択] 画面で、AD で B2B ユーザーを管理するために必要なMicrosoft Entraから属性を選択します。 属性 "ID" は必須です。 属性 userPrincipalNameuserType は、後でこの構成で使用されます。 次のような他の属性は省略可能です。

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

一部の属性が選択された [属性の選択] 画面と [OK] ボタンを示すスクリーンショット。

アンカーを構成する

[Configure Anchor]\(アンカーの構成\) 画面では、必ずアンカー属性を構成してください。 既定では、ユーザー マッピングに ID 属性を使用します。

オブジェクトの種類がユーザーでアンカー属性が i d の [アンカーの構成] 画面と [次へ] ボタンを示すスクリーンショット。

コネクタ フィルターを構成する

[Configure Connector Filter]\(コネクタ フィルターの構成\) ページでは、属性フィルターに基づいてオブジェクトを除外できます。 B2B のこのシナリオでは、userType が と等しいユーザーではなく、 と等しい属性のuserType値を持つ Users のみを取り込むことを目標としていますmemberGuest

ユーザーのフィルターが選択された [コネクタ フィルターの構成] ページと [OK] ボタンを示すスクリーンショット。

参加とプロジェクションの規則を構成する

このガイドでは、同期規則を作成することを前提としています。 参加とプロジェクションの規則の構成は、同期規則によって処理されるため、コネクタ自体では参加とプロジェクションを識別する必要はありません。 既定値をそのまま使用し、[OK] をクリックします。

[Join and Projection Rules の構成] ページと [OK] ボタンを示すスクリーンショット。

属性フローを構成する

このガイドでは、同期規則を作成することを前提としています。 MIM Sync で属性フローを定義するためにプロジェクションは必要はありません。後で作成する同期規則によって処理されます。 既定値をそのまま使用し、[OK] をクリックします。

[Configure Attribute Flow]\(属性フローの構成\) ページと [OK] ボタンを示すスクリーンショット。

Configure Deprovision (プロビジョニング解除の構成)

プロビジョニング解除を構成する設定では、メタバース オブジェクトが削除される場合、オブジェクトを削除するように MIM 同期を構成することができます。 このシナリオでは、Microsoft Entra ID のままにすることが目標であるため、切断子にします。 このシナリオでは、Microsoft Entra ID に何もエクスポートせず、コネクタはインポート専用に構成されています。

[プロビジョニング解除の構成] ページと [OK] ボタンを示すスクリーンショット。

拡張機能を構成する

この管理エージェントでの拡張機能の構成はオプションですが、同期規則を使用するため必要ありません。 前に属性フローで高度な規則を使用することにした場合、規則の拡張を定義できます。

[拡張機能の構成] ページと [OK] ボタンを示すスクリーンショット。

metaverse スキーマの拡張

同期ルールを作成する前に、MV デザイナーを使って、ユーザー オブジェクトに関連付けられた userPrincipalName という名前の属性を作成する必要があります。

同期クライアントで、[Metaverse Designer]\(メタバース デザイナー\) を選びます

[同期Service Manager] リボン メニューの [Metaverse Designer] オプションを示すスクリーンショット。

オブジェクトの種類として person を選びます

ユーザー オブジェクトの種類が選択された Metaverse Designer オブジェクトの種類を示すスクリーンショット。

次に、[Actions]\(アクション\) で [Add Attribute]\(属性の追加\) をクリックします

[アクション] メニューの [属性の追加] 項目を示すスクリーンショット。

次に、以下の詳細を設定します

Attribute name (属性の名前): userPrincipalName

属性の種類: 文字列 (インデックス可能)

Indexed (インデックス付け) = オン

[属性名]、[属性の種類]、[インデックス付き] の値を入力するダイアログ ボックスを示すスクリーンショット。

MIM サービス同期ルールの作成

次の手順では、B2B ゲスト アカウントと属性フローのマッピングを開始します。 前提条件として、Active Directory MA を既に構成しており、ユーザーを MIM サービスおよびポータルに誘導するように FIM MA が構成されている必要があります。

[同期規則] 画面を示すスクリーンショット。

次の手順では、FIM MA と AD MA に最小限の構成を追加する必要があります。

構成について詳しくは、「How Do I Provision Users to AD DS」(AD DS にユーザーをプロビジョニングする方法) (https://technet.microsoft.com/library/ff686263(v=ws.10).aspx) をご覧ください

同期規則: ゲスト ユーザーを MV にインポートし、Microsoft Entra ID から同期サービス メタバースにインポートする

MIM ポータルに移動し、[同期規則] を選択して [新規] をクリックします。 グラフ コネクタを使用して、B2B フローの受信同期規則を作成します。 同期規則の名前が入力された [同期規則の作成] 画面の [全般] タブを示すスクリーンショット。

メタバース リソースの種類、外部システム、外部システム リソースの種類、フィルターを含む [スコープ] タブを示すスクリーンショット。

リレーションシップ条件の手順では、必ず [Create resource in FIM]\(FIM のリソースを作成する\) を選択してください。 [リレーションシップ] タブと [リレーションシップ条件] を示すスクリーンショット。

[同期規則 IN] 画面の [受信属性フロー] タブを示すスクリーンショット。

次の受信属性フロー規則を構成します。 属性と uid 属性は、このシナリオのaccountNameuserPrincipalName後半で使用するので、必ず設定してください。

初期フローのみ 存在テストとして使用 フロー (ソース値 ⇒ FIM 属性)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

同期ルール: Active Directory にゲスト ユーザー アカウントを作成する

この同期規則では、Active Directory にユーザーを作成します。 のフローdnで、Microsoft Entra Connect から除外された組織単位にユーザーを配置する必要があります。 また、unicodePwd のフローを更新して、ご利用の AD パスワード ポリシーを満たすようにしてください。ユーザーがパスワードを知っている必要はありません。 userAccountControl のための 262656 の値で、SMARTCARD_REQUIRED および NORMAL_ACCOUNT というフラグがエンコードされることに注意してください。

[同期規則の出力] 画面の [全般] タブを示すスクリーンショット。

Metaverse リソースの種類、外部システム、外部システム リソースの種類、および送信システム スコープ フィルターを含む [スコープ] タブを示すスクリーンショット。

[送信属性フロー] タブを示すスクリーンショット。

フロー ルール:

初期フローのみ 存在テストとして使用 フロー (FIM 値 ⇒ フロー後の属性)
[accountName⇒sAMAccountName](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[sn⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
Y ["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);)
Y [RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);)
Y [262656⇒userAccountControl](javascript:void(0);)

省略可能な同期ルール: MIM にログインできるように B2B ゲスト ユーザー オブジェクト SID をインポートする

この受信同期規則では、Active Directory からユーザーの SID 属性が MIM に戻されるため、ユーザーは MIM ポータルにアクセスできます。 MIM ポータルを使用するには、ユーザーが、MIM サービス データベースに samAccountNamedomain および objectSid の各属性を設定している必要があります。

objectSid 属性は、MIM でユーザーが作成されるときに AD によって自動的に設定されるため、ソースの外部システムを ADMA として構成します。

MIM サービスでユーザーが作成されるように構成する場合は、そのユーザーが、従業員の SSPR 管理ポリシー ルールを対象としたすべてのセットのスコープに含まれないようにしてください。 B2B フローで作成されたユーザーを除外するには、セット定義を変更する必要がある場合があります。

[同期規則 IN] 画面の [全般] タブを示すスクリーンショット。

[同期規則 IN] 画面の [リレーションシップ] タブを示すスクリーンショット。

[同期規則 IN] 画面の [スコープ] タブを示すスクリーンショット。

[受信属性フロー] タブを示すスクリーンショット。

初期フローのみ 存在テストとして使用 フロー (ソース値 ⇒ FIM 属性)
[sAMAccountName⇒accountName](javascript:void(0);)
["CONTOSO"⇒domain](javascript:void(0);)
[objectSid⇒objectSid](javascript:void(0);)

同期規則を実行する

次に、ユーザーを招待し、以下の順序で管理エージェント同期規則を実行します。

  • MIMMA 管理エージェントで完全なインポートと同期を行います。 これにより、MIM Sync に構成される同期規則が最新のものとなります。

  • ADMA 管理エージェントで完全なインポートと同期を行います。 これにより、MIM と Active Directory が一貫したものとなります。 この時点では、まだゲストのエクスポートは保留中にはなりません。

  • B2B Graph 管理エージェントで完全なインポートと同期を行います。 これで、メタバースにゲスト ユーザーが取り込まれます。 この時点で、1 つ以上のアカウントで、ADMA のエクスポートが保留中になります。 保留中のエクスポートがない場合は、ゲスト ユーザーがコネクタ スペースにインポートされたことと、ユーザーに AD アカウントが与えられるように規則が構成されたことを確認します。

  • ADMA 管理エージェントでエクスポート、差分インポート、および同期を行います。 エクスポートに失敗した場合は、同期規則を調べ、スキーマ要件が不足していないかどうかを確認します。

  • MIMMA 管理エージェントでエクスポート、差分インポート、および同期を行います。 これが完了すると、保留中のエクスポートはなくなるはずです。

名前、種類、説明、および状態別の管理エージェントの一覧を示すテーブル。

オプション:MIM ポータルにログインする B2B ゲストのためのアプリケーション プロキシ

MIM で同期ルールを作成しました。 アプリケーション プロキシの構成での定義は、クラウド原則を使用してアプリ プロキシで KCD を許可します。 また、次に、管理ユーザーおよびグループに手動でユーザーを追加しました。 MIM で作成が発生して Office グループにゲストを追加するまで、オプションはユーザーに表示されません。プロビジョニングされたら、このドキュメントで扱っていない構成がもう少し必要です。

MIM B 2 B の [ユーザーとグループの管理] 画面を示すスクリーンショット。

MIM B 2 B のシングル サインオンの管理画面を示すスクリーンショット。

MIM B 2 B のアプリケーション プロキシの管理画面を示すスクリーンショット。

すべて構成されたら、B2B ユーザーをログインさせて、アプリケーションを表示させます。

デモ ログインとアプリを示すスクリーンショット。

Microsoft Identity Managerホーム ページを示すスクリーンショット。

次のステップ

AD DS にユーザーをプロビジョニングする方法

FIM 2010 の関数リファレンス

オンプレミス アプリケーションへの安全なリモート アクセスを実現する方法

Microsoft Graph 用の Microsoft Identity Manager コネクタをダウンロードする