Skip to main content

自動プロビジョニングの有効化手順

Microsoft Entra ID(旧称Azure AD)に登録されているユーザーとグループを自動的に365 Alertに同期するための設定を行います。

設定手順は以下の通りです。

  1. Microsoft Entra ID(旧称Azure AD)に自動プロビジョニング用のアプリ(アプリ名は365 Alert Provisioning)を登録し、365 Alert Provisioningアプリに対する自動プロビジョニングの設定を行います。
  2. 同期させたいユーザーとグループを365 Alert Provisioningアプリに割り当て、自動プロビジョニングの対象とします。
note

Microsoft Entra ID(旧称Azure AD)と365 Alertの間で同期されるユーザーの属性は以下の通りです。

属性
メールアドレス
メールエイリアス任意
状態
表示名
上司

Microsoft Entra ID(旧称Azure AD)と365 Alertの間で同期されるグループの属性は以下の通りです。

属性
グループ名
グループメンバー

※ グループ所有者は同期対象外です。

caution

自動プロビジョニングを開始すると約40分間隔で同期処理が実行されます。
そのため、Microsoft Entra ID(旧称Azure AD)で行った変更の反映に最大40分程度かかりますのでご注意ください。

自動プロビジョニングの設定

  1. 管理アカウントで、以下のURLからMicrosoft Entra管理センターにサインインします。

    https://entra.microsoft.com/

  2. 画面左のメニューから[アプリケーション]>[エンタープライズ アプリケーション]の順にクリックします。表示された画面で[管理]>[すべてのアプリケーション]をクリックし表示された画面で[+新しいアプリケーション]をクリックします。

  3. [+独自のアプリケーションの作成]をクリックします。

  4. 以下画面で、アプリケーションの名前に「365 Alert Provisioning」と入力し、[ギャラリーに見つからないその他のアプリケーションを統合します (ギャラリー以外)]オプションを選択して、[作成]をクリックします。

    新しいアプリがエンタープライズ アプリケーションの一覧に追加され、そのアプリの管理画面が開きます。

  5. アプリの管理画面で、左側のパネルにある[プロビジョニング]をクリックします。

  6. [概要]>[作業の開始]の順にクリックします。

  7. 表示された画面で、次に示す設定を行います。

    • [プロビジョニング モード]メニューの[自動]をクリックします。
    • [テナントの URL]フィールドに、「自動プロビジョニングURL」(取得方法は下記NOTE参照)を入力します。
    • [シークレット トークン]フィールドに、こちらの手順にて365 Alert管理ポータルで生成したシークレットトークンを入力します。
    note

    「自動プロビジョニングURL」は以下の手順で取得可能です。

    1. テナント管理者ユーザーで、365 Alert管理ポータルにサインインします。
    2. 画面左のメニューから[テナント設定]の[プロフィール]をクリックします。
    3. 表示された[テナントプロフィール]画面の[自動プロビジョニングURL]項目の値をコピーします。

  8. [テスト接続]をクリックします。Microsoft Entra ID(旧称Azure AD)が365 Alert Provisioningアプリへの接続をテストします。
    テスト接続に成功した場合は、[保存]をクリックして管理者資格情報を保存します。
    ※ テスト接続に失敗した場合は、エラー情報が表示されます。

  9. [マッピング]セクションの「Provision Microsoft Entra ID Users」リンクをクリックし[属性マッピング]画面を開きます。

  10. 表示された画面で、次に示す設定を行います。

    • 画面下部の「詳細オプションの表示」チェックボックスにチェックを付けます。
    • 表示された「customappsso の属性リストを編集します」リンクをクリックし[属性リストの編集]画面を開きます。

  11. 表示された画面で、次に示す設定を行います。

    • 名前が「emails[type eq "work"].value」の行の「必須ですか?」列にチェックを付けます。
    • 名前が「userName」の行の「必須ですか?」列のチェックを外します。
    • [保存]をクリックして属性リスト情報を保存します。

  12. 表示された[属性マッピング]画面の右上の[×]をクリックし、表示された[プロビジョニング]画面で、[マッピング]セクションの「Provision Microsoft Entra ID Users」リンクをクリックし再度[属性マッピング]画面を開きます。
    ※ 本手順は前手順の結果が[属性マッピング]画面に反映されないという問題の対応のために行います。

  13. [属性マッピング]セクションで以下のようにマッピングの編集を行います。

    1. Microsoft Entra ID 属性が以下のものを残して、それ以外の属性を削除します。
      • Switch([IsSoftDeleted], , "False", "True", "True", "False")
      • displayName
      • mail
      • givenName
      • surname
      • manager
    2. Microsoft Entra ID 属性が「mail」の行の[編集]をクリックし以下の編集を行います。
      • 「この属性を使用してオブジェクトを照合する」を「はい」に変更します。
      • 「照合の優先順位」を「1」に変更します。
      • 「OK」をクリックして編集内容を保存します。
    note

    メールエイリアスを同期させたい場合は追加で以下の設定を行ってください。

    [新しいマッピングの追加]リンクをクリックして表示された[属性の編集]画面で、次に示す設定を行います。

    • 「ソース属性」でメールエイリアスとして同期させたいMicrosoft Entra IDの属性を選択します。以下は、userPrincipalNameを同期項目として選択した場合の設定例です。メールエイリアスを設定する際の注意点についてはこちらを参照してください。

    • 「対象の属性」で「emails[type eq "other"].value」を選択します。

    • 「OK」をクリックして編集内容を保存します。

  14. [保存]をクリックして属性マッピングを保存します。

  15. 右上の[×]をクリックして[属性マッピング]画面を閉じます。

  16. 右上の[×]をクリックして[プロビジョニング]画面を閉じます。

  17. [プロビジョニングの開始]をクリックしてプロビジョニングを開始します。

ユーザーまたはグループの割り当て

割り当てには、ユーザーが追加される度に手動で割り当てを行う方法と、指定した条件に一致するユーザーを自動で割り当てる方法の2種類があります。

ユーザーまたはグループの割り当て

以下では、ユーザーが追加される度に手動で、365 Alertに同期するユーザーまたはグループを割り当てる方法を記載します。

  1. 管理アカウントで、以下のURLからMicrosoft Entra管理センターにサインインします。

    https://entra.microsoft.com/

  2. 画面左のメニューから[アプリケーション]>[エンタープライズ アプリケーション]の順にクリックします。表示された画面で[管理]>[すべてのアプリケーション]をクリックし表示された画面で、検索ボックスに365 Alert Provisioningと入力して、表示された[365 Alert Provisioning]をクリックします。

  3. 画面左のメニューから[ユーザーとグループ]をクリックして、[+ユーザーまたはグループの追加]をクリックします。

  4. [選択されていません]をクリックして、ユーザーまたはグループを選択します。

    note

    申請したドメインのユーザーのみ選択してください。
    申請したドメインのユーザー以外を選択すると、同期処理時にエラーが発生して、同期処理が止まってしまう可能性があります。

    note

    入れ子のグループは、Microsoft Entra ID(旧称Azure AD)でサポートされていないため、指定出来ません。
    詳細についてはMicrosoftのドキュメントを参照してください。

    note

    365 Alertの設定でユーザープロビジョニングの自動化を解除すると、Microsoft Entra ID(旧称Azure AD)から同期されているユーザーは全て365Alertから削除されます。
    そのため、365Alertのテナント管理者は同期対象にせず、「365 Alert管理ポータル」からユーザー登録を行うことを推奨します。

  5. [選択]をクリックします。

  6. [割り当て]をクリックします。

  7. 以下の画面が表示されます。

動的グループによるユーザーの割り当て

以下では、動的グループを使用して、自動で365 Alertに同期するユーザーを割り当てる方法を記載します。

Microsoft Entra ID(旧称Azure AD)では、ユーザーの属性に基づいてグループメンバーを決定するルール(動的メンバーシップルール)を用いてグループを作成することが可能です。このグループを動的グループと呼びます。
ここでは例として、メールアドレスのドメインがexample.jpまたはexample.comのユーザーから構成される動的グループの作成方法を記載します。
下記手順の[動的メンバーシップルール]を変更することにより、さまざまな条件で動的グループを構成することが可能です。

note

詳細についてはMicrosoftのドキュメントを参照してください。

  1. 管理アカウントで、以下のURLからMicrosoft Entra管理センターにサインインします。

    https://entra.microsoft.com/

  2. 画面左のメニューから[グループ]>[概要]と順番にクリックして表示された画面で[概要]をクリックします。表示された画面で[+新しいグループ]をクリックします。

  3. [新しいグループ]ページで、以下の内容を入力後、[動的クエリの追加]リンクをクリックします。

    項目設定値
    グループの種類セキュリティ
    グループの説明任意のグループの説明
    グループに Microsoft Entra ロールを割り当てることができるいいえ
    グループ名任意のグループ名
    メンバーシップの種類動的ユーザー

  4. [動的メンバーシップルール]ページで以下の内容を入力後、[+式の追加]をクリックします。

    項目設定値
    および/または入力なし
    プロパティmail
    演算子Ends With
    メールアドレスのドメイン
    例)@example.jp

  5. [動的メンバーシップルール]ページで以下の内容を入力後、[保存]をクリックします。

    項目設定値
    および/またはまたは
    プロパティmail
    演算子Ends With
    メールアドレスのドメイン
    例)@example.com
    note

    365 Alertの設定でユーザープロビジョニングの自動化を解除すると、Microsoft Entra ID(旧称Azure AD)から同期されているユーザーは全て365Alertから削除されます。 そのため、365 Alertのテナント管理者は同期対象にせず、「365 Alert管理ポータル」からユーザー登録を行うことを推奨します。
    例えば、テナント管理者 admin@example.jpadmin@example.com を動的グループから除外する場合は[規則の構文]の[編集]リンクをクリックして、下記の規則を記入してください。

    ((user.mail -endsWith "@example.jp") or (user.mail -endsWith "@example.com")) and (user.mail -ne "admin@example.jp") and (user.mail -ne "admin@example.com")

  6. [新しいグループ]ページに戻ってくるので、[作成]をクリックします。

  7. 上記で作成したグループを「ユーザーまたはグループの割り当て」の手順にしたがって割り当てます。