Microsoft Entra ID (旧称 Azure AD) との SCIM ディレクトリ統合

  • hC
  • EF
  • CW
 Prev Next

Microsoft Entra ID は、Azure AD (Azure Active Directory) の新しい名前です

前提条件

  • SCIM ディレクトリ統合のサポート記事で説明されている手順を完了して、Kandji テナントに新しい SCIM ユーザー ディレクトリを設定します。SCIM アクセストークンと API URL を取得する必要があります。

  • SCIM ディレクトリ統合の記事で説明されているトークンをコピーして保存します。[完了] をクリックすると、トークンは表示されなくなり、後の手順で必要になります。

  • SCIM ディレクトリ統合に記載されているサポートされているユーザー属性とグループ属性を必ず確認してください。

Microsoft Entra IDでのSCIM統合の作成

  1. Microsoft Entra 管理センターにサインインします。

  2. ポータル メニューを開き、 ID を選択します。

  3. 「アイデンティティ」メニューの「アプリケーション」で、「エンタープライズアプリケーション」を選択します。

  4. [管理] セクションで、[ すべてのアプリケーション] を選択します。

  5. [新しいアプリケーション] を選択します。SAML シングル サインオン アプリケーションを既に作成している場合は、そのアプリケーションを選択して SCIM を追加できます。

  6. [独自のアプリケーションを作成する] を選択します。

  7. アプリケーションに名前を付けます。

  8. ギャラリーにない他のアプリケーションを統合する (ギャラリー以外) を選択します。

  9. 「作成」をクリックします。

  10. 新しく作成したアプリの [概要] ページに移動します。

  11. [管理] で [プロビジョニング] を選択します。

  12. [開始する] をクリックします。

  13. [プロビジョニング モード] で [ 自動] を選択します。

  14. [管理者の資格情報] セクションに詳細が表示されない場合は、表示の三角形をクリックして展開します。

  15. 前にコピーした Kandji SCIM API URL を [テナント URL ] フィールドに貼り付けます。

  16. 前にコピーしたAPIトークンを [シークレットトークン ]フィールドに貼り付けます。

  17. [接続のテスト] をクリックします。テストが成功したという通知が表示されます。

  18. 左上隅にある [保存] をクリックします。

  19. 「マッピング」を展開して三角形を表示し、「グループ」と「ユーザー」の両方が有効になっていることを確認します。

  20. 右上隅の X をクリックして、設定を閉じます。

  21. [ プロビジョニングの編集] をクリックします。

  22. [設定] の [表示] の三角形を展開します。

  23. [スコープ] で、[割り当てられたユーザーとグループのみを同期する] を選択します。

  24. [プロビジョニングの状態] を [オン] に設定します。

  25. 「保存」をクリックします。

  26. 右上隅の X をクリックして、設定を閉じます。

  27. [概要] ページで、右上隅の [X] をクリックして設定を閉じます。

ユーザーとグループの割り当て

  1. [管理] で [ユーザーとグループ] を選択します。

  2. メニューで、[ ユーザー/グループの追加] を選択します。

  3. [ 割り当ての追加] ダイアログで、[ ユーザーとグループ] の下のリンクを選択します。

  4. ユーザーとセキュリティ グループの一覧が表示されます。特定のユーザーまたはグループを検索することも、リストに表示される複数のユーザーやグループを選択することもできます。

  5. ユーザーとグループを選択したら、[ 選択] を選択します。 以下のメッセージが表示された場合は、無料利用枠が使用されていることを意味します。これは、SCIM Enterprise Appにユーザー(グループではない)のみを追加できることを意味します。

  6. [ 割り当て ] を選択して、アプリへのユーザーとグループの割り当てを完了します。

  7. 追加したユーザーとグループが [ ユーザーとグループ ] リストに表示されていることを確認します。

考慮事項

同期

ユーザー同期は一方向であるため、Microsoft Entra ID SCIM アプリは、新しい情報が必要な場合にのみユーザー情報を Kandji に送信します。アプリの作成後に Microsoft Entra ID の SCIM アプリにユーザーまたはグループを追加すると、同期は 40 分ごとに行われます (Microsoft Entra ID で設定)。同期を早めたい場合は、Microsoft Entra ID の SCIM アプリでプロビジョニングを停止または開始できます。これは、 Kandjiの既存のユーザー/グループには影響しません。

ユーザーの削除

  • Entra ID がユーザーを非アクティブに設定すると、ユーザーは Kandji テナント内で非アクティブとして設定されます。

  • Entra ID がユーザーを削除すると、そのユーザーは Kandji テナントから削除されます。

Blueprintの条件付きロジック

グループで Assignment Map 条件付きロジックを使用する場合は、 Kandji でプロビジョニングする各グループを SCIM アプリに明示的に追加する必要があります。グループのメンバーであるユーザーを追加しても、グループは自動的に同期されません。

Microsoft デバイスのコンプライアンス

Entra ID、SCIM ユーザー ディレクトリ統合、および Microsoft Device Compliance 統合を使用している場合は、SCIM アプリケーションの externalId 属性のユーザーとグループの属性マッピングが、以下に示すように objectId にマップされていることを確認してください。 objectId は、Intune でユーザーとグループのリソースをマップするために Kandji によって使用されます。

ユーザー属性

ユーザー値

externalId

objectId

グループ属性

グループ値

externalId

objectId

ユーザーマッピングとグループマッピングの更新

  1. Microsoft Entra 管理センターで SCIM エンタープライズアプリケーションに移動します。

  2. [プロビジョニング] を選択します。

  3. [プロビジョニングの概要] ページで、[ プロビジョニングの編集 ] を選択します。

  4. [属性マッピング (プレビュー)] セクションを選択します。

  5. ユーザー属性を更新する場合は、[Microsoft Entra ID ユーザーのプロビジョニング] をクリックします。

  6. グループ属性を更新する場合は、[ Microsoft Entra ID グループのプロビジョニング] をクリックします。

  7. externalId が objectId にマップされていることを確認します。

  8. そうでない場合は、属性の右側にある 「編集」ボタンをクリックし、リストから「objectId」を選択します。

  9. 「保存」をクリックします。

  10. 「X」をクリックして戻ります。

  11. プロビジョニングの概要ページに戻り、値が変更された場合は、プロビジョニングサービスを停止してから開始して、更新された値をすぐに Kandji にプッシュする必要があります。

  12. [ プロビジョニングの停止 ] ボタンをクリックします。

  13. [ プロビジョニングの開始 ] ボタンをクリックします。