ユーザーディレクトリの統合

Prev Next

注: Microsoft Entra ID は、Azure AD (Azure Active Directory) の 新しい名前です

ディレクトリ統合を構成する理由

Kandji 、ユーザーを特定のデバイスに 割り当て ることができます。ディレクトリ統合を使用してユーザーをインポートすると、 Kandji ユーザーの割り当てを一元的に管理できます。ディレクトリ設定に基づいて自動デバイス割り当てを構成できます。 Kandji のデバイス ユーザーは、ディレクトリ統合を介してのみ作成および割り当てることができます。 

ユーザーをインポートするには、複数の Google Workspace、Microsoft Entra ID、または System for Cross-Domain Identity Management (SCIM) 統合を接続できます。この記事では、Active Directory と Google Workspace のユーザー ディレクトリを Kandjiに追加する方法について説明します。これらのネイティブメソッドは構成が簡単で、統合しようとしているディレクトリにアクセスできるディレクトリ管理者アカウントのみが必要です。最初のユーザー同期後、 Kandji は 4 時間ごとにユーザーとグループをインポートします。

ディレクトリ内で作成されるユーザーアカウントを追加および削除する場合は、SCIM 統合を使用します。SCIM では、より多くの事前設定が必要ですが、ジャストインタイム (JiT) アカウントのプロビジョニングとプロビジョニング解除が可能です。SCIM は、 Microsoft Entra IDOkta、およびそれをサポートするその他のディレクトリ システムで使用できます。詳細については、「 SCIM ディレクトリ統合 」を参照してください。

Microsoft Entra ID

Microsoft Entra ID 統合を追加する

  1. 左側のナビゲーションバーの [統合] に移動します。

  2. [統合] ページの右上にある [統合の検出 ] をクリックします。 

  3. [ディレクトリ統合] で、[Microsoft Entra ID] の [ 追加と構成 ] をクリックします。

  4. [ 開始] をクリックします。

  5. ユーザーが元のディレクトリを表示するために Kandji で使用される一意の名前を入力します。

  6. [Microsoft Entra ID でサインイン] をクリックします。

    • グローバル管理者ではないアカウントでサインインする場合は、そのサインイン プロセス中に承認を要求する必要がある場合があります。グローバル管理者が要求を承認したら、サインイン プロセスを完了できます。

  7. 統合するディレクトリへの管理者アクセス権を持つ Microsoft Entra ID アカウントを使用してサインインします。

  8. 組織に代わって同意し、[ 同意する] をクリックします。[ 統合] ページに新しいユーザー ディレクトリが表示されます。

Google ワークスペース

Kandji の Google Workspace 統合により、お客様はすべての Google Workspace ユーザーおよびグループオブジェクトを Kandji内のユーザーディレクトリに同期できます。これらの委任された権限は、Google API を通じて利用され、ユーザーのディレクトリ情報を同期します。

Google Workspace 統合を追加する

  1. 左側のナビゲーションバーの [統合] に移動します。

  2. [統合] ページの右上にある [統合の検出 ] をクリックします。 

  3. [ディレクトリ統合] で、[ Google Workspace ] の [ 追加 と構成 ] をクリックします。

  4. [開始] をクリックします

  5. ユーザーが発信元のディレクトリを表示するために Kandji で使用される一意の名前を入力します。

  6. [Google でログイン] をクリックします。

  7. 統合するディレクトリへの管理者アクセス権を持つ Google アカウントを使用してサインインします。

  8. [許可] をクリックします。[統合] ページに新しいユーザー ディレクトリが表示されます。

Google Workspace の権限 

Google Workspace ユーザーを Kandjiに正常に同期するには、次の権限が自動的に要求され、必要になります。Google 管理者は、次の権限を Kandjiに委任するのに十分な権限を持っている必要があります。

許可 

テキストの表示

ジャスティフィケーション

openid

ドメインのユーザーに関する情報を表示する

Google で個人情報に関連付ける

userinfo.profile

ドメインのユーザーに関する情報を表示する

公開した個人情報を含む個人情報を表示する

userinfo.email

ドメインのユーザーに関する情報を表示する

メインの Google アカウントのメールアドレスを確認する

admin.directory.group.readonly

ドメインのグループを表示する

ドメイン上のグループの詳細(名前、メンバーなど)とメタデータ(ログインの詳細など)を表示する

admin.directory.user.readonly

ドメインのユーザーに関する情報を表示する

ドメイン ユーザーに関するプロフィール情報(名前、メールアドレス、役職、部署など)を表示する権限

Google からの統合の切断

  1. https://myaccount.google.com/permissions に移動します。統合を最初に構成したのと同じアカウントでサインインしていることを確認します。 

  2. アプリケーションの一覧で、 Kandji アプリケーションの [削除] をクリックします。 

ディレクトリ統合に関する追加情報の表示

  1. 表示するディレクトリ統合の省略記号をクリックします。

  2. [詳細の表示] を選択します。

    1. Microsoft Entra ID と Google Workspace の統合には、ディレクトリへの接続に使用された管理者のメール アカウントと、最後のインポートの時刻が表示されます。 

    2. SCIM 統合には、ディレクトリへの接続に使用された Kandji 電子メール、SCIM API URL、および最後の同期時刻が表示されます。 

ユーザーディレクトリ同期の強制

Microsoft Entra ID と Google Workspace ディレクトリは 4 時間ごとに自動的に同期されますが、即時同期を強制することもできます。SCIM はクラウドディレクトリからのプッシュメカニズムを使用するため、SCIM ディレクトリ統合を強制的に同期する必要はありません。

  1. 同期するディレクトリ統合の省略記号をクリックします。

  2. [ユーザーの同期] を選択します。

ディレクトリ統合の再認証

資格情報を更新したり、統合の作成に使用されたアカウントを変更したり、アクセス許可を更新したりするために、既存の Microsoft Entra ID または Google ディレクトリ統合を再認証する必要がある場合があります。

  1. 再認証するディレクトリ統合の省略記号をクリックします。

  2. [ 再認証] を選択します。

  3. 管理者アクセス権を持つ Google または Microsoft Entra ID アカウントを使用してサインインします。[統合] ページにリダイレクトされます。 

ディレクトリ統合の削除

統合を削除すると、デバイスに割り当てられていないユーザーが Kandjiから削除されます。デバイスに割り当てられたユーザーは残りますが、 Kandji はそれらをディレクトリと同期しなくなります。

  1. 削除するディレクトリ統合の省略記号をクリックします。

  2. [統合の削除] を選択します。

  3. 統合の名前を入力して確認します。

  4.  [ 削除] をクリックします。