ユーザーディレクトリの統合

  • hC
  • EF

注: Microsoft Entra ID は、Azure AD (Azure Active Directory) の新しい名前です

ディレクトリ統合を設定する理由

Kandji では、ユーザーを特定のデバイス に割り当てる ことができます。ディレクトリ統合を使用してユーザーをインポートすると、 Kandjiはユーザーの割り当てを一元的に管理できます。ディレクトリ設定に基づいて、デバイスの自動割り当てを構成できます。 Kandji のデバイスユーザーは、ディレクトリ統合を介してのみ作成および割り当てることができます。 

ユーザーをインポートするには、複数の Google Workspace、Microsoft Entra ID、または System for Cross-Domain Identity Management(SCIM)統合を接続できます。この記事では、Active Directory と Google Workspace のユーザーディレクトリを Kandjiに追加する方法について説明します。これらのネイティブな方法は設定が簡単で、統合しようとしているディレクトリにアクセスできるディレクトリ管理者アカウントのみが必要です。最初のユーザー同期後、 Kandji は 4 時間ごとにユーザーとグループをインポートします。

ディレクトリ内に作成されたユーザー アカウントを追加および削除する場合は、SCIM 統合を使用します。SCIM では、より事前の設定が必要ですが、ジャストインタイム (JiT) アカウントのプロビジョニングとプロビジョニング解除が可能です。SCIM は、 Microsoft Entra IDOkta、および SCIM をサポートするその他のディレクトリ システムで使用できます。詳細については、 SCIM ディレクトリの統合 を参照してください。

Microsoft Entra ID

Microsoft Entra ID統合を追加する

  1. 左側のナビゲーションバーで [統合] に移動します。

  2. [統合] ページの右上にある [ 統合の検出 ] をクリックします。 

  3. [ディレクトリ統合] で、[Azure Active Directory ディレクトリ] の [ 追加と構成 ] をクリックします。

  4. [開始する] をクリックします

  5. 一意の名前を入力します。この名前は、 Kandji でユーザーの元のディレクトリを示すために使用されます。

  6. [ Azure でサインイン] をクリックします。

  7. 統合するディレクトリへの管理者アクセス権を持つ Microsoft Entra ID アカウントを使用してサインインします。

  8. 組織を代表して同意し、[ 同意する] をクリックします。新しいユーザーディレクトリが [統合 ]ページに表示されます。

Google Workspace

Kandji の Google Workspace 統合により、お客様はすべての Google Workspace ユーザーとグループ オブジェクトを Kandji内のユーザーディレクトリに同期できます。これらの委任された権限は、Google API を通じてユーザー ディレクトリ情報を同期するために利用されます。

Google Workspace統合を追加する

  1. 左側のナビゲーションバーで [統合] に移動します。

  2. [統合] ページの右上にある [ 統合の検出 ] をクリックします。 

  3. [ディレクトリ統合] で、[ Google Workspace] の [追加 と設定] をクリックします。

  4. [開始する] をクリックします

  5. 一意の名前を入力します。この名前は、 Kandji でユーザーの元のディレクトリを示すために使用されます。

  6. [ Google でログイン] をクリックします。

  7. 統合するディレクトリへの管理者権限を持つ Google アカウントを使用してサインインします。

  8. [許可] をクリックします。新しいユーザーディレクトリが[統合 ]ページに表示されます。

Google Workspace の権限 

Google Workspace ユーザーを Kandjiに正常に同期するには、次の権限が自動的にリクエストされ、必要になります。Google 管理者は、次の権限を Kandjiに委任するための十分な権限を持っている必要があります。

権限

テキストの表示

正当性

openid

ドメインのユーザーに関する情報を表示する

Google でユーザーと個人情報を関連付ける

userinfo.profile

ドメインのユーザーに関する情報を表示する

公開した個人情報を含む、個人情報を表示する

userinfo.email

ドメインのユーザーに関する情報を表示する

メインの Google アカウントのメールアドレスを表示する

admin.directory.group.readonly

ドメインのグループを表示する

ドメイン上のグループの詳細(名前、メンバーなど)とメタデータ(ログインの詳細など)を表示する

admin.directory.user.readonly

ドメインのユーザーに関する情報を表示する

ドメインユーザーに関するプロフィール情報(名前、メールアドレス、役職、部署など)を表示する権限

Googleからの統合の切断

  1. https://myaccount.google.com/permissions に移動します 最初に統合を設定した際と同じアカウントでサインインしていることを確認します。 

  2. アプリケーションのリストで Kandji アプリケーションの「削除」をクリックします。 

ディレクトリ統合に関する追加情報の表示

  1. 表示するディレクトリ統合の省略記号をクリックします。

  2. [詳細の表示] を選択します。

    1. Microsoft Entra IDとGoogle Workspaceの統合には、ディレクトリへの接続に使用された管理者のメールアカウントと、最後のインポートの時刻が表示されます。 

    2. SCIMインテグレーションには、ディレクトリへの接続に使用された Kandji メール、SCIM API URL、および最後の同期の時刻が表示されます。 

ユーザーディレクトリの同期を強制する

Microsoft Entra ID と Google Workspace ディレクトリは 4 時間ごとに自動的に同期されますが、すぐに同期を強制することもできます。SCIM はクラウドディレクトリからのプッシュメカニズムを使用するため、SCIM ディレクトリ統合を強制的に同期する必要はありません。

  1. 同期するディレクトリ統合の省略記号をクリックします。

  2. [ ユーザーの同期] を選択します。

ディレクトリ統合の再認証

資格情報を更新したり、統合の作成に使用されたアカウントを変更したり、権限を更新したりするには、既存の Microsoft Entra ID または Google ディレクトリ統合の再認証が必要になる場合があります。

  1. 再認証するディレクトリ統合の省略記号をクリックします。

  2. [再認証] を選択します。

  3. 管理者権限を持つGoogleまたはMicrosoft Entra IDアカウントを使用してサインインします。[統合] ページにリダイレクトされます。 

ディレクトリ統合の削除

統合を削除すると、デバイスに割り当てられていないユーザーは Kandjiから削除されます。デバイスに割り当てられたユーザーは残りますが、 Kandji はディレクトリと同期しなくなります。

  1. 削除するディレクトリ統合の省略記号をクリックします。

  2. [統合の削除] を選択します。

  3. 統合の名前を入力して確認します。

  4.   [削除] をクリックします。