Microsoft Entra 管理センターでエンタープライズ アプリのユーザー アカウント プロビジョニングを管理する
この記事では、サポートされているアプリケーションの自動ユーザー アカウントのプロビジョニングとプロビジョニング解除を管理する一般的な手順について説明します。 "ユーザー アカウントのプロビジョニング" とは、アプリケーションのローカル ユーザー プロファイル ストアのユーザー アカウント レコードを作成、更新、無効化することです。 多くのオンプレミス アプリケーションに加えてほとんどのクラウドおよび SaaS アプリケーションでは、アプリケーション独自のローカル ユーザー プロファイル ストアにロールとアクセス許可が保存されます。 シングル サインオンとアクセスが機能するためには、アプリケーションのローカル ストア内にこのようなユーザー レコードが存在する "必要" があります。 自動ユーザー アカウント プロビジョニングの詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」 を参照してください。
重要
Microsoft Entra ID には、Microsoft Entra ID を使用した自動プロビジョニングが有効になっている何千もの事前統合アプリケーションを含むギャラリーがあります。 まず、SaaS アプリと Microsoft Entra ID を統合する方法に関するチュートリアルの 一覧で、使用しているアプリケーションに固有のプロビジョニングのセットアップのチュートリアルを見つけてください。 ここでは、アプリと Microsoft Entra ID の両方を構成して、プロビジョニング接続を作成する段階的な手順が表示される可能性があります。
ポータルでアプリを検索する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra 管理センターを使用して、ディレクトリでのシングル サインオン用に構成されているすべてのアプリケーションを表示して管理します。 エンタープライズ アプリとは、組織内で使用されるデプロイ済みのアプリです。 エンタープライズ アプリを表示して管理するには、次の手順に従います。
アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
ギャラリーから追加されたアプリを含む、構成済みのすべてのアプリの一覧が表示されます。
任意のアプリを選択し、そのリソース ウィンドウを読み込み、そこでレポートを表示したり、アプリの設定を管理したりできます。
選択したアプリのユーザー アカウントのプロビジョニング設定を管理するには、 [プロビジョニング] を選択します。
プロビジョニング モード
[プロビジョニング] ウィンドウの先頭には [モード] メニューがあり、エンタープライズ アプリケーションでサポートされているプロビジョニング モードが表示され、プロビジョニング モードを構成できます。 利用可能なオプションは、次のとおりです。
[自動] - Microsoft Entra ID でこのアプリケーションに対する API ベースの自動ユーザー アカウント プロビジョニングやプロビジョニング解除がサポートされている場合、このオプションが表示されます。 このモードを選択すると、管理者に役立つインターフェイスが表示されます。
- アプリケーションのユーザー管理 API に接続するようにMicrosoft Entra ID を構成する
- Microsoft Entra ID とアプリの間でのユーザー アカウント データのフロー方法を定義するアカウント マッピングとワークフローを作成する
- Microsoft Entra プロビジョニング サービスを管理する
[手動] - Microsoft Entra ID でこのアプリケーションに対するユーザー アカウントの自動プロビジョニングがサポートされていない場合、このオプションが表示されます。 この場合は、アプリケーションが提供するユーザーの管理とプロビジョニング機能 (SAML のジャストインタイム プロビジョニングなど) に基づき、外部プロセスを使用して、そのアプリケーションに格納されているユーザー アカウント レコードを管理する必要があることを意味します。
自動ユーザー アカウント プロビジョニングを構成する
[自動] オプションを選択し、管理者の資格情報、マッピング、開始と停止、および同期の設定を指定します。
[Admin Credentials (管理者の資格情報)]
[管理者資格情報] を展開し、Microsoft Entra ID をアプリケーションのユーザー管理 API に接続するために必要な資格情報を入力します。 必要な入力は、アプリケーションによって異なります。 資格情報の種類と特定のアプリケーションの要件の詳細については、 その特定のアプリケーションの構成に関するチュートリアルを参照してください。
Microsoft Entra ID が、指定された資格情報を使用してアプリのプロビジョニング アプリへの接続を試みることで、[接続テスト] を選択して、資格情報をテストします。
マッピング
[マッピング] を展開し、ユーザー アカウントをプロビジョニングまたは更新する場合に、Microsoft Entra ID とターゲット アプリケーションの間でフローするユーザー属性を表示および編集します。
Microsoft Entra ユーザー オブジェクトと各 SaaS アプリのユーザー オブジェクトの間には、構成済みの一連のマッピングが存在します。 一部のアプリではグループ オブジェクトも管理します。 テーブルでマッピングを選択するとマッピング エディターが開き、それらを表示してカスタマイズできます。
サポートされるカスタマイズは次のとおりです。
Microsoft Entra ユーザー オブジェクトと SaaS アプリのユーザー オブジェクトなど、特定のオブジェクトのマッピングを有効および無効にする。
Microsoft Entra ユーザー オブジェクトからアプリのユーザー オブジェクトにフローする属性を編集する。 属性マッピングの詳細については、「 属性マッピングの種類について」を参照してください。
Microsoft Entra ID がターゲット アプリケーションに対して実行するプロビジョニング操作をフィルター処理する。 Microsoft Entra ID でオブジェクトを完全に同期するのではなく、実行される操作を制限することができます。
たとえば、[更新] のみを選択すると、Microsoft Entra はアプリケーションの既存のユーザー アカウントの更新のみを行い、新しいユーザー アカウントは作成しません。 [作成] のみを選択すると、Azure は新しいユーザー アカウントの作成のみを行い、既存のユーザー アカウントは更新しません。 この機能により、アカウントの作成ワークフローと更新ワークフローで異なるマッピングを作成できます。
新しい属性マッピングを追加する。 [属性マッピング] ウィンドウの下部にある [新しいマッピングの追加] を選択します。 [属性の編集] フォームに記入し、 [OK] を選択してリストに新しいマッピングを追加します。
設定
[設定] を展開して通知を受信するためのメール アドレスと、エラー発生時にアラートを受信するかどうかを設定します。 同期するユーザーのスコープも選択します。すべてのユーザーとグループ、または割り当てられているユーザーのみを同期することを選択します。
プロビジョニング状態
アプリケーションに対して初めてプロビジョニングを有効にする場合は、 [プロビジョニング状態] を [オン] に変更して、サービスを有効にします。 この変更により、Microsoft Entra プロビジョニング サービスで初期周期が実行されます。 これにより、[ユーザーとグループ] セクションで割り当てられたユーザーが読み取られ、そのユーザーのターゲット アプリケーションが照会され、Azure AD の [マッピング] セクションで定義されているプロビジョニング操作が実行されます。 このプロセス中に、プロビジョニング サービスは、管理対象のユーザー アカウントに関するキャッシュ データを格納します。 このサービスではキャッシュ データが格納されるため、割り当てのスコープに存在しない、ターゲット アプリケーション内の管理対象外のアカウントはプロビジョニング解除操作の影響を受けません。 初期周期の後、プロビジョニング サービスでは 40 分間隔で自動的にユーザーとグループ オブジェクトを同期します。
[プロビジョニング状態] を [オフ] に変更すると、プロビジョニング サービスが一時停止します。 この状態では、アプリのユーザーやグループ オブジェクトの作成、更新、削除が行われることはありません。 状態を [オン] に戻すと、サービスは中断したところから再開します。