チュートリアル: 自動ユーザー プロビジョニングを行うために Workplace from Meta を構成する

  • [アーティクル]

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために Workplace from Meta と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成すると、Microsoft Entra ID では、Microsoft Entra プロビジョニング サービスを使用して、Workplace from Meta に対するユーザーのプロビジョニングとプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

  • Workplace from Meta でのユーザーの作成
  • アクセスが不要になった際の Workplace from Meta でのユーザーの削除
  • Microsoft Entra ID と Workplace from Meta の間でのユーザー属性の同期の維持
  • Workplace from Meta へのシングル サインオン (推奨)

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

Note

このチュートリアルの手順をテストする場合、運用環境を使用しないことをお勧めします。

Note

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

このチュートリアルの手順をテストするには、次の推奨事項に従ってください。

  • 運用環境は、必要な場合を除き、使用しないでください。
  • Microsoft Entra の評価環境がない場合は、こちらから 1 か月間の評価版を入手できます。

手順 1:プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの対象となるユーザーを決定します。
  3. Microsoft Entra ID と Workplace from Meta の間でマップするデータを決定します。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように Workplace from Meta を構成する

プロビジョニング サービスを構成して有効にするには、Workplace from Meta アプリへのアクセスが必要なユーザーを示す Microsoft Entra ID のユーザーを決定する必要があります。 決定したら、次の手順に従って、Workplace from Meta アプリにこれらのユーザーを割り当てることができます。

  • プロビジョニング構成をテストするには、1 人の Microsoft Entra ユーザーを Workplace from Meta に割り当てることをお勧めします。 後で追加のユーザーを割り当てられます。

  • Workplace from Meta にユーザーを割り当てるときは、有効なユーザー ロールを選ぶ必要があります。 "既定のアクセス" ロールはプロビジョニングでは機能しません。

Microsoft Entra アプリケーション ギャラリーから Workplace from Meta を追加して、Workplace from Meta へのプロビジョニングの管理を開始します。 以前に Workplace from Meta で SSO を設定した場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4:プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。

手順 5: Workplace from Meta に対する自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザー割り当てに基づいて、Workplace from Meta アプリでユーザーを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します

    [エンタープライズ アプリケーション] ブレード

  3. アプリケーションの一覧で、[Workplace from Meta] を選択します。

    アプリケーションの一覧の Workplace from Meta リンク

  4. [プロビジョニング] タブを選択します。

    [プロビジョニング] オプションが強調表示された [管理] オプションのスクリーンショット。

  5. [プロビジョニング モード][自動] に設定します。

    [自動] オプションが強調表示された [プロビジョニング モード] ドロップダウン リストのスクリーンショット。

  6. "テナント URL" セクションに正しいエンドポイント (https://scim.workplace.com/) が設定されていることを確認します。 [管理者資格情報] セクション下にある [承認する] をクリックします。 Workplace from Meta の承認ページにリダイレクトされます。 Workplace from Meta ユーザー名を入力して、[続行] ボタンをクリックします。 [テスト接続] をクリックして、Microsoft Entra ID で Workplace from Meta に接続できることを確認します。 接続に失敗した場合は、Workplace from Meta アカウントに管理者のアクセス許可があることを確認してから、もう一度やり直してください。

    スクリーンショットには、[承認] オプションを伴った [管理者資格情報] ダイアログ ボックスが示されています。

    承認

    Note

    URL を https://scim.workplace.com/ に変更しないと、構成を保存できません。

  7. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  8. [保存] を選択します。

  9. [マッピング] セクションで、[Microsoft Entra ユーザーを Workplace from Meta に同期する] を選択します。

  10. [属性マッピング] セクションで、Microsoft Entra ID から Workplace from Meta に同期するユーザー属性を確認します。 照合プロパティとして選択されている属性は、更新操作の際に、Workplace from Meta のユーザー アカウントとの照合に使用されます。 照合するターゲット属性を変更する場合は、Workplace from Meta API が属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    userName String
    displayName String
    active Boolean
    title Boolean
    emails[type eq "work"].value String
    name.givenName String
    name.familyName String
    name.formatted String
    addresses[type eq "work"].formatted String
    addresses[type eq "work"].streetAddress String
    addresses[type eq "work"].locality String
    addresses[type eq "work"].region String
    addresses[type eq "work"].country String
    addresses[type eq "work"].postalCode String
    addresses[type eq "other"].formatted String
    phoneNumbers[type eq "work"].value String
    phoneNumbers[type eq "mobile"].value String
    phoneNumbers[type eq "fax"].value String
    externalId String
    preferredLanguage String
    urn:scim:schemas:extension:enterprise:1.0.manager String
    urn:scim:schemas:extension:enterprise:1.0.department String
    urn:scim:schemas:extension:enterprise:1.0.division String
    urn:scim:schemas:extension:enterprise:1.0.organization String
    urn:scim:schemas:extension:enterprise:1.0.costCenter String
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber String
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method String
    urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline Boolean
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Integer

  11. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  12. Workplace from Meta で Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで、[プロビジョニング状態][オン] に変更します。

    プロビジョニングの状態を [オン] に切り替える

  13. [設定] セクションの [スコープ] で適切な値を選択して、Workplace from Meta にプロビジョニングするユーザーを定義します。

    プロビジョニングのスコープ

  14. プロビジョニングの準備ができたら、 [保存] をクリックします。

    プロビジョニング構成の保存

この操作によって、 [設定] セクションの [スコープ] で定義したすべてのユーザーの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

トラブルシューティングのヒント

  • ユーザーの作成に失敗し、コード "1789003" を含む監査ログ イベントが発生した場合は、そのユーザーが未確認のドメインからのユーザーであることを意味しています。
  • 次のようなエラーが表示される場合があります。「エラー: 電子メール フィールドがありません: 電子メールを提供する必要があります Facebook からエラーが返されました: HTTP 要求の処理中に例外が発生しました。 詳細については、この例外の 'Response' プロパティによって返される HTTP 応答を参照してください。 この操作は 0 回再試行されました。 この日より後に再試行されます」。 このエラーの原因は、メールを userPrincipalName ではなく Facebook の電子メールにマップしているが、一部のユーザーにメール属性がないためです。 このエラーを回避して、エラーが発生したユーザーを Workplace from Facebook に正常にプロビジョニングするには、Workplace from Facebook の電子メール属性への属性マッピングを結合 ([mail]、[userPrincipalName]) に変更するか、Workplace from Facebook からユーザーの割り当てを解除するか、ユーザーの電子メール アドレスをプロビジョニングします。
  • Workplace には、メール アドレスを持っていないユーザーの存在を許可するオプションがあります。Workplace 側でこの設定を切り替えた場合、メールのないユーザーを Workplace で正常に作成するには、Azure 側のプロビジョニングを再起動する必要があります。

Workplace from Meta SCIM 2.0 エンドポイントを使用するように Workplace from Meta を更新する

Facebook では、2021 年 12 月に SCIM 2.0 コネクタをリリースしました。 以下の手順を完了すると、SCIM 1.0 エンドポイントを使用するように構成されたアプリケーションが、SCIM 2.0 エンドポイントを使用するように更新されます。 次の手順では、Workplace from Meta アプリケーションで以前行われていたカスタマイズを削除します。

  • 認証の詳細
  • スコープ フィルター
  • カスタム属性マッピング

Note

以下の手順を完了する前に、上記の設定に加えた変更を必ずメモしておいてください。 そうしないと、カスタマイズされた設定が失われる可能性があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Workplace from Meta] に移動します。

  3. 新しいカスタム アプリの [プロパティ] セクションで、 [オブジェクト ID] をコピーします。

    Azure portal の Workplace from Meta アプリのスクリーンショット

  4. 新しい Web ブラウザー ウィンドウで https://developer.microsoft.com/graph/graph-explorer に移動し、アプリの追加先の Microsoft Entra テナントの管理者としてサインインします。

    Microsoft Graph エクスプローラーのサインイン ページのスクリーンショット

  5. 使用されているアカウントに適切なアクセス許可が付与されていることを確認します。 この変更を行うには、アクセス許可 "Directory.ReadWrite.All" が必要です。

    Microsoft Graph の設定オプションのスクリーンショット

    Microsoft Graph のアクセス許可のスクリーンショット。

  6. 前にアプリから選択したオブジェクト ID を使用して、次のコマンドを実行します。

    GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

  7. 上記の GET 要求の応答本文から "id" 値を取得し、次のコマンドを実行します。"[job-id]" は GET 要求からの id 値で置き換える必要があります。 値は、"FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx" という形式にする必要があります。

    DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

  8. Graph エクスプローラーで、次のコマンドを実行します。 "[object-id]" を、手順 3 でコピーしたサービス プリンシパル ID (オブジェクト ID) に置き換えます。

    POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }

    Microsoft Graph の要求のスクリーンショット。

  9. 最初の Web ブラウザー ウィンドウに戻り、アプリケーションの [プロビジョニング] タブを選択します。 構成がリセットされます。 アップグレードが実行されたことは、ジョブ ID が "FacebookWorkplace" で始まっていることで確認できます。

  10. [管理者資格情報] セクションの [テナント URL] に、https://scim.workplace.com/ の形式で入力します

    Azure portal の Workplace from Meta アプリの管理者資格情報のスクリーンショット

  11. アプリケーションに対して加えた以前の変更 (認証の詳細、スコープ フィルター、カスタム属性マッピング) を復元し、プロビジョニングを再び有効にします。

    Note

    前の設定を復旧できない場合、ワークプレースで属性 (name.formatted など) が突然更新されることがあります。 プロビジョニングを有効にする前に必ず構成を確認してください。

ログの変更

  • 2020 年 9 月 10日 - "division"、"organization"、"costCenter"、"employeeNumber" のエンタープライズ属性のサポートを追加しました。 カスタム属性 "startDate"、"auth_method"、"frontline" のサポートを追加しました。
  • 2021 年 7 月 22 日 - Facebook メールへのメールのマッピングはあるが一部のユーザーがメール属性を持っていない場合のトラブルシューティングのヒントを更新しました。

その他のリソース

次のステップ