Microsoft Entra ID でマルチテナント アプリケーションの自動ユーザー プロビジョニングを有効にする
自動ユーザープロビジョニングとは、SaaS アプリケーションなどのターゲット システムでユーザー ID の作成、保守、削除を自動化するプロセスのことです。
自動ユーザー プロビジョニングを有効にする理由
ユーザーが初めてサインインする前にユーザー レコードがアプリケーション内にあることが要求されるアプリケーションでは、ユーザー プロビジョニングが必要です。 サービス プロバイダーと顧客の両方にメリットがあります。
サービス プロバイダーにとってのメリット
Microsoft ID プラットフォームを使用することでアプリケーションのセキュリティが強化されます。
顧客があなたのアプリケーションを採用するために行う実際の作業と認識されている作業が減ります。
System for Cross-Domain Identity Management (SCIM) ベースのプロビジョニングを使用することで、自動ユーザー プロビジョニングに対応するための、複数の ID プロバイダー (IdP) との統合のコストが削減されます。
顧客がユーザー プロビジョニングの問題をトラブルシューティングするのに役立つ豊富なログを提供することで、サポート コストが削減されます。
Microsoft Entra アプリ ギャラリーでのアプリケーションの可視性が向上します。
アプリのチュートリアル ページで優先順位が付けられた一覧を取得できます。
顧客にとってのメリット
ロールを変更するユーザーや組織を去るユーザーの、アプリケーションへのアクセス権を自動的に削除することで、セキュリティが強化されます。
手動によるプロビジョニングに関連した人為的エラーや繰り返し作業を回避することで、アプリケーションのユーザー管理が簡素化されます。
独自に開発したプロビジョニング ソリューションのホスティングとメンテナンスのコストが削減されます。
プロビジョニング方法を選択する
Microsoft Entra ID には、アプリケーションの自動ユーザー プロビジョニングを有効にするための統合パスがいくつか用意されています。
Microsoft Entra プロビジョニング サービスでは、Microsoft Entra ID からアプリケーションへ (外向きのプロビジョニング) とアプリケーションから Microsoft Entra ID へ (内向きのプロビジョニング) のユーザーのプロビジョニングとプロビジョニング解除が管理されます。 このサービスは、あなたのアプリケーションによって提供される System for Cross-Domain Identity Management (SCIM) ユーザー管理 API エンドポイントに接続します。
Microsoft Graph を使用しているときに、そのアプリケーションでは、Microsoft Graph API のクエリを実行し、Microsoft Entra ID からそのアプリケーションに対するユーザーとグループの内向きおよび外向きのプロビジョニングが管理されます。
アプリケーションでフェデレーションに SAML が使用されている場合は、Security Assertion Markup Language Just in Time (SAML JIT) のユーザー プロビジョニングを有効にすることができます。 これは、SAML トークンで送信された要求情報を使用してユーザーのプロビジョニングを行います。
アプリケーションで使用する統合オプションを決定するには、比較の概要の表を参照してから、各オプションの詳細情報を確認してください。
| 自動プロビジョニングによって有効化または強化される機能 | Microsoft Entra プロビジョニング サービス (SCIM 2.0) | Microsoft Graph API (OData v4.0) | SAML JIT |
|---|---|---|---|
| Microsoft Entra ID でのユーザーとグループの管理 | √ | √ | ユーザーのみ |
| オンプレミスの Active Directory から同期されるユーザーおよびグループを管理する | √* | √* | ユーザーのみ* |
| Microsoft 365 データへのアクセスのプロビジョニング時にユーザーやグループを超えてデータにアクセスする (Teams、SharePoint、メール、カレンダー、ドキュメントなど) | +X | √ | X |
| ビジネス ルールに基づいてユーザーの作成、読み取り、更新を行う | √ | √ | √ |
| ビジネス ルールに基づいてユーザーを削除する | √ | √ | x |
| Microsoft Entra 管理センターからすべてのアプリケーションの自動ユーザー プロビジョニングを管理する | √ | X | √ |
| 複数の ID プロバイダーをサポートする | √ | X | √ |
| ゲスト アカウント (B2B) をサポートする | √ | √ | √ |
| エンタープライズ以外のアカウント (B2C) をサポートする | X | √ | √ |
* - AD から Microsoft Entra ID にユーザーを同期するには、Microsoft Entra Connect のセットアップが必要です。
+– プロビジョニングに SCIM を使用しても、他の目的のためにアプリケーションを Microsoft Graph と統合することが妨げられることはありません。
Microsoft Entra プロビジョニング サービス (SCIM)
Microsoft Entra プロビジョニング サービスは、多くの ID プロバイダー (IdP) とアプリケーション (Slack、G Suite、Dropbox など) によってサポートされているプロビジョニングの業界標準である SCIM を使用します。 Microsoft Entra ID に加えて IdP をサポートする場合は、Microsoft Entra プロビジョニング サービスを使用することをお勧めします。これは、SCIM 準拠の IdP が SCIM エンドポイントに接続できるためです。 単純な /User エンドポイントを構築すると、独自の同期エンジンを維持しなくてもプロビジョニングを有効にすることができます。
Microsoft Entra プロビジョニング サービスでの SCIM の使用方法について詳しくは、以下を参照してください。
プロビジョニングのための Microsoft Graph
プロビジョニングに Microsoft Graph を使用すると、Graph で使用可能なすべてのリッチ ユーザー データにアクセスできます。 ユーザーとグループの詳細情報に加え、ユーザーのロール、マネージャーと直属の部下、所有するデバイスと登録されたデバイス、および Microsoft Graph で利用可能なその他の数百のデータなどの追加情報も取得できます。
1,500 万を超える組織、および Fortune 500 に選ばれた企業の 90% が、Microsoft 365、Microsoft Azure、Enterprise Mobility Suite などの Microsoft クラウド サービスをサブスクライブしながら Microsoft Entra ID を使用しています。 Microsoft Graph を使用して、従業員のオンボーディング (と退職)、プロファイルの保守などの管理ワークフローとアプリを統合できます。
プロビジョニングでの Microsoft Graph の使用の詳細については、次をご覧ください。
プロビジョニングに SAML JIT を使用する
アプリケーションへの初めてのサインインのときにのみユーザーをプロビジョニングする必要があり、ユーザーを自動的にプロビジョニング解除する必要はない場合は、SAML JIT を選択できます。 SAML JIT を使用するには、SAML 2.0 がフェデレーション プロトコルとしてアプリケーションでサポートされている必要があります。
SAML JIT は、SAML トークン内の要求情報を使用して、アプリケーションのユーザー情報を作成および更新します。 顧客は、必要に応じて、これらの必要な要求を Microsoft Entra アプリケーションで構成できます。 場合によっては、顧客がこの機能を使用できるようにするために、アプリケーション側から JIT プロビジョニングを有効にする必要があります。 SAML JIT はユーザーの作成と更新には役立ちますが、アプリケーションのユーザーを削除したり非アクティブにしたりすることはできません。
次の手順
アプリケーションの一覧を提出し、Microsoft と連携して Microsoft のサイトでドキュメントを作成します。