チュートリアル: 自動ユーザー プロビジョニング用に KnowBe4 Security Awareness Training を構成する

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために KnowBe4 Security Awareness Training と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、KnowBe4 Security Awareness Training に対するユーザーとグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

• KnowBe4 Security Awareness Training のユーザーを作成する。
• アクセスが必要なくなった KnowBe4 Security Awareness Training のユーザーを削除する。
• Microsoft Entra ID と KnowBe4 Security Awareness Training の間のユーザー属性の同期を維持する。
• KnowBe4 Security Awareness Training のグループとグループ メンバーシップをプロビジョニングする。
• KnowBe4 Security Awareness Training へのシングル サインオン (推奨)。

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

• Microsoft Entra テナント。
• アプリケーション管理者ロール、クラウド アプリケーション管理者ロール、またはアプリケーション所有者ロールのいずれか。
• 管理者のアクセス許可を持つ KnowBe4 Security Awareness Training のユーザー アカウント。

手順 1:プロビジョニングのデプロイを計画する

1. プロビジョニング サービスのしくみを確認します。
2. プロビジョニングの対象となるユーザーを決定します。
3. どのようなデータを Microsoft Entra ID と KnowBe4 Security Awareness Training の間でマップするかを決定します。

手順 2: Microsoft Entra ID でのプロビジョニングをサポートするように KnowBe4 Security Awareness Training を構成する

次の手順に従って、コンソールで SCIM 設定を構成します。

Note

エイリアスの電子メール アドレスを使用して ADI から SCIM に切り替える場合、SCIM との統合ではその接続がサポートされていないため、テスト モードを無効にして同期を実行すると、この情報が削除されることに注意してください。

1. KnowBe4 コンソールで、右上隅にあるメール アドレスをクリックし、[アカウントの設定] を選択します。

2. 設定から、[ユーザー管理] > [ユーザー プロビジョニング] セクションに移動します。

3. [Enable User Provisioning (User Syncing)](ユーザー プロビジョニングの有効化 (ユーザー同期)) を選択して、プロビジョニング設定をさらに表示します。

   

4. 既定では、トグルは ADI に設定されます。 SCIM トグルをクリックして設定を開始します。

5. [+ SCIM 設定] をクリックして SCIM 設定を展開します。

   

6. [SCIM トークン] をクリックします。 これにより、トークン ID を含む新しいウィンドウが開きます。 この ID をコピーし、後で簡単にアクセスできる場所に保存します。 このウィンドウを閉じた後にトークンを再び表示することはできないため、このトークンを保存しておくことが重要です。 情報を保存したら、[OK] をクリックしてウィンドウを閉じます。

   Note

   SCIM トークンが生成されると、このボタンは [Regenerate SCIM Token](SCIM トークンの再生成) ボタンに変わります。 詳細については、この記事の「トラブルシューティングのヒント」セクションを参照してください。

   Note

   KnowBe4 との接続を確立するには、ID プロバイダーにトークン (手順 5) とテナント ID (手順 6) を提供する必要があります。 この情報は、ID プロバイダーとの接続の設定に向けて準備する際にすぐに利用できるよう、必ず保存しておいてください。

7. テナント URL をコピーし、後で簡単にアクセスできる場所に保存します。

8. テスト モード オプションが選択されていることを確認します。

   

   Note

   テスト モードは、KnowBe4 と ID プロバイダーの間の接続を構成し、同期が正常に実行されるまで有効にしておくことをお勧めします。テスト モードは、SCIM を有効にした際に何が起こるかのレポートを生成するために使用されます。 つまり、コンソールに変更は加えられないため、コンソールの変更を気にすることなくセットアップを構成できます。 準備ができたら、[アカウント設定] からテスト モードを無効にして、同期を有効にすることができます。ADI から SCIM に切り替える場合は、[アカウント設定] を保存した後にテスト モードが自動的に有効になります。

9. [アカウント設定] ページの下部までスクロールし、[変更の保存] をクリックします。 KnowBe4 アカウントで SCIM を有効にしたら、ID プロバイダーとの接続を完了する準備は完了です。 使用している ID プロバイダーの SCIM を構成する手順については、以下のいずれかの記事を参照してください。

手順 3: Microsoft Entra アプリケーション ギャラリーから KnowBe4 Security Awareness Training を追加する

KnowBe4 Security Awareness Training へのプロビジョニングの管理を開始するには、Microsoft Entra アプリケーション ギャラリーから KnowBe4 Security Awareness Training を追加します。 SSO のために nowBe4 Security Awareness Training を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4:プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

• 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

• 追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。

手順 5: KnowBe4 Security Awareness Training への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザーやグループの割り当てに基づいて KnowBe4 Security Awareness Training のユーザーやグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で KnowBe4 Security Awareness Training の自動ユーザー プロビジョニングを構成するには、次を行います。

1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します

   

3. アプリケーションの一覧で、[KnowBe4 Security Awareness Training] を選択します。

   

4. [プロビジョニング] タブを選択します。

   

5. [プロビジョニング モード] を [自動] に設定します。

   

6. [管理者資格情報] セクションで、KnowBe4 Security Awareness Training のテナントの URL とシークレット トークンを入力します。 [接続テスト] をクリックして、Microsoft Entra ID が KnowBe4 Security Awareness Training に接続できることを確認します。 接続に失敗する場合は、KnowBe4 Security Awareness Training アカウントに管理者アクセス許可があることを確認し、再試行します。

   

7. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

   

8. [保存] を選択します。

9. [マッピング] セクションの [Microsoft Entra ユーザーを KnowBe4 Security Awareness Training に同期する] を選択します。

10. [属性マッピング] セクションで、Microsoft Entra から KnowBe4 Security Awareness Training に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作のために KnowBe4 Security Awareness Training のユーザー アカウントを照合するために使用されます。 一致する対象の属性を変更することにした場合は、その属性に基づいたユーザーのフィルター処理が KnowBe4 Security Awareness Training API によって確実にサポートされるようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性	Type	フィルター処理のサポート	KnowBe4 Security Awareness Training で必要
    userName	String	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	リファレンス
    active	Boolean
    title	String
    name.givenName	String
    name.familyName	String
    externalId	String
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	String

11. [マッピング] セクションの [Microsoft Entra グループを KnowBe4 Security Awareness Training に同期する] を選択します。

12. [属性マッピング] セクションで、Microsoft Entra から KnowBe4 Security Awareness Training に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新操作のために KnowBe4 Security Awareness Training のグループを照合するために使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性	Type	フィルター処理のサポート	KnowBe4 Security Awareness Training で必要
    displayName	String	✓	✓
    members	リファレンス
    externalId	String

13. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

14. KnowBe4 Security Awareness Training に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態] を [オン] に変更します。

    

15. [設定] セクションの [スコープ] で目的の値を選択することによって、KnowBe4 Security Awareness Training にプロビジョニングするユーザーまたはグループ、あるいはその両方を定義します。

    

16. プロビジョニングの準備ができたら、 [保存] をクリックします。

    

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

• プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
• 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
• プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

手順 7: トラブルシューティングのヒント

• SCIM が有効になると、アカウント設定の SCIM セクションに、トラブルシューティングに使用できる 3 つのボタンが表示されます。 これらのオプションの詳細については、以下一覧を参照してください。

  

  • Regenerate SCIM token (SCIM トークンを再生成する): このボタンを使用して、新しい SCIM トークンを生成します。 このトークンは 1 度しか表示できないので、ウィンドウを閉じる前にこの情報を保存しておいてください。 新しい SCIM トークンを指定するまで、ID プロバイダーと KnowBe4 コンソールの間のリンクは無効になります。

  • Revoke SCIM token (SCIM トークンの取り消し): このボタンを使用して、現在の SCIM トークンを無効にします。 現在このトークンを使用している ID プロバイダーは、KnowBe4 コンソールにリンクされなくなります。

  • Force Sync Now (今すぐ同期を行う): このボタンを使用すると、ID プロバイダーからの変更を必要とせずに、いつでも SCIM 同期を手動で強制できます。

その他のリソース

• エンタープライズ アプリのユーザー アカウント プロビジョニングの管理
• Microsoft Entra ID のアプリケーション アクセスとシングル サインオンとは

次のステップ

• プロビジョニング アクティビティのログの確認方法およびレポートの取得方法