Apple Business ManagerとのAzure ADの同期要件
クロスドメインID管理システム(SCIM)を使用して、Apple Business Managerにユーザを読み込むことができます。SCIMを使用して、Apple Business Managerのプロパティ(役割など)を、Microsoft Azure Active Directory(Azure AD)から読み込まれたアカウントデータと統合できます。SCIMを使用してユーザを読み込むと、SCIMとの接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性が編集できるようになります。最初の同期には、その後の同期(Azure ADのプロビジョニングサービスが実行されている限り、約40分毎のサイクルで実行される)よりも時間がかかります。Microsoft Azureの製品ドキュメントのWebサイトで「プロビジョニングのヒント」を参照してください。
Azure ADの権限
SCIMを使用してアカウントをApple Business Managerに同期できるAzure ADの役割は次の通りです:
アプリケーション管理者
クラウドアプリケーション管理者
アプリケーション所有者
グローバル管理者
Microsoft Azure ADのWebサイトで「Azure ADの組み込みロール」を参照してください。
Azure ADのテナント
Apple Business ManagerでSCIMを使用するには、組織に他のApple Business Manager組織と同じAzure ADが含まれていてはいけません。組織でSCIMを使用したい場合は、Azure AD管理者に連絡し、他の組織がSCIMで同じAzure ADテナントを使用していないことを確認してください。
Azure ADのグループ
Azure ADでは、どちらの同期の方法にもグループという言葉が使われますが、同期されるのはユーザアカウントのみです。Apple Business ManagerのAzure AD Appには、Azure ADのグループを追加できます。たとえば、Azure ADに「エンジニアリング」「マーケティング」「セールス」という名前のグループがあった場合、この3つのグループをApple Business ManagerのAzure AD Appに追加できます。SCIMを使用して接続すると、それらのグループに含まれるアカウントだけがApple Business Managerに同期されます。
注記: Apple Business ManagerのAzure AD Appは、サブグループには対応していません。
プロビジョニングスコープ
Azure ADからApple Business Managerにアカウントを同期する方法は2つあります。
割り当てられたユーザとグループのみ同期する:このオプションでは、Apple Business ManagerのAzure AD Appで表示されるアカウントのみが、Apple Business Managerに同期されます。この同期方法を使用する場合は、Azure ADアカウントに、Apple Business Managerに同期できる「ユーザ」の役割が設定されている必要があります。
すべてのユーザとグループを同期する:このオプションでは、Azure ADの「ユーザー」タブに表示されるすべてのアカウント(グループの同期はできません)がApple Business Managerに同期され、特定数のアカウントのみを使用する場合でも、連携されたAzure ADのすべてのアカウントに管理対象Apple IDが作成されます。
Microsoft Supportの資料、What is automated SaaS app user provisioning in Azure AD?(Azure ADでの自動化したSaaSアプリのユーザプロビジョニングとは)、および、スコープフィルターを使用した属性ベースのアプリケーションプロビジョニングを参照してください。
プロビジョニングの通知
プロビジョニングを設定する際は、管理者またはユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザがAzure ADからの通知を受け取れるようにする必要があります。
SCIMとFederated Authentication
連携がすでに有効になっている状態でAzure ADのアカウントをApple Business Managerに送信すると、アクティビティは表示されませんが、アカウントは連携されたドメインと同期されます。
Azure ADはIDプロバイダ(IdP)であり、Apple Business Managerのユーザを認証し、認証トークンを発行するために使用します。Apple Business ManagerはAzure ADに対応しているため、Active Directory Federated Services(ADFS)など、Azure ADに接続するその他のIdPも使用できます。Federated Authenticationは、セキュリティ・アサーション・マークアップ言語(SAML)を使用して、Apple School ManagerをAzure ADに接続します。
Azure ADのユーザアカウントとApple Business Manager
SCIMを使用してユーザをAzure ADからApple Business Managerにコピーすると、デフォルトの役割は職員になります。同期が完了すると、「役割」ユーザ属性のみを編集できます。この属性はApple Business Managerのユーザアカウントに保存され、Azure ADに書き戻されることはありません。
SCIMによるユーザ属性のマッピング
SCIMを使用してアカウントをAzure ADからApple Business Managerにコピーすると、以下のユーザ属性が読み取り専用として保存されます。この表では、各ユーザ属性が必須かどうかも確認できます
重要: この表にない属性を追加すると、SCIM接続が使用できなくなります。
Azure ADのユーザ属性 | Apple Business Managerのユーザ属性 | 必須 |
---|---|---|
名 | 名 | |
姓 | 姓 | |
ユーザプリンシパル名 | 管理対象Apple IDとメールアドレス | |
オブジェクトID | (Apple Business Managerには表示されません。この属性は競合アカウントを識別するために使用されます。) | |
部署 | 部署 | |
社員ID | ユーザ番号 | |
カスタム属性(Apple Business ManagerのAzure AD Appで作成する必要があります) | コストセンター | |
カスタム属性(Apple Business ManagerのAzure AD Appで作成する必要があります) | 部門 |
ユーザプリンシパル名
ユーザが、管理者の役割を持つ既存のユーザとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
個人ID(Person ID)
Azure ADのユーザがApple Business Managerに同期されると、Apple Business ManagerのユーザアカウントにユーザIDが作成されます。ユーザIDとオブジェクトIDは、競合アカウントを識別するために使用されます。
以前にSCIMからインポートされたアカウントのユーザIDを変更すると、そのアカウントはAzure ADと同期されなくなります。以前にSCIMからインポートされたアカウントのユーザIDを変更した後、そのアカウントをSCIMに再接続する場合は、「SCIMユーザアカウントの競合を解決する」を参照してください。
推奨事項
SCIMに接続する際は、Apple Business ManagerのAzure AD Appのみを使用する必要があります。
検証済みのドメインはあるものの、Federated Authenticationを有効にしていない場合は、Azure ADのユーザがApple Business Managerに送信済みであることを確認してから、連携を有効にする必要があります。これは、Azure ADのプロビジョニングログで確認できます。Azure ADのユーザが送信済みであることを確認した後で連携を有効にすると、Azure ADのユーザがプロビジョニングされたというアクティビティの通知が届きます。連携がすでに有効になっている状態でAzure ADのアカウントを送信すると、アクティビティは表示されませんが、アカウントでは同期が実行されます。
Azure ADでグループを構成している場合は、ユーザを個別に追加するのではなく、そのグループをApple Business ManageのAzure AD Appに追加することができます。
重要: Apple Business ManageのAzure AD Appで、30日間はユーザ名の再利用をしないでください。
開始する前に
開始する前に、以下を行う必要があります:
使用するドメインを構成し、確認する。「新しいドメインにリンクする」を参照してください。
Federated Authenticationを設定する(ただし、有効にはしない)。「Federated Authenticationを有効にしてテストする」を参照してください。
注記: Federated Authenticationがすでに有効になっていても、プロセスを続けることはできます。前のセクションにある推奨事項を参照してください。
Azure ADで実行する同期の種類を決定し、必要に応じて、割り当てられたアカウントのみをApple Business ManagerのAzure AD Appに同期するためのグループを作成します:
割り当てられたユーザのみ同期する。
すべてのユーザを同期する。
エンタープライズアプリケーションを編集する権限のあるAzure ADの管理者に連絡します。Azure ADの管理者と共に準備ができたら、「SCIMを使用してユーザを読み込む」を参照してください。