Microsoft Entra IDからユーザアカウントをApple Business Managerに同期する
OpenID Connect(OIDC)を使用してユーザアカウントをApple Business Managerに同期することができます。このシステムを使用すると、Apple Business Managerのプロパティ(役割など)に、Microsoft Entra IDから読み込まれたユーザアカウントデータを追加できます。OIDCを使用してユーザアカウントを読み込むと、Microsoft Entra IDとの接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、ユーザアカウントは手動アカウントになり、アカウントの属性が編集できるようになります。
開始する前に
OIDC接続を使用してMicrosoft Entra IDと同期する前に、以下を行う必要があります。
必要に応じて、使用するドメインを構成し、確認します。「ドメインを追加し、確認する」を参照してください。Google Workspaceと連携するドメインをすでに確認済みの場合は、このプロセスを省略できます。
ドメインを構成、連携し、有効にします。「Microsoft Entra IDとのFederated Authenticationを使用する」を参照してください。
接続を設定する際は、管理者またはユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザがMicrosoft Entra IDからの通知を受け取れるようにする必要があります。
Microsoft Entra IDの設定を編集する権限のあるMicrosoft Entra IDのグローバル管理者に連絡します。
Microsoft Entra IDのユーザアカウントとApple Business Manager
OIDCを使用してMicrosoft Entra IDからApple Business Managerに同期されたユーザアカウントには、デフォルトで職員の役割が割り当てられます。同期が完了すると、「役割」ユーザアカウント属性のみを編集できます。この属性はApple Business Managerのユーザアカウントに保存されます。Microsoft Entra IDに書き戻されることはありません。
重要: Apple Business ManagerのEntra IDアプリで、30日間はユーザ名の再利用をしないでください。
サインイン属性
Apple Business Managerで管理対象Apple Accountに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple Business Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
ユーザプリンシパル名
ユーザアカウントが、管理者またはユーザマネージャの役割を持つ既存のユーザアカウントとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
個人ID(Person ID)
Microsoft Entra IDのユーザアカウントがApple Business Managerに同期されると、Apple Business ManagerのユーザアカウントにユーザIDが作成されます。このユーザIDは、競合するユーザアカウントを識別するために使用されます。
ユーザIDの変更に関する重要な考慮事項:
以前にMicrosoft Entra IDから読み込まれたユーザアカウントのユーザIDを変更すると、そのユーザアカウントはMicrosoft Entra IDと同期されなくなります。
以前にMicrosoft Entra IDから読み込まれたユーザアカウントのユーザIDを変更した後、そのアカウントを再接続する場合は、「Microsoft Entra IDのOIDCユーザアカウントの競合を解決する」を参照してください。
Microsoft Entra IDのテナント
Apple Business ManagerでOIDCを使用するには、組織に他のApple Business Manager組織と同じMicrosoft Entra IDテナントが含まれていてはいけません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
Microsoft Entra IDのグループ
Microsoft Entra IDでは、ユーザインターフェイスを使用してグループアカウントを同期できますが、同期がサポートされるのは同じグループに属するユーザアカウントのみです。
Microsoft Entra IDでグループアカウントを構成している場合は、ユーザを個別に追加するのではなく、そのグループをApple Business ManagerのEntra IDアプリに追加することができます。
注記: Apple Business ManagerのEntra IDアプリは、サブグループには対応していません。
OIDCによるユーザ属性のマッピング
OIDCを使用してユーザアカウントをMicrosoft Entra IDからApple Business Managerに同期すると、以下のユーザ属性が読み取り専用として保存されます。この表では、各ユーザ属性が必須かどうかも確認できます。
重要: この表にない属性を追加すると、OIDC接続が使用できなくなります。
Microsoft Entra IDのユーザ属性 | Apple Business Managerのユーザ属性 | 必須 |
|---|---|---|
givenName | 名 |
|
surname | 姓 |
|
userPrincipalName | 管理対象Apple Accountとメールアドレス |
|
objectId | (Apple Business Managerには表示されません。この属性は競合アカウントを識別するために使用されます。) |
|
部署 | 部署 |
|
社員ID | ユーザ番号 |
|
employeeOrgData.costCenter | コストセンター |
|
employeeOrgData.division | 部門 |
|
Microsoft Entra Connect Syncを有効にする
Apple Business Manager
で、管理者またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」
を選択します。Microsoft Entra Connect Syncを有効にし、「今すぐ同期」を選択します。
手動で同期する
Apple Business ManagerとMicrosoft Entra IDを手動で同期して、Microsoft Entra IDで加えられた変更を読み込むことができます。
Apple Business Manager
で、管理者またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」を選択します。「Microsoft Entra ID」の下の「今すぐ同期」を選択します。