Apple School ManagerとのAzure ADの同期要件
クロスドメインID管理システム(SCIM)を使用して、Apple School Managerにユーザをインポートすることができます。SCIMを使用して、Apple School Managerのプロパティ(学年や役割など)を、Microsoft Azure Active Directory(Azure AD)から読み込まれたアカウントデータと統合できます。SCIMを使用してユーザを読み込むと、SCIMとの接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性が編集できるようになります。最初の同期には、その後の同期(Azure ADのプロビジョニングサービスが実行されている限り、約40分毎のサイクルで実行される)よりも時間がかかります。Microsoft Azureの製品ドキュメントのWebサイトで「プロビジョニングのヒント」を参照してください。
Azure ADの権限
SCIMを使用してアカウントをApple School Managerに同期できるAzure ADの役割は次の通りです:
アプリケーション管理者
クラウドアプリケーション管理者
アプリケーション所有者
グローバル管理者
Microsoft Azure ADのWebサイトで「Azure ADの組み込みロール」を参照してください。
Azure ADのテナント
Apple School ManagerでSCIMを使用するには、組織に他のApple School Manager組織と同じAzure ADテナントが含まれていてはいけません。組織でSCIMを使用したい場合は、Azure AD管理者に連絡し、他の組織がSCIMで同じAzure ADテナントを使用していないことを確認してください。
Azure ADのグループ
Azure ADでは、どちらの同期の方法にもグループという言葉が使われますが、同期されるのはユーザアカウントのみです。Apple School ManagerのAzure ADアプリには、Azure ADのグループを追加できます。たとえば、Azure ADに「職員」「講師」「生徒」という名前のグループがあった場合、この3つのグループをApple School ManagerのAzure ADアプリに追加できます。SCIMを使用して接続すると、それらのグループに含まれるアカウントだけがApple School Managerに同期されます。
注記: Apple School ManagerのAzure ADアプリは、サブグループには対応していません。
プロビジョニングスコープ
Azure ADからApple School Managerにアカウントを同期する方法は2つあります。
割り当てられたユーザとグループのみ同期する:このオプションでは、Apple School ManagerのAzure ADアプリで表示されるアカウントのみが、Apple School Managerに同期されます。この同期方法を使用する場合は、Azure ADアカウントに、Apple School Managerに同期できる「ユーザ」の役割が設定されている必要があります。
すべてのユーザとグループを同期する:このオプションでは、Azure ADの「ユーザー」タブに表示されるすべてのアカウント(グループの同期はできません)がApple School Managerに同期され、特定数のアカウントのみを使用する場合でも、連携されたAzure ADのすべてのアカウントに管理対象Apple IDが作成されます。
Microsoft Supportの資料、What is automated SaaS app user provisioning in Azure AD?(Azure ADでの自動化したSaaSアプリのユーザプロビジョニングとは)および、Attribute-based application provisioning with scoping filters(スコープフィルターを使用した属性ベースのアプリケーションプロビジョニング)を参照してください。
プロビジョニングの通知
プロビジョニングを設定する際は、管理者、サイトマネージャ、ユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザがAzure ADからの通知を受け取れるようにする必要があります。
SCIMとFederated Authentication
連携がすでに有効になっている状態でAzure ADのアカウントをApple School Managerに送信すると、アクティビティは表示されませんが、アカウントは連携されたドメインと同期されます。
Azure ADはIDプロバイダ(IdP)であり、Apple School Managerのユーザを認証し、認証トークンを発行するために使用します。Apple School ManagerはAzure ADに対応しているため、Active Directory Federated Services(ADFS)など、Azure ADに接続するその他のIdPも使用できます。Federated Authenticationは、セキュリティ・アサーション・マークアップ言語(SAML)を使用して、Apple School ManagerをAzure ADに接続します。
Azure ADのユーザアカウントとApple School Manager
SCIMを使用してユーザをAzure ADからApple School Managerにコピーすると、デフォルトの役割は生徒になります。同期が完了すると、次のユーザ属性を編集できます:
役割
学年
Student Information System(SIS)のユーザ名
これらの属性はApple School Managerのユーザアカウントに保存され、Azure ADに書き戻されることはありません。
SCIMによるユーザ属性のマッピング
SCIMを使用してアカウントをAzure ADからApple School Managerにコピーすると、以下のユーザ属性が読み取り専用として保存されます。この表では、各ユーザ属性が必須かどうかも確認できます。
重要: この表にない属性を追加すると、SCIM接続が使用できなくなります。
Azure ADのユーザ属性 | Apple School Managerのユーザ属性 | 必須 |
---|---|---|
名 | 名 | |
姓 | 姓 | |
ユーザプリンシパル名 | 管理対象Apple IDとメールアドレス | |
オブジェクトID | (Apple School Managerには表示されません。この属性は競合アカウントを識別するために使用されます。) | |
部署 | 部署 | |
社員ID | ユーザ番号 | |
カスタム属性(Apple School ManagerのAzure ADアプリで作成する必要があります) | コストセンター | |
カスタム属性(Apple School ManagerのAzure ADアプリで作成する必要があります) | 部門 |
ユーザプリンシパル名
ユーザが、Apple School Managerで管理者、サイトマネージャ、またはユーザマネージャの役割を持つ既存のユーザとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。これは、最初に使用した同期方法(SISまたはSFTP)に関係なく発生します。
個人ID(Person ID)
Azure ADのユーザがApple School Managerに同期されると、Apple School ManagerのユーザアカウントにユーザIDが作成されます。ユーザIDとオブジェクトIDは、競合するユーザアカウントを識別するために使用されます。また、ユーザIDは、SCIMまたはSIS統合を使用して読み込まれたユーザに対して自動的に生成されますが、SFTPを使用して読み込まれたユーザに対しては自動生成されません。
SCIMが接続解除され、SFTPを使用してユーザが再度アップロードされる場合、SFTPアップロードファイルのユーザIDがSCIMによって割り当てられたユーザIDと一致しない限り、新しいユーザが作成されます。「SFTPを使用してアカウントを読み込む」を参照してください。
ユーザIDの変更に関する重要な考慮事項:
以前にSCIMからインポートされたアカウントのユーザIDを変更すると、そのアカウントはAzure ADと同期されなくなります。
以前にSCIMから読み込まれたアカウントのユーザIDを変更した後、そのアカウントを再接続する場合は、「SCIMユーザアカウントの競合を解決する」を参照してください。
推奨事項
SCIMに接続する際は、Apple School ManagerのAzure ADアプリのみを使用する必要があります。
検証済みのドメインはあるものの、Federated Authenticationを有効にしていない場合は、Azure ADのユーザがApple School Managerに送信済みであることを確認してから、連携を有効にする必要があります。これは、Azure ADのプロビジョニングログで確認できます。Azure ADのユーザが送信済みであることを確認した後で連携を有効にすると、Azure ADのユーザがプロビジョニングされたというアクティビティの通知が届きます。連携がすでに有効になっている状態でAzure ADのユーザを送信すると、アクティビティは表示されませんが、ユーザの同期は実行されます。
Azure ADでグループを構成している場合は、ユーザを個別に追加するのではなく、そのグループをApple School ManagerのAzure ADアプリに追加することができます。
重要: Apple School ManagerのAzure ADアプリで、120日間はユーザ名の再利用をしないでください。
開始する前に
開始する前に、以下を行う必要があります:
Student Information System(SIS)との接続を解除するか、SFTPを使用したアップロードを停止する。
使用するドメインを構成し、確認する。「新しいドメインにリンクする」を参照してください。
Federated Authenticationを設定する(ただし、有効にはしない)。「Federated Authenticationプロセスを構成する」を参照してください。
注記: Federated Authenticationがすでに有効になっていても、プロセスを続けることはできます。前のセクションにある推奨事項を参照してください。
Azure ADで実行する同期の種類を決定し、必要に応じて、割り当てられたアカウントのみをApple School ManagerのAzure ADアプリに同期するためのグループを作成します:
割り当てられたユーザのみ同期する。
すべてのユーザを同期する。
エンタープライズアプリケーションを編集する権限のあるAzure ADの管理者に連絡します。Azure ADの管理者と共に準備ができたら、「SCIMを使用してユーザを読み込む」を参照してください。