Microsoft Entra ID（旧 Azure AD）のユーザー プロビジョニングとシングル サインオン

Cloud Identity アカウントまたは Google Workspace アカウントの準備

Microsoft Entra ID のユーザーを作成する

Microsoft Entra ID が Cloud Identity アカウントまたは Google Workspace アカウントにアクセスできるようにするには、Cloud Identity アカウントまたは Google Workspace アカウントに Microsoft Entra ID のユーザーを作成する必要があります。

Microsoft Entra ID ユーザーは自動プロビジョニングのみを目的としています。そのため、これを別の組織部門（OU）に配置して、他のユーザー アカウントと分離しておくことをおすすめします。別の OU を使用すると、後でこの Microsoft Entra ID ユーザーのシングル サインオンを無効にすることもできます。

新しい OU を作成するには、次の手順を実行します。

1. 管理コンソールを開き、Cloud Identity または Google Workspace の登録時に作成した特権管理者ユーザーを使用してログインします。
2. メニューで、[ディレクトリ] > [組織部門] に移動します。
3. [組織部門を作成] をクリックし、組織部門の名前と説明を入力します。
   • 名前: Automation
   • 説明: Automation users
4. [作成] をクリックします。

Microsoft Entra ID のユーザー アカウントを作成し、Automation 組織部門に配置します。

1. メニューで [ディレクトリ] > [ユーザー] に移動して、[新しいユーザーを追加] をクリックしてユーザーを作成します。

2. 適切な名前とメールアドレスを次のように入力します。

   • 名: Microsoft Entra ID
   • 姓: Provisioning

   • メインのメールアドレス: azuread-provisioning

     メールアドレスのプライマリ ドメインは保持します。

3. [ユーザーのパスワード、組織部門、プロフィール写真を管理する] をクリックし、次の設定を構成します。

   • [組織部門]: 以前に作成した Automation OU を選択します。
   • [パスワード]: [パスワードを作成] を選択してパスワードを入力します。
   • 次回ログイン時にパスワードの変更を要求する: [無効] に設定します。

4. [新しいユーザーの追加] をクリックします。

5. [完了] をクリックします。

Microsoft Entra ID に権限を割り当てる

Microsoft Entra ID が Cloud Identity アカウントまたは Google Workspace アカウントのユーザーとグループを作成、一覧表示、一時停止できるようにするには、次のように azuread-provisioning ユーザーに追加の権限を付与する必要があります。

• Microsoft Entra ID がすべてのユーザー（委任管理者と特権管理者ユーザーを含む）を管理できるようにするには、azuread-provisioning ユーザーを特権管理者にする必要があります。

• Microsoft Entra ID が管理者以外のユーザーのみを管理できるようにするには、azuread-provisioning ユーザーを委任管理者にすれば十分です。委任管理者は、Microsoft Entra ID で他の委任管理者や特権管理者ユーザーを管理できません。

ドメインを登録する

Cloud Identity と Google Workspace では、ユーザーとグループがメールアドレスで識別されます。したがって、ユーザーやグループのメールアドレスで使用するドメインを最初に登録して確認する必要があります。

登録する DNS ドメインのリストを準備します。

• ユーザーを UPN でマッピングする場合、UPN で使用するすべてのドメインをリストに含めます。不明な場合は、Microsoft Entra ID テナントのすべてのカスタム ドメインを含めます。
• ユーザーをメールアドレスでマッピングする場合、メールアドレスで使用するすべてのドメインをリストに含めます。ドメインのリストは、Microsoft Entra ID テナントのカスタム ドメインのリストとは異なる場合があります。

グループをプロビジョニングする場合は、DNS ドメインのリストを修正します。

• グループをメールアドレスでマッピングする場合、グループのメールアドレスで使用するすべてのドメインをリストに含めます。不明な場合は、Microsoft Entra ID テナントのすべてのカスタム ドメインを含めます。
• グループを名前でマッピングする場合は、groups.PRIMARY_DOMAIN のような専用のサブドメインを含めます。ここで、PRIMARY_DOMAIN は、Cloud Identity または Google Workspace アカウントのプライマリ ドメイン名です。

これで、DNS ドメインのリストを特定できました。不足しているドメインを登録できます。まだ登録されていない、リスト上の各ドメインについて、次の手順を行います。

1. 管理コンソールで、[アカウント] > [ドメイン] > [ドメインの管理] に移動します。
2. [ドメインの追加と削除] をクリックします。
3. [ドメインを追加] をクリックします。
4. ドメイン名を入力し、[セカンダリ ドメイン] を選択します。
5. [ドメインを追加して所有権を証明] をクリックし、指示に従ってドメインの所有権を確認します。

Microsoft Entra ID のプロビジョニングの構成

エンタープライズ アプリケーションを作成する

これで、Microsoft Entra ID を Cloud Identity アカウントまたは Google Workspace アカウントに接続する準備ができました。続いて、Microsoft Azure マーケットプレイスの Google Cloud/G Suite Connector by Microsoft ギャラリー アプリを設定します。

ギャラリー アプリは、ユーザー プロビジョニングとシングル サインオンの両方を処理するように構成できます。このドキュメントでは、ギャラリー アプリの 2 つのインスタンスを使用します。1 つはユーザー プロビジョニング用、もう 1 つはシングル サインオン用です。

まず、ユーザー プロビジョニングを処理するギャラリー アプリのインスタンスを作成します。

1. Azure ポータルを開き、グローバル管理者権限を持つユーザーとしてログインします。
2. [Microsoft Entra ID] > [エンタープライズ アプリケーション] の順に選択します。
3. [新しいアプリケーション] をクリックします。
4. Google Cloud を検索し、結果リストで [Google Cloud/G Suite Connector by Microsoft] をクリックします。
5. アプリケーションの名前を Google Cloud (Provisioning) に設定します。
6. [作成] をクリックします。
7. アプリケーションが追加されるまでに数秒かかります。追加されると、[Google Cloud (Provisioning) - Overview] というタイトルのページにリダイレクトされます。
8. 左側のメニューで、[管理] > [プロパティ] をクリックします。
   1. [ユーザーのログインを有効にする] を [いいえ] に設定します。
   2. [ユーザーの割り当てが必要ですか] を [いいえ] に設定します。
   3. [ユーザーに表示しますか] を [いいえ] に設定します。
   4. [保存] をクリックします。
9. 左側のメニューで、[管理] > [プロビジョニング] をクリックします。
   1. [開始する] をクリックします。
   2. [プロビジョニング モード] を [自動] に変更します。
   3. [管理者認証情報] > [許可] をクリックします。
   4. 前の手順で作成した azuread-provisioning@DOMAIN ユーザーを使用してログインします。ここで、DOMAIN は、Cloud Identity アカウントまたは Google Workspace アカウントのプライマリ ドメインです。
   5. このユーザーを使用してログインするのは今回が初めてのため、Google 利用規約とプライバシー ポリシーに同意するよう求められます。
   6. 利用規約に同意する場合は、[理解しました] をクリックします。
   7. [許可] をクリックして Cloud Identity API へのアクセスを確認します。
   8. [テスト接続] をクリックして、Microsoft Entra ID が Cloud Identity または Google Workspace で正常に認証されていることを確認します。
   9. [保存] をクリックします。

ユーザー プロビジョニングを構成する

ユーザー プロビジョニングを構成する正しい方法は、ユーザーのマッピングにメールアドレスと UPN のどちらを使用するかによって異なります。

primaryEmail、name.familyName、name.givenName、suspended のマッピングを構成する必要があります。その他の属性マッピングはすべて省略可能です。

追加の属性マッピングを構成する場合は、次の点に注意してください。

• 現在、Google Cloud/G Suite Connector by Microsoft ギャラリーでは、メール エイリアスを割り当てることはできません。
• 現在、Google Cloud/G Suite Connector by Microsoft ギャラリーでは、ユーザーにライセンスを割り当てることはできません。この問題を回避するには、組織部門へのライセンスの自動割り当てを設定することを検討してください。
• ユーザーを組織部門に割り当てるには、OrgUnitPath のマッピングを追加します。パスは / の文字で始まり、既存の組織部門（/employees/engineering など）を参照している必要があります。

グループ プロビジョニングを構成する

グループ プロビジョニングを構成する正しい方法は、グループでメールが有効になっているかどうかによって異なります。グループでメールが有効になっていない場合、またはグループが末尾が「onmicrosoft.com」のメールアドレスを使用している場合は、グループの名前からメールアドレスを取得できます。

ユーザーの割り当てを構成する

ある一部のユーザーだけが Google Cloud にアクセスする必要があることがわかっている場合、特定のユーザーまたはユーザーのグループにエンタープライズ アプリを割り当てることで、プロビジョニング対象のユーザーを必要に応じて制限できます。

すべてのユーザーをプロビジョニングする場合は、次の手順をスキップできます。

1. 左側のメニューで、[管理] > [ユーザーとグループ] をクリックします。
2. [ユーザーを追加] をクリックします。
3. [ユーザー] を選択します。
4. プロビジョニングするユーザーまたはグループを選択します。グループを選択すると、そのグループのすべてのメンバーが自動的にプロビジョニングされます。
5. [選択] をクリックします。
6. [割り当て] をクリックします。

自動プロビジョニングを有効にする

次のステップでは、Cloud Identity または Google Workspace にユーザーを自動的にプロビジョニングするように Microsoft Entra ID を構成します。

1. 左側のメニューで、[管理] > [プロビジョニング] をクリックします。
2. [Edit provisioning] を選択します。
3. [プロビジョニング状態] を [オン] に設定します。

4. [設定] で、[範囲] を次のいずれかに設定します。

   1. ユーザーの割り当てを構成した場合は、[割り当てられたユーザーとグループのみを同期する] に設定します。
   2. それ以外の場合は、[すべてのユーザーとグループを同期する] に設定します。

   スコープを設定するボックスが表示されない場合は、[保存] をクリックし、ページを更新してください。

5. [保存] をクリックします。

Microsoft Entra ID が初期同期を開始します。ディレクトリ内のユーザーとグループの数によって処理時間が変わります。完了までに数分から数時間かかることがあります。ブラウザのページを更新すると、ページの下部に同期のステータスが表示されます。メニューで [監査ログ] を選択して、同期の詳細を確認することもできます。

初期同期が完了すると、Microsoft Entra ID は Microsoft Entra ID から Cloud Identity アカウントまたは Google Workspace アカウントに定期的に更新を伝播します。Microsoft Entra ID がユーザーおよびグループの変更を処理する方法の詳細については、ユーザー ライフサイクルのマッピングとグループ ライフサイクルのマッピングをご覧ください。

トラブルシューティング

5 分以内に同期が開始されない場合、次の手順に従って強制的に同期を開始できます。

1. [プロビジョニング状態] を [オフ] に設定します。
2. [保存] をクリックします。
3. [プロビジョニング状態] を [オン] に設定します。
4. [保存] をクリックします。
5. [Restart provisioning] をオンにします。
6. [保存] をクリックします。
7. [はい] をクリックして、同期の再開を確認します。

それでも同期が開始されない場合は、[テスト接続] をクリックして、認証情報が正常に保存されていることを確認してください。

シングル サインオン用に Microsoft Entra ID を構成する

これで、該当するすべての Microsoft Entra ID ユーザーが Cloud Identity または Google Workspace に自動的にプロビジョニングされるようになりました。ただし、まだこれらのユーザーを使用してログインすることはできません。ユーザーがログインできるようにするには、シングル サインオンを構成する必要があります。

エンタープライズ アプリケーションを作成する

シングル サインオンを処理するために 2 つ目のエンタープライズ アプリケーションを作成します。

1. Azure portal で、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動します。
2. [新しいアプリケーション] をクリックします。
3. Google Cloud を検索し、結果リストで [Google Cloud/G Suite Connector by Microsoft] をクリックします。
4. アプリケーションの名前を Google Cloud に設定します。

5. [追加] をクリックします。

   アプリケーションが追加されるまでに数秒かかります。追加されると、[Google Cloud - Overview] というタイトルのページにリダイレクトされます。

6. 左側のメニューで、[管理] > [プロパティ] をクリックします。

7. [ユーザーのログインが有効になっていますか] を [はい] に設定します。

8. すべてのユーザーがシングル サインオンを使用する場合を除き、[ユーザーの割り当てが必要ですか] を [はい] に設定します。

9. [保存] をクリックします。

ユーザーの割り当てを構成する

ある一部のユーザーだけが Google Cloud にアクセスする必要があることがわかっている場合、特定のユーザーまたはユーザーのグループにエンタープライズ アプリを割り当てることで、ログインを許可するユーザーを必要に応じて制限できます。

前の手順で [ユーザーの割り当てが必要ですか] を [いいえ] に設定した場合は、次の手順をスキップできます。

1. 左側のメニューで、[管理] > [ユーザーとグループ] をクリックします。
2. [ユーザーを追加] をクリックします。
3. [ユーザーとグループ / 選択されていません] を選択します。
4. シングル サインオンを許可するユーザーまたはグループを選択します。
5. [選択] をクリックします。
6. [割り当て] をクリックします。

SAML 設定を構成する

Cloud Identity で認証に Microsoft Entra ID を使用できるようにするには、いくつかの設定を調整する必要があります。

1. 左側のメニューで、[管理] > [シングル サインオン] をクリックします。
2. 選択画面で、[SAML] カードをクリックします。
3. [基本的な SAML 構成] カードで、[edit 編集] をクリックします。
4. [基本的な SAML 構成] ダイアログで、以下の設定を入力します。
   1. 識別子（エンティティ ID）: google.com
   2. Reply URL: https://www.google.com/
   3. Sign on URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/。PRIMARY_DOMAIN は、Cloud Identity または Google Workspace アカウントで使用されているプライマリ ドメイン名に置き換えます。
5. [保存] をクリックし、[X] をクリックしてダイアログを閉じます。
6. [SAML 署名証明書] カードで、[証明書（Base 64）] というラベルが付いたエントリを見つけて [ダウンロード] をクリックし、その証明書をローカル コンピュータにダウンロードします。
7. [Set up Google Cloud] カードで、[ログイン URL] を探します。この URL はこの後必要になります。

残りの手順は、ユーザーのマッピングにメールアドレスか UPN のどちらを使用するかによって異なります。

シングル サインオン用に Cloud Identity または Google Workspace を構成する

シングル サインオン用に Microsoft Entra ID を準備したので、Cloud Identity アカウントまたは Google Workspace アカウントでシングル サインオンを有効にできるようになりました。

1. 管理コンソールを開き、特権管理者ユーザーとしてログインします。
2. メニューで [さらに表示] をクリックし、[セキュリティ] > [認証] > [サードパーティの IdP による SSO] に移動します。

3. [SSO プロファイルを追加] をクリックします。

4. [サードパーティの ID プロバイダで SSO を設定する] を [有効] に設定します。

5. 次の設定を入力します。

   1. ログインページの URL: Microsoft Entra ID のログイン URL を入力します。ログイン URL は、Azure portal の [構成 URL] > [ログイン URL] の [Google Cloud の設定] カードで確認できます。
   2. ログアウト ページの URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   3. パスワード変更用 URL: https://account.activedirectory.windowsazure.com/changepassword.aspx

6. [認証の確認] で [証明書をアップロード] をクリックし、前にダウンロードしたトークン署名証明書を選択します。

7. [保存] をクリックします。

Automation OU の SSO 設定を更新して、シングル サインオンを無効にします。

1. [SSO プロファイルの割り当ての管理] で、[始める] をクリックします。
2. [組織部門] を開き Automation OU を選択します。
3. SSO プロファイルの割り当てを [組織向けのサードパーティの SSO プロファイル] から [なし] に変更します。
4. [オーバーライド] をクリックします。

Microsoft Entra ID トークン署名証明書は一定期間有効です。期限が切れる前に証明書をローテーションする必要があります。詳細については、このドキュメントの後半に記載されているシングル サインオン証明書をローテーションするをご覧ください。

証明書の有効期限がユーザーに影響を与えないよう、証明書の有効期限が切れる前に通知メールを送信するように Microsoft Entra ID を構成することを検討してください。

シングル サインオンのテスト

これで、Microsoft Entra ID と Cloud Identity または Google Workspace の両方でシングル サインオンの構成が完了しました。Google Cloud には、次の 2 つの方法でアクセスできます。

• Microsoft Office ポータルでアプリのリストからアクセス。
• https://console.cloud.google.com/ を開いて直接アクセス。

2 番目のオプションが意図したとおりに機能することを確認するには、次のテストを行います。

1. Cloud Identity または Google Workspace にプロビジョニングされ、特権管理者権限が割り当てられていない Microsoft Entra ID ユーザーを選択します。特権管理者権限を持つユーザーは常に Google 認証情報を使用してログインする必要があるため、シングル サインオンのテストには適していません。
2. 新しいブラウザ ウィンドウを開き、https://console.cloud.google.com/ に移動します。

3. 表示される Google ログインページで、ユーザーのメールアドレスを入力し、[次へ] をクリックします。ドメイン置換を使用する場合は、ドメイン置換が適用されているメールアドレスを入力する必要があります。

   

4. Microsoft Entra ID にリダイレクトされ、別のログイン プロンプトが表示されます。ユーザーのメールアドレス（ドメイン置換が適用されていないもの）を入力し、[次へ] をクリックします。

   

5. パスワードを入力すると、ログイン状態を維持するかどうか選択するよう求められます。今回は、[いいえ] を選択します。

   認証に成功すると、Microsoft Entra ID によって Google ログインにリダイレクトされます。このユーザーを使用してログインするのは今回が初めてのため、Google 利用規約とプライバシー ポリシーに同意するよう求められます。

6. 利用規約に同意する場合は、[理解しました] をクリックします。

   Google Cloud コンソールにリダイレクトされ、設定を確認して Google Cloud 利用規約に同意するよう求められます。

7. 利用規約に同意する場合は、[はい] を選択し、[同意して続行] をクリックします。

8. ページの左上にあるアバター アイコンをクリックしてから、[ログアウト] をクリックします。

   Microsoft Entra ID ページにリダイレクトされ、正常にログアウトされたことを確認します。

特権管理者権限を持つユーザーはシングル サインオンから除外されるため、管理コンソールを使用して設定を確認または変更できます。

シングル サインオン証明書をローテーションする

Microsoft Entra ID トークン署名証明書は数か月間のみ有効です。期限が切れる前に証明書を置き換える必要があります。

署名証明書をローテーションするには、Microsoft Entra ID アプリケーションに証明書を追加します。

1. Azure portalで、[Microsoft Entra ID] > [エンタープライズ アプリケーション] に移動し、シングルサインオン用に作成したアプリケーションを開きます。
2. 左側のメニューで、[管理] > [シングル サインオン] をクリックします。

3. [SAML 署名証明書] カードで、edit [編集] をクリックします。

   証明書のリストが表示されます。1 つの証明書が有効とマークされます。

4. [新しい証明書] をクリックします。

5. デフォルトの署名設定はそのままにして、[保存] をクリックします。

   証明書が証明書リストに追加され、無効とマークされます。

6. 新しい証明書を選択して、more_horiz > [Base64 certificate download] をクリックします。

   ブラウザ ウィンドウは開いたままにして、ダイアログを閉じないでください。

新しい証明書を使用する手順は次のとおりです。

1. ブラウザのタブまたはウィンドウを新たに開きます。
2. 管理コンソールを開き、特権管理者ユーザーとしてログインします。
3. メニューで [さらに表示] をクリックし、[セキュリティ] > [認証] > [サードパーティの IdP による SSO] に移動します。
4. [組織向けの SSO プロファイル] をクリックします。

5. [証明書を置換] をクリックし、先ほどダウンロードした新しい証明書を選択します。

6. [保存] をクリックします。

7. Microsoft Entra ID ポータルの [SAML 署名証明書] ダイアログに戻ります。

8. 新しい証明書を選択して、more_horiz > [Make certificate active] をクリックします。

9. [はい] をクリックして証明書を有効にします。

   これで、Microsoft Entra ID で新しい署名証明書が使用されるようになりました。

10. SSO が想定どおりに動作することをテストします。詳しくは、シングル サインオンのテストをご覧ください。