【Microsoft 365】プロビジョニングの設定

CloudGate UNOは、お客様のMicrosoft 365環境に対しMicrosoft 365 APIを利用して様々な情報の連携を行います。 Microsoft 365 APIを利用するためには、CloudGate UNOはお客様のMicrosoft 365環境にAPIアクセスを許可されているという認証情報の証明をMicrosoft 365サーバーに対し行う必要があります。
このガイドでは、Microsoft 365とプロビジョニングするための前準備であるOAuthの設定を行う手順を解説いたします。

1.利用に際しての前提条件、注意事項

1-1.Microsoft 365管理センターへのログイン

Microsoft 365管理センター（https://portal.office.com/adminportal/home/）にアクセスし、全体管理者でログインします。

「職場または学校アカウント」に「全体管理者アカウント」及び「全体管理者アカウントのパスワード」を入力し、「サインイン」ボタンをクリックします。

ログインに成功することでMicrosoft 365管理センターが表示されます。

※Microsoft 365管理センターが表示されず「管理者の連絡先情報を更新」が表示される場合は、指定されているオプションの設定を実施し「完了」ボタンをクリックまたは「キャンセル」をクリックします。

1-2.管理者アカウントでの操作

このガイドの作業はすべてMicrosoft 365の全体管理者権限を持つアカウントで行う必要があります。
全体管理者権限を持たないアカウントで作業した場合、Microsoft 365と正しく連携が行えません。

また、このガイドに記載されている作業を行う際に利用するMicrosoft 365の全体管理者アカウントは
CloudGate UNOを利用するにあたり永続的にMicrosoft 365上に存在している必要があります。

万が一当該アカウントを削除されてしまいますとCloudGate UNOの利用に支障が出る恐れがありますので、削除しないようお願い致します。

1-3.シングルサインオン対象のMicrosoft 365ドメイン

Microsoft 365の仕様で、「既定値」として設定されているドメインにはシングルサインオンの設定を行うことができません。そのため xxxx.onmicrosoft.com 形式のドメインを 既定値 として設定し、その下に別ドメイン（カスタムドメイン）を作成して、カスタムドメインに対しシングルサインオン設定を行う必要があります。

もし、カスタムドメインが「既定値」に設定されている場合は、以下の手順にて「xxxx.onmicrosoft.com」形式のドメインを既定のドメインへと変更します。

1. 「Microsoft 365管理センター」の「セットアップ」メニューを選択します。「カスタムドメインを設定する」をクリックして、「管理」をクリックします。

2. ドメイン一覧から「xxxx.onmicrosoft.com」形式のドメインを選択し、「既定に設定」へと変更します。
※Microsoft 365の既定のドメインについては Microsoft 365 の初期 onmicrosoft.com ドメインについて＜外部サイト＞の参照をお願いします。

1-4.APIによるプロビジョニング確認テストの影響

CloudGate UNOのサービスリリース時、Microsoft 365連携の設定過程において、APIによるプロビジョニングテストを実行するため、お客様のMicrosoft 365管理センター内に「cloudgate-api-test-user@xxxxxx.onmicrosoft.com」という名称のユーザーが自動で作成されます。

このユーザーにはライセンスが割り当てられていない状態です。サービス開通後、お手数ではございますが、Microsoft 365管理センターより削除いただけますようお願いいたします。

2. Microsoft 365 ユーザー同期設定（OAuth設定）

CloudGate UNOで作成したユーザーを自動的にMicrosoft 365側にも同期する為の事前設定となります。具体的にはAzure AD上にアプリケーションを作成し、OAuthの設定を行います。

1. Microsoft 365管理センターにログイン　＞管理センター　＞Azure Active Directory　をクリックします。

2. Azure Active Directory　＞アプリの登録を選択します。

3. 「＋新規登録」をクリックします。

4. 「名前」「サポートされているアカウントの種類」「リダイレクト URI (省略可能)」の設定を行います。
名前：　例）CloudGate
サポートされているアカウントの種類：　例）この組織のディレクトリ内のアカウントのみ
リダイレクト URI：　例）https://cloudgate.jp

3. アプリケーションIDとキーの取得

1. アプリの登録画面で、「すべてのアプリケーション」を選択します。
アプリの一覧から直前の手順「3−1.アプリケーションの追加」で作成したアプリケーションを選択します。

2. アプリケーションの情報が表示されます。

（1）アプリケーションID
「アプリケーションID」をコピーし、メモ帳やエディタに保存します。

（2）キーを作成します。
「証明書とシークレット」を選択後、「新しいクライアントシークレット」を選択します（証明書のアップロードは不要）。

説明：お客様で任意の名前を入力します。

有効期限：お客様の運用に合わせて期限を選択します。（カスタムから設定した場合も最大24ヶ月の期限となります。）

（3）必要なアクセス許可
「APIのアクセス許可」を選択後、「＋アクセス許可の追加」を選択し、よく使用される Microsoft APIから「Microsoft Graph」を選択します。

「アプリケーションの許可」を選択します。

以下を選択します。

アプリケーションの許可：
Read and write all groups

アプリケーションの許可：
Read organization information

アプリケーションの許可：
Export user's data
Invite guest users to the organization
Read and write all users' full profiles

画面下部の「アクセス許可の追加」をクリックします。

APIのアクセス許可に戻りましたら、「xxxxx に管理者の同意を与えます」を選択します。

要求されたアクセス許可に対する同意がポップアップしますので、「はい」を選択します。「状態」欄が更新され、設定したアクセス許可の権限が適用されます。以下の値は後述する作業で必要となりますので、予め控えておきます。