Microsoft 365 連携:プロビジョニングを初期設定する
CloudGate UNOは、お客様のMicrosoft 365環境に対しMicrosoft 365 APIを利用して様々な情報の連携を行います。 Microsoft 365 APIを利用するためには、CloudGate UNOはお客様のMicrosoft 365環境にAPIアクセスを許可されているという認証情報の証明をMicrosoft 365サーバーに対し行う必要があります。
このガイドでは、Microsoft 365とプロビジョニングするための前準備であるOAuthの設定を行う手順を解説いたします。
目次
2. Microsoft 365 ユーザー同期設定(OAuth設定)
4-1. Windows PowerShell利用環境の準備
1.利用に際しての前提条件、注意事項
1-1.Microsoft 365管理センターへのログイン
Microsoft 365管理センター(https://portal.office.com/adminportal/home/)にアクセスし、全体管理者でログインします。
「職場または学校アカウント」に「全体管理者アカウント」及び「全体管理者アカウントのパスワード」を入力し、「サインイン」ボタンをクリックします。
ログインに成功することでMicrosoft 365管理センターが表示されます。
※Microsoft 365管理センターが表示されず「管理者の連絡先情報を更新」が表示される場合は、指定されているオプションの設定を実施し「完了」ボタンをクリックまたは「キャンセル」をクリックします。
1-2.管理者アカウントでの操作
このガイドの作業はすべてMicrosoft 365の全体管理者権限を持つアカウントで行う必要があります。
全体管理者権限を持たないアカウントで作業した場合、Microsoft 365と正しく連携が行えません。
また、このガイドに記載されている作業を行う際に利用するMicrosoft 365の全体管理者アカウントは
CloudGate UNOを利用するにあたり永続的にMicrosoft 365上に存在している必要があります。
万が一当該アカウントを削除されてしまいますとCloudGate UNOの利用に支障が出る恐れがありますので、 削除しないようお願い致します。
1-3.APIによるプロビジョニング確認テストの影響
CloudGate UNOのサービスリリース時、Microsoft 365連携の設定過程において、APIによるプロビジョニングテストを実行するため、 お客様のMicrosoft 365管理センター内に「cloudgate-api-test-user@xxxxxx.onmicrosoft.com」という名称のユーザーが自動で作成されます。
このユーザーにはライセンスが割り当てられていない状態です。サービス開通後、お手数ではございますが、Microsoft 365管理センターより削除いただけますようお願いいたします。
2. Microsoft 365 ユーザー同期設定(OAuth設定)
CloudGate UNOで作成したユーザーを自動的にMicrosoft 365側にも同期する為の事前設定となります。具体的にはAzure AD上にアプリケーションを作成し、OAuthの設定を行います。
1. Microsoft 365管理センターにログイン >管理センター >Azure Active Directory をクリックします。
2. Azure Active Directory >アプリの登録 を選択します。
3. 「+新規登録」をクリックします。
4. 「名前」「サポートされているアカウントの種類」「リダイレクト URI (省略可能)」の設定を行います。
名前: 例)CloudGate
サポートされているアカウントの種類: 例)この組織のディレクトリ内のアカウントのみ
リダイレクト URI: 例)https://cloudgate.jp
3. アプリケーションIDとキーの取得
1. アプリの登録画面で、「すべてのアプリケーション」を選択します。
アプリの一覧から直前の手順「3−1.アプリケーションの追加」で作成したアプリケーションを選択します。
2. アプリケーションの情報が表示されます。
(1)アプリケーションID
「アプリケーションID」をコピーし、メモ帳やエディタに保存します。
(2)キー
「証明書とシークレット」を選択後、「新しいクライアント シークレット」を選択します(証明書のアップロードは不要)。
- 説明:お客様で任意の名前を入力します。
- 有効期限:お客様の運用に合わせて期限を選択します。(最大24ヶ月)
上記入力したら[追加]をクリックします。「値」をコピーし、メモ帳やエディタに保存します。画面を移動したり、閉じたりしてしまうと、非表示となり確認できなくなりますのでご注意ください。
(3)必要なアクセス許可
「APIのアクセス許可」を選択後、「+アクセス許可の追加」を選択し、よく使用される Microsoft APIから「Microsoft Graph」を 選択します。
「アプリケーションの許可」を選択します。
以下を選択します。
アプリケーションの許可:
Read and write all groups
アプリケーションの許可:
Read organization information
アプリケーションの許可:
Export user's data
Invite guest users to the organization
Read and write all users' full profiles
画面下部の「アクセス許可の追加」をクリックします。
APIのアクセス許可に戻りましたら、「xxxxx に管理者の同意を与えます」を選択します。
要求されたアクセス許可に対する同意がポップアップしますので、「はい」を選択します。「状態」欄が更新され、設定したアクセス許可の権限が適用されます。以下の値は後述する作業で必要となりますので、予め控えておきます。
- アプリケーションID
- キー
- キーの有効期限(年月日情報)
4.RootDomainの確認
Microsoft 365では、カスタムドメインにサブドメインを設定した場合に、自動的にRootDomainが紐付けられている場合があります。RootDomainの値はCloudGateの設定に必要なため、RootDomainの存在を以下の手順で確認します。
4-1. Windows PowerShellを利用できる環境の準備
RootDomainの確認には以下の設定が必要です。すでに設定済である場合は、手順「4-2. RootDomainの確認」に進みます。
Microsoft 365 PowerShell への接続<外部サイト>
1. 上記のリンク先にアクセスし、「Windows PowerShell 用 Microsoft Azure Active Directory モジュールとの接続」の ”手順 1: 必要なソフトウェアをインストールする” に従いWindows PowerShell の Microsoft Azure Active Directory モジュールをインストールします。
2. インストールしたら、PowerShellを起動します。コマンドラインに以下を入力して実行します。
| connect-msolservice |
3. IDとパスワードを入力するウィンドウが表示されますので、「全体管理者権限を持つMicrosoft 365アカウント」でログインしてください。
ログインが完了すると、下記のようになります。
4-2. RootDomainの確認
1. PowerShellを起動し「全体管理者権限を持つMicrosoft 365アカウント」でログインします。
※ログイン方法は「3-1.Windows PowerShellを利用できる環境の準備」を参照します。
2. 以下のコマンドを実行します。
| Get-MsolDomain -DomainName "ドメイン名" | FL Name, RootDomain |
※"ドメイン名"には、シングルサインオン設定する対象のMicrosoft 365ドメイン (カスタムドメイン)を指定してください。
実行例:
3.結果を確認します。
RootDomainが空欄の場合の例:
RootDomainに別のドメインが表示された場合の例:
お申込みフォームご利用時、RootDomain確認欄では「RootDomainは空欄」「空欄ではない」をそれぞれ選択の上、表示されたドメインを入力してください。
5.CloudGate UNO管理者サイトでの設定
CloudGate UNO管理者サイトで下記の通り操作します。
- (左メニュー)サービスプロバイダー >Microsoft 365 >プロビジョニング設定 タブ >接続設定
アプリケーションID:3. アプリケーションIDとキーの取得 でコピーして控えた(1)アプリケーションID の値を入力します。
キー:3. アプリケーションIDとキーの取得 でコピーして控えた(2)キー の値を入力します。 - 同画面で[テスト]をクリックします。「Microsoft 365のプロビジョニングテストが成功しました。」と表示されたら、画面右下[保存]をクリックします。
以上で事前設定は完了です。
お客様任意のタイミングで プロビジョニングをOn に切り替えていただきますと、CloudGate UNOからMicrosoft 365へのプロビジョニングをご利用いただけるようになります。
