【Office 365】プロビジョニングの設定

CloudGate UNOは、お客様のOffice 365環境に対しOffice 365 APIを利用して様々な情報の連携を行います。 Office 365 APIを利用するためには、CloudGateはお客様のOffice 365環境にAPIアクセスを許可されているという認証情報の証明をOffice 365サーバーに対し行う必要があります。
このガイドでは、Office 365と連携するための前準備であるOAuthの設定を行う手順を解説いたします。

 目次

1.利用に際しての前提条件、注意事項

1-1.Office 365管理センターへのログイン

1-2.管理者アカウントでの操作

1-3.シングルサインオン対象のOffice 365ドメイン

1-4.APIプロビジョニングテストの影響

2. Office 365 ユーザー同期設定（OAuth設定）

3. アプリケーションIDとキーの取得

4.RootDomainの確認

4-1. Windows PowerShell利用環境の準備

4-2. RootDomainの確認

5.CloudGate UNO管理者サイトでの設定

 

1.利用に際しての前提条件、注意事項

1-1.Office 365管理センターへのログイン

Office 365管理センター（https://portal.office.com/adminportal/home/）にアクセスし、全体管理者でログインします。

「職場または学校アカウント」に「全体管理者アカウント」及び「全体管理者アカウントのパスワード」を入力し、「サインイン」ボタンをクリックします。

 
ログインに成功することでOffice 365管理センターが表示されます。

※Office 365管理センターが表示されず「管理者の連絡先情報を更新」が表示される場合は、指定されているオプションの設定を実施し「完了」ボタンをクリックまたは「キャンセル」をクリックします。

 

1-2.管理者アカウントでの操作

このガイドの作業はすべてOffice 365の全体管理者権限を持つアカウントで行う必要があります。

 

全体管理者権限を持たないアカウントで作業した場合、Office 365と正しく連携が行えません。

また、このガイドに記載されている作業を行う際に利用するOffice 365の全体管理者アカウントは
CloudGate UNOを利用するにあたり永続的にOffice 365上に存在している必要があります。
万が一当該アカウントを削除されてしまいますとCloudGateの利用に支障が出る恐れがありますので、 削除しないようお願い致します。

*Office 365の管理については下記URLの参照をお願いします。 Office 365 管理センターについて Office 365 で管理者ロールを割り当てる

 

1-3.シングルサインオン対象のOffice 365ドメイン

Office 365の仕様で、「既定値」として設定されているドメインにはシングルサインオンの設定を行うことができません。 そのため、「xxxx.onmicrosoft.com」形式のドメインを「既定値」として設定し、その下に別ドメイン(カスタムドメイン)を作成して カスタムドメインに対しシングルサインオン設定を行う必要があります。

もし、カスタムドメインが「既定値」に設定されている場合は、以下の手順にて 「xxxx.onmicrosoft.com」形式のドメインを「既定のドメイン」へと変更します。


1.「Office 365管理センター」の「セットアップ」メニューを配下の「ドメイン」を選択します。 
※「Office 365管理センター」へのログイン方法は「2-1.Office 365管理センターへのログイン」を参照

 

2.「xxxx.onmicrosoft.com」形式のドメインを選択します。

 

3.「既定のドメイン」へと変更します。

 

※Office 365の既定のドメインについては下記URLの参照をお願いします。

Office 365 の初期 onmicrosoft.com ドメインについて

 

1-4.APIによるプロビジョニング確認テストの影響

CloudGate UNOのサービスリリース時、Office 365連携の設定過程において、APIによるプロビジョニングテストを実行するため、 お客様のOffice 365管理センター内に
「cloudgate-api-test-user@xxxxxx.onmicrosoft.com」という名称のユーザーが自動で作成されます。

このユーザーにはライセンスが割り当てられていない状態です。サービス開通後、お手数ではございますが、Office 365管理センターより削除いただけますようお願いいたします。

  

 

2. Office 365 ユーザー同期設定（OAuth設定）

アプリケーションの追加

CloudGate UNO側で作成したユーザーを自動的にOffice 365側にも 同期する為の事前設定となります。
具体的にはAzure AD上にアプリケーションを作成し、OAuthの設定を行います。

1. 「Office 365管理センター」を利用可能なユーザーでOffice 365へログインします。
   左メニューの 一番下の「Azure Active Directory」を選択します。
   ※「Office 365管理センター」へのログイン方法は「2-1.Office 365管理センターへのログイン」を参照します。
   
   
2. 左メニューの「Azure Active Directory」を選択します。
    
   
   
   
3. 「App registrations」を選択します。
   
   
   
4. 「新規登録」を選択します。
   
   
   
   
5. 「名前」、「サポートされているアカウントの種類」、「リダイレクト URI (省略可能)」の設定を行います。
   
   
   名前　例:CloudGate
   サポートされているアカウントの種類　例:この組織のディレクトリ内のアカウントのみ
   リダイレクト URI　例:https://cloudgate.jp
   
   
   

 

 

3. アプリケーションIDとキーの取得

アプリケーションIDとキーの取得

App registrations画面で、プルダウンから「すべてのアプリケーション」を選択します。
アプリの一覧から直前の手順「3−1.アプリケーションの追加」で作成したアプリケーションを選択します。



表示された画面でアプリの情報が表示されます。



（1）アプリケーションID
「アプリケーションID」をコピーし、メモ帳やエディタに保存します。

（2） キーを作成します。
「証明書とシークレット」を選択すると下記のような画面表示となります。「新しいクライアント シークレット」を選択します。




※証明書のアップロードは不要です。

「説明」には任意の値を入力します。（例：CloudGate連携用）
キーは「１年」、「２年」、「期限なし」を選択できますので「なし」を選択します。



保存後、キーの文字列が表示されますのですぐにコピーし、メモ帳やエディタに保存します。
（画面を移動したり、閉じたりしてしまうと、確認はできなくなってしまいますので注意してください。）



（3） 必要なアクセス許可
「APIのアクセス許可」を選択すると下記のような画面表示となります。「アクセス許可の追加」を選択します。

• Azure Active Directory Graph　の設定

「API アクセス許可の要求」＞「サポートされているレガシ API」から「Azure Active Directory Graph」を 選択します。



以下をそれぞれ選択し、画面下部の「アクセス許可の追加」を選択します。

委任されたアクセス許可：Sign in and read user profile

アプリケーションの許可：Read and write directory data

• Microsoft Graph　の設定

よく使用される Microsoft APIから「Microsoft Graph」を 選択します。

  

「アプリケーションの許可」を選択します。

 

以下を選択します。

アプリケーションの許可：Read and write all groups

 

アプリケーションの許可：Read organization information

 

アプリケーションの許可：

・Export user's data

・Invite guest users to the organization

・Read and write all users' full profiles

 

画面下部の「アクセス許可の追加」をクリックします。

APIのアクセス許可に戻りましたら、「xxxxx に管理者の同意を与えます」を選択します。

「アカウントにサインオン」というウィンドウがポップアップしますので、全体管理者アカウントを選択し、「承諾」を選択します。「状態」欄が更新され、設定したアクセス許可の権限が適用されます。

以下の値は後述する作業で必要となりますので、予め控えておきます。

• アプリケーションID
• キー
• キーの有効期限（年月日情報）

 

3.RootDomainの確認

Office 365では、カスタムドメインにサブドメインを設定した場合に、自動的にRootDomainが紐付けられている場合があります。
RootDomainの値はCloudGateの設定に必要なため、RootDomainの存在を以下の手順で確認します。

 

3-1. Windows PowerShellを利用できる環境の準備

RootDomainの確認には以下の設定が必要です。すでに設定済である場合は、手順「3-2. RootDomainの確認」に進みます。

https://docs.microsoft.com/ja-jp/office365/enterprise/powershell/connect-to-office-365-powershell

1.上記のリンク先にアクセスし、「Microsoft PowerShell の Microsoft Azure Active Directory モジュールとの接続」の ”手順 1: 必要なソフトウェアをインストールします” に従い以下2つをインストールします。

• Microsoft Online Services Sign-In Assistant for IT Professionals RTW
• Azure Active Directory Module for Windows PowerShell

2.インストールしたら、PowerShellを起動します。
コマンドラインに以下を入力して実行します。

connect-msolservice

3.IDとパスワードを入力するウィンドウが表示されますので、「全体管理者権限を持つOffice 365アカウント」でログインしてください。

 

ログインが完了すると、下記のようになります。




 

3-2. RootDomainの確認

1. PowerShellを起動し「全体管理者権限を持つOffice 365アカウント」でログインします。
※ログイン方法は「3-1.Windows PowerShellを利用できる環境の準備」を参照します。

 

2. 以下のコマンドを実行します。

Get-MsolDomain -DomainName "ドメイン名" | FL Name, RootDomain

※"ドメイン名"には、シングルサインオン設定する対象のOffice 365ドメイン (カスタムドメイン)を指定してください。 

実行例：

 

3.結果を確認します。

RootDomainが空欄の場合の例：

RootDomainに別のドメインが表示された場合の例：

お申込みフォームご利用時、RootDomain確認欄では「RootDomainは空欄」「空欄ではない」をそれぞれ選択の上、表示されたドメインを入力してください。

  

4.CloudGate UNO管理者サイトでの設定

3.アプリケーションIDとキーの取得 にて用意したアプリケーションIDなどの値を、CloudGate UNO管理者サイトで設定します。

詳細は【Office 365】API接続情報を設定する のStep 2.をご参照ください。