【Office 365】プロビジョニングの設定
CloudGate UNOは、お客様のOffice 365環境に対しOffice 365 APIを利用して様々な情報の連携を行います。 Office 365 APIを利用するためには、CloudGateはお客様のOffice 365環境にAPIアクセスを許可されているという認証情報の証明をOffice 365サーバーに対し行う必要があります。
このガイドでは、Office 365とプロビジョニングするための前準備であるOAuthの設定を行う手順を解説いたします。
目次
1-3.シングルサインオン対象のOffice 365ドメイン
2. Office 365 ユーザー同期設定(OAuth設定)
4-1. Windows PowerShell利用環境の準備
1.利用に際しての前提条件、注意事項
1-1.Microsoft 365管理センターへのログイン
Microsoft 365管理センター(https://portal.office.com/adminportal/home/)にアクセスし、全体管理者でログインします。
「職場または学校アカウント」に「全体管理者アカウント」及び「全体管理者アカウントのパスワード」を入力し、「サインイン」ボタンをクリックします。
ログインに成功することでMicrosoft 365管理センターが表示されます。
※Microsoft 365管理センターが表示されず「管理者の連絡先情報を更新」が表示される場合は、指定されているオプションの設定を実施し「完了」ボタンをクリックまたは「キャンセル」をクリックします。
1-2.管理者アカウントでの操作
このガイドの作業はすべてOffice 365の全体管理者権限を持つアカウントで行う必要があります。
全体管理者権限を持たないアカウントで作業した場合、Office 365と正しく連携が行えません。
また、このガイドに記載されている作業を行う際に利用するOffice 365の全体管理者アカウントは
CloudGate UNOを利用するにあたり永続的にOffice 365上に存在している必要があります。
万が一当該アカウントを削除されてしまいますとCloudGateの利用に支障が出る恐れがありますので、 削除しないようお願い致します。
1-3.シングルサインオン対象のOffice 365ドメイン
Office 365の仕様で、「既定値」として設定されているドメインにはシングルサインオンの設定を行うことができません。 そのため、「xxxx.onmicrosoft.com」形式のドメインを「既定値」として設定し、その下に別ドメイン(カスタムドメイン)を作成して カスタムドメインに対しシングルサインオン設定を行う必要があります。
もし、カスタムドメインが「既定値」に設定されている場合は、以下の手順にて 「xxxx.onmicrosoft.com」形式のドメインを既定のドメインへと変更します。
1.「Office 365管理センター」の「セットアップ」メニューを選択します。「カスタムドメインを設定する」をクリックして、「管理」をクリックします。
2.ドメイン一覧から「xxxx.onmicrosoft.com」形式のドメインを選択し、「既定に設定」へと変更します。
※Office 365の既定のドメインについては Office 365 の初期 onmicrosoft.com ドメインについて<外部サイト> の参照をお願いします。
1-4.APIによるプロビジョニング確認テストの影響
CloudGate UNOのサービスリリース時、Office 365連携の設定過程において、APIによるプロビジョニングテストを実行するため、 お客様のOffice 365管理センター内に
「cloudgate-api-test-user@xxxxxx.onmicrosoft.com」という名称のユーザーが自動で作成されます。
このユーザーにはライセンスが割り当てられていない状態です。サービス開通後、お手数ではございますが、Microsoft 365管理センターより削除いただけますようお願いいたします。
2. Office 365 ユーザー同期設定(OAuth設定)
CloudGate UNO側で作成したユーザーを自動的にOffice 365側にも 同期する為の事前設定となります。
具体的にはAzure AD上にアプリケーションを作成し、OAuthの設定を行います。
- 「Microsoft 365管理センター」を利用可能なユーザーでOffice 365へログインします。
左メニュー「管理センター」内の「Azure Active Directory」を選択します。 - Azure Active Directory管理センターへ遷移後、「Azure Active Directory」を選択します。
- 「アプリの登録」を選択します。
- 「新規登録」を選択します。
- 「名前」、「サポートされているアカウントの種類」、「リダイレクト URI (省略可能)」の設定を行います。
名前 例:CloudGate
サポートされているアカウントの種類 例:この組織のディレクトリ内のアカウントのみ
リダイレクト URI 例:https://cloudgate.jp
3. アプリケーションIDとキーの取得
アプリの登録画面で、「すべてのアプリケーション」を選択します。
アプリの一覧から直前の手順「3−1.アプリケーションの追加」で作成したアプリケーションを選択します。
アプリケーションの情報が表示されます。
(1)アプリケーションID
「アプリケーションID」をコピーし、メモ帳やエディタに保存します。
(2) キーを作成します。
「証明書とシークレット」を選択後、「新しいクライアント シークレット」を選択します。
※証明書のアップロードは不要です。
「説明」には任意の値を入力します。(例:CloudGate連携用)
キーは「1年」、「2年」、「期限なし」を選択できますので「なし」を選択します。
保存後、キーの文字列が表示されますのですぐにコピーし、メモ帳やエディタに保存します。
(画面を移動したり、閉じたりしてしまうと、確認はできなくなってしまいますので注意してください。)
(3) 必要なアクセス許可
「APIのアクセス許可」を選択後、「アクセス許可の追加」を選択し、よく使用される Microsoft APIから「Microsoft Graph」を 選択します。
「アプリケーションの許可」を選択します。
以下を選択します。
アプリケーションの許可:Read and write all groups
アプリケーションの許可:Read organization information
アプリケーションの許可:
・Export user's data
・Invite guest users to the organization
・Read and write all users' full profiles
画面下部の「アクセス許可の追加」をクリックします。
APIのアクセス許可に戻りましたら、「xxxxx に管理者の同意を与えます」を選択します。
要求されたアクセス許可に対する同意がポップアップしますので、「はい」を選択します。
「状態」欄が更新され、設定したアクセス許可の権限が適用されます。
以下の値は後述する作業で必要となりますので、予め控えておきます。
- アプリケーションID
- キー
- キーの有効期限(年月日情報)
4.RootDomainの確認
Office 365では、カスタムドメインにサブドメインを設定した場合に、自動的にRootDomainが紐付けられている場合があります。
RootDomainの値はCloudGateの設定に必要なため、RootDomainの存在を以下の手順で確認します。
4-1. Windows PowerShellを利用できる環境の準備
RootDomainの確認には以下の設定が必要です。すでに設定済である場合は、手順「4-2. RootDomainの確認」に進みます。
Office 365 PowerShell への接続<外部サイト>
1.上記のリンク先にアクセスし、「Microsoft PowerShell の Microsoft Azure Active Directory モジュールとの接続」の ”手順 1: 必要なソフトウェアをインストールします” に従い以下2つをインストールします。
- Microsoft Online Services Sign-In Assistant for IT Professionals RTW
- Azure Active Directory Module for Windows PowerShell
2.インストールしたら、PowerShellを起動します。
コマンドラインに以下を入力して実行します。
connect-msolservice |
3.IDとパスワードを入力するウィンドウが表示されますので、「全体管理者権限を持つOffice 365アカウント」でログインしてください。
ログインが完了すると、下記のようになります。
4-2. RootDomainの確認
1. PowerShellを起動し「全体管理者権限を持つOffice 365アカウント」でログインします。
※ログイン方法は「3-1.Windows PowerShellを利用できる環境の準備」を参照します。
2. 以下のコマンドを実行します。
Get-MsolDomain -DomainName "ドメイン名" | FL Name, RootDomain |
※"ドメイン名"には、シングルサインオン設定する対象のOffice 365ドメイン (カスタムドメイン)を指定してください。
実行例:
3.結果を確認します。
RootDomainが空欄の場合の例:
RootDomainに別のドメインが表示された場合の例:
お申込みフォームご利用時、RootDomain確認欄では「RootDomainは空欄」「空欄ではない」をそれぞれ選択の上、表示されたドメインを入力してください。
5.CloudGate UNO管理者サイトでの設定
3.アプリケーションIDとキーの取得 にて用意したアプリケーションIDなどの値を、CloudGate UNO管理者サイトで設定します。
詳細は【Office 365】API接続情報を設定する のStep 2.をご参照ください。