Azure Active Directory で連携させる備忘録

はじめに

Azure Active Directory（以下AzureAD）を利用すれば、Microsoft365ユーザーアカウントを利用して様々なサービスを連携利用できるようになります。

出典：Microsoft

これがなぜうれしいかと言うと、

同じアカウントで複数サービスを利用できる

アカウントをサービスごとに管理する手間が低減できます。
もちろん、サービスごとに制約などが異なるため、手間がゼロになることはありませんが、サービスが増えるごとに社員数のアカウントを作成して管理することを考えると一定の効率化が図れると言えます。

セキュリティ向上

Microsoftのセキュリティを利用することが可能になります。
設定可能なライセンスが必要になりますが、条件付きアクセス等の設定を割り当てることが可能になるため、Microsoft365サービス利用時同様に特定の場所からのアクセスのみを許可したり、2要素認証等の設定を追加することが出来るようになります。

諸注意

ルール等が変更になる可能性があるため、必ず公式ドキュメント等ご確認して実施するようにしてください。

他のサービスとの連携について

早速、やったことを紹介します。
実際の作業手順ドキュメントと補足用のブログ等を共有しておきますので必要に応じてご活用ください。

GoogleWorkspace

Microsoft365のアカウントでGoogleドライブを利用したり出来ます。
設計次第ではグループも自動で同期できるので、GoogleWorkspace側のグループも同様のグループで運用できたりします。

Microsoftドキュメント

ハマりポイントは、属性とクレームの設定値です。
環境によってはハマるので情報共有しておきます。1年ほど前に作業したときは、わからずにサポートに問い合わせましたが、Microsoft側もエラーの原因を突き止めることができず、ネット上のブログを参考にクレームの設定を削除しました。
Azure ADとGoogleWorkspaceで同一のドメインを使用する場合、クレームはUserPrincipalnameのみでOKです。
必要な要求であるUserPrincipalnameを残し、他は全て削除します。
※ユーザー名が英数字の場合は認証が通るのですが、全角は認証が取らず、ログイン時にエラーになるため、認証に不要なものは消すのが安全です。

AppleBusinessManager

簡単にいうと、iPadやiPhoneをMicrosoftのアカウントで利用できます。つまり、個別にAppleIDを作らずに済みます。
ライセンスによっては、MDMによりiPadやiPhoneを自動でセッティングできるようになります。

MDMについて

WindowsPC　win32アプリ配布
https://zenn.dev/cardinal/articles/8df308bcb38048

ドキュメント記事：https://support.apple.com/ja-jp/HT204142
やってみた備忘録：https://www.cd-l.net/2022/06/microsoft365iphonemicrosoftabm.html

1年に一回更新するのを忘れずにしましょう。
Apple Business Manager側
https://support.apple.com/ja-jp/guide/apple-business-manager/axm3ec7b95ad/web
参考：https://lig-log.com/update-scim-token-for-azure-ad-with-abm/

iPadを実際に設定するときの設定
https://zenn.dev/cardinal/articles/5d0af1453e8c4d

シングルサインオンとプロビジョニング

SSO
https://learn.microsoft.com/ja-jp/azure/active-directory/manage-apps/add-application-portal-setup-sso

プロビジョニング
https://learn.microsoft.com/ja-jp/azure/active-directory/saas-apps/apple-school-manager-provision-tutorial

AmazonBusiness

Amazonで会社の事務用品等の買い物をする場合、部署ごとに請求書払いできたり、大口割引があったりと、とても便利なAmazonBusiness。実はこちらもAzure ADでシングルサインオンできるようになります。

Salesforce

セールスフォースもSSOできます。
少しハマりポイントは、SAML証明書作成です。
ここでSAML応答とアサーションへの署名とSHA-256で作成。
フェデレーションメタデータXMLをダウンロードして、セールスフォース側にアップロードする部分かもです。
ここすんなりいったら大丈夫だと思います。

便利な設定

Azure ADを使えば、ChromeBookをMicrosoft365のみで運用できるように構築することも可能になります。
逆に他のサービスのアカウントでMicrosoft365のサービスにSSOするなんてことも可能になったりします。
少し一般的でない設定についてもやったやつを紹介しておきます。

GmailアカウントでTeamsにSSOする

設定方法は次の通りです。

Microsoft365アカウントでChromeBookを使う

Microsoft365サービスをメインに利用しているのですが、シンクライアント端末っぽくChromeBookを利用する方法を検討し、やってみたらなんか知らんけど出来た！やつを参考に共有します。

動的グループ

いろいろ連携させるほど、元のAzureAD内の設定がより重要になります。例えば、ユーザーのプロファイルやグループ設定などをしっかりしておくことで、他のサービスでもより便利にプロファイルを利用できたり、管理が楽になったりします。
ユーザーのプロファイルが変更になれば、自動的にグループ内のメンバーを入れ替えるなども設定可能（動的グループ）です。
動的グループの設定に関する一例を紹介します。

intuneの運用

Windowsパソコン

iPad・iPhone等

まとめ

意外と色んなサービスと簡単に連携できちゃいます。
会社でMicrosoft365を導入している場合、AzureADをもっていると思うので、一度ライセンス等確認してみてもいいかもしれません。
少し難しい設定も多いのですが、かなり幅の広い運用が可能になるので、もしよかったらチャレンジしてみてください。