Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ta93(t@93)

Entraの管理者グループをGWSに同期する

Posted at

複数のSaaSを利用していると、管理者権限の管理が煩雑になりますよね。
これは、今まで皆さん様々直面してきていて、色々対応してきていると思います。

最近まで、Microsoft 365Google Workspace を同時利用していると、それぞれで管理者権限の設定をユーザー毎に行わなければなりませんでした。
それは以下の制約があったためです。

  • Entra では、管理者ロールは静的グループにしか付与できない
  • 管理者ロールを付与した Microsoft 365 グループにはエイリアスが設定できないため、***@***.onmicrosoft.com のメールアドレスしか付与できない
  • GWSでは、管理者ロールをグループに付与できなかった

平たく言えば、これまでは「Entraの管理者グループをGWSには同期できなかった」のですね。
これが、2023年にリリースされた以下の機能を利用することで、相変わらず直接の同期はできませんが、回避策ができました。

図解するとこうなります。

スクリーンショット 2024-02-20 222620.png

ここからは、実際に上図のとおりグループ同期を構成していきます。

本件は以下の環境を前提とした手順になっています。

  • Entra を IdP とし、Google Workspace を利用していること
  • Entra ID Premium のライセンスがあること

また、Entra のプレビュー機能を利用しているため、今後利用できなくなったり、正式リリース時は手順が一部変更になる可能性があります。

目次

  1. 静的セキュリティグループの作成
  2. 動的M365グループの作成
  3. M365グループの同期設定
  4. Googleグループへの権限設定

1. 静的セキュリティグループの作成

管理者のメンバーを直接登録するグループを作成します。
このグループのメンバーが『Entraの管理者』になります。

(1) セキュリティグループを作成する

Entra ロールの割り当て許可を忘れないようにしましょう。
(あとから変更できません)

yn10_2024-2-20_19.58 (1).png

別に M365グループ にしても問題はないですが、このグループはGWSに同期しませんので、メールアドレスは競合しないようにしましょう。
(どのみち onmicrosoft.com のアドレスしか付与できないのですが←)

(2) 作成したグループにメンバーと役割を設定する

必要に応じ設定しましょう。

(3) 作成したグループのIDを取得する

『オブジェクトID group.objectId』を取得しましょう。
※次項 2.(2) で利用します

yn10_2024-2-20_19.59.png

2. 動的M365グループの作成

1.で作成したセキュリティグループをGWSに同期するためのM365グループを作成します。
このグループのメンバーが、『GWSの管理者』になります。

(1) 動的ユーザーの Microsoft 365 グループを作成する

yn10_2024-2-20_20.00.png

(2) 動的クエリを追加し、保存する

[規則の構文] の [編集] をクリックし、[ルール構文の編集] 画面でクエリを入力し、[OK] → [保存] で追加する。
※記事執筆時点ではプレビュー機能のため、ルールビルダーは属性に対応していないため利用できません

yn10_2024-2-20_20.01.png

手順1.(3)で取得した『オブジェクトID group.objectId』を元に、以下の文字列を作成して入力する。
※『********-****-****-****-************』に『オブジェクトID』が入る

Dynamic users membership rule
user.memberof -any (group.objectId -in ['********-****-****-****-************'])

ちなみに、or句でクエリ条件を追加し、複数のセキュリティグループを指定することも可能です(が、memberof 以外の条件指定は効きません)

yn10_2024-2-20_20.02.png
yn10_2024-2-20_20.02 (1).png

忘れずに [作成] ボタンを押して、グループを作成する。

(3) 作成したグループのプライマリメールアドレスを確認する

onmicrosoft.com ではなく、GWSに同期するドメインとなっていることを確認する。

3. M365グループの同期設定

2.で作成したM365グループをGWSに同期します。

(1) M365グループを同期対象に追加する

エンタープライズアプリケーションでGWSの設定を開き、ユーザーとグループ > [ユーザーまたはグループの追加] から、2.で作成したM365グループを追加する。

(2) 手動同期を行う

プロビジョニング > オンデマンドでプロビジョニング を開き、(1)で設定したグループを選択し、ユーザーをチェックしてから [プロビジョニング] ボタンを押す。
※ユーザーが居ない場合は、セキュリティグループからのメンバー取得が完了していないので、しばらく待ってリトライする

スクリーンショット 2024-02-20 233043.png
スクリーンショット 2024-02-20 233332.png

4. Googleグループへの権限設定

3.で同期されたGoogleグループに管理者ロールを付与します。

(1) 『セキュリティ』ラベルの付与

管理者ロールは『セキュリティグループ』にしか付与できませんので、同期されたグループに『セキュリティ』ラベルを付与します。

yn10_2024-2-20_20.04 (3) - コピー.png
yn10_2024-2-20_20.04 (2) - コピー.png
yn10_2024-2-20_20.04 (3) - コピー - コピー.png

(2) 管理者ロールの付与

セキュリティグループになったことで、管理者ロールを付与できるようにっているので、付与する。
※ただし、特権管理者はユーザーに対してしか付与できないので注意

yn10_2024-2-20_20.06 (1) - コピー.png

 

以上で本手順は完了です。
 

以後は、1.で作成した Entra のセキュリティグループのメンバーを改廃すると、GWS側の管理者ロールも自動付与されるようになります。

やったぜ!!

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?