Azure Active Directory からユーザーを同期する

適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security

Azure Active Directory (AD) からユーザーを同期するには、Azure AD 外部アイデンティティ を追加して、1 つ以上のグループ同期を作成する必要があります。

AuthPoint では、Azure AD 外部アイデンティティが外部ユーザー データベースを表します。外部アイデンティティは、Azure Active Directory に接続してユーザー アカウント情報を取得したりパスワードを検証します。外部アイデンティティに追加するグループ同期は、どのユーザーを Azure AD から AuthPoint へ同期するかを指定します。

Azure AD からユーザーを同期させるグループ同期を構成する際に 新しい同期グループを作成する チェックボックスを有効にすると、ユーザーの同期元の Azure AD のグループに基づいて、AuthPoint に新しいグループを作成することができます。ユーザーは、選択された AuthPoint グループに加えて、Azure AD のグループ メンバーシップに基づいて、新しいグループに同期されます。同期された Azure AD ユーザーを複数のグループに追加するには、この機能を使用することをお勧めします。

Azure AD 外部アイデンティティには、AuthPoint Gateway は必要ありません。Azure AD Connect を使用するオンプレミスの Active Directory サーバーがある場合は、Azure AD の外部アイデンティティを構成して、AuthPoint Gateway を使用せずにユーザーを同期して認証することができます。

Microsoft の制限により、Microsoft 365 では、Azure AD ユーザーがローカル AD サーバーと同期されている場合にのみ、Azure AD で AuthPoint MFA がサポートされます (Azure AD にのみ存在するユーザーに対する MFA はサポートされていません)。詳細については、このナレッジ ベースの記事 を参照してください。

保護リソースの認証を受けた Azure AD ユーザーに対し「MFA が承認しませんでした」というエラー メッセージが表示された場合、このメッセージは通常、Azure Active Directory から送信され、AuthPoint がユーザーの認証情報を検証できなかったことを示します。詳細については、このナレッジ ベースの記事 を参照してください。

Azure Active Directory の構成

AuthPoint を構成する前に、Azure AD を構成する必要があります。

Azure AD を構成するには、以下の手順を実行します。

  1. Microsoft Azure ポータルにログインします。
  2. Azure Active Directory のサービスを選択します。
  3. ナビゲーション メニューで、アプリの登録 を選択します。
  4. 新しい登録 をクリックします。
    アプリケーションの登録ページが表示されます。
  5. アプリケーションの名前を入力します。
  6. サポートされているアカウントの種類 では、このアプリケーションを使用してログインできるユーザーの種類を選択します。ここでの選択は、AuthPoint に同期するユーザーを表している必要があります。
  7. 登録 をクリックします。
    アプリの詳細を示すページが表示されます。
  8. アプリケーション (クライアント) ID の値をコピーします。AuthPoint で Azure AD 外部アイデンティティを作成するには、この値が必要です。
  9. ナビゲーション メニューで、マニフェスト を選択します。
  10. Microsoft Graph App Manifest タブを選択し、マニフェスト エディタで isFallbackPublicClient プロパティを true に設定します。このプロパティは、以前は allowPublicClient と呼ばれていました。
  11. 保存 をクリックします。
  12. ナビゲーション メニューで、API のアクセス許可 を選択します。
  13. アクセス許可の追加 をクリックします。
  14. Microsoft Graph を選択します。
  15. アプリケーションのアクセス許可 を選択します。
  16. Group.Read.AllUser.Read.All のアプリケーションのアクセス許可を選択します。
  17. 委任されたアクセス許可 を選択します。
  18. User.Read のアクセス許可を選択します。
  19. アクセス許可の追加 をクリックします。追加するアクセス許可には、Administrator による承認が必要です。「<name> に対して同意が与えられていません」というステータス メッセージが表示されたら、<name> に管理者の同意を与えます をクリックします。
  20. ナビゲーション メニューで、証明書とシークレット を選択します。
  21. 新しいクライアントの秘密 をクリックします。
  22. (任意) クライアントの秘密の説明を入力します。
  23. シークレットの有効期限を選択します。
  24. 追加 をクリックします。
    新しいクライアントの秘密の詳細が表示されます。
  25. クライアントの秘密の をコピーします。AuthPoint で Azure AD 外部アイデンティティを作成するには、この値が必要です。

    クライアントの秘密の値が必要です。これは、クライアントの秘密 ID とは異なります。

AuthPoint を構成する

AuthPoint management UI で、Azure AD 外部アイデンティティ を追加して、1 つ以上のグループ同期を作成する必要があります。

外部アイデンティティを追加する

AuthPoint Management UI で外部アイデンティティを追加するには、以下の手順を実行します。

  1. AuthPoint ナビゲーション メニューで 外部アイデンティティ を選択します。

Screen shot that shows the External Identities page.

  1. 外部アイデンティティを追加する をクリックします。

    外部アイデンティティを追加する ページが開きます。

Screen shot that shows the Add External Identity page.

  1. 種類 ドロップダウン リストから、Azure AD を選択します。
    追加のフィールドが表示されます。
  1. 名前 テキスト ボックスに、外部アイデンティティの記述的な名前を入力します。
  2. アプリケーション ID テキスト ボックスに、Azure AD から取得したアプリケーション (クライアント) ID の値を入力します。

Screen shot that shows the Add External Identity page.

  1. ドメイン テキスト ボックスに、Azure AD のドメイン名を入力します。カスタム ドメイン名を作成していない場合、既定のフォーマットは example.onmicrosoft.com になります。
  2. クライアントの秘密 テキスト ボックスに、Azure AD からコピーしたクライアントの秘密を入力します。
  3. 同期間隔 ドロップダウン リストから、Azure AD からユーザーを同期する頻度を指定します。24 時間毎 を選択した場合は、毎日何時に同期を開始するかも指定する必要があります。

    24 時間おきに同期するように構成された Azure AD 外部アイデンティティでは、同期間隔の時間は UTC (協定世界時) 形式となります。たとえば、ワシントン州シアトル (太平洋標準時) にいる人が、24 時間ごとに午後 10:00 に同期するよう Azure AD 外部アイデンティティを構成した場合、同期は太平洋標準時の午後 2:00 (UTC -8) に実行されます。

Screen shot that shows the Add External Identity page.

  1. 保存 をクリックします。

外部アイデンティティへの接続をテストする

外部アイデンティティへの接続をテストするには、以下の手順を実行します。

  1. ナビゲーション メニューで 外部アイデンティティ を選択します。
  2. Azure AD データベース用に追加した外部アイデンティティの横で をクリックし、接続の確認 を選択します。
    AuthPoint が Azure AD と通信できるかどうかを示すメッセージが表示されます。

Screen shot that shows the Check Connection option in the external identity menu.

ユーザーを同期する

Azure AD の外部アイデンティティを作成したら、グループ同期を追加して以下を指定する必要があります。

  • ユーザーの同期元の Azure AD グループ
  • ユーザーを追加する AuthPoint グループ
  • ユーザーの同期元の Azure AD グループに基づき、Azure AD で新しいグループを作成するかどうか
  • AuthPoint に同期されたユーザーのモバイル トークンを作成させ、モバイル トークンをアクティブ化するための電子メールを同期されたユーザーに送信させるかどうか

ほとんどの場合、ユーザーにトークンを割り当て、ユーザーにトークン アクティベーション用の電子メールを送信することをお薦めします。ユーザー アカウントが AuthPoint で認証するためにはトークンが必要です。認証にハードウェア トークンを使用するユーザーや、基本認証により MFA をバイパスするサービス アカウントには、これを行わない選択が可能です。

グループ同期を追加すると、AuthPoint は次の 同期間隔 で Azure AD データベースと同期し、グループ同期で特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。グループ同期に、使用可能な AuthPoint ライセンスよりも多いユーザーがいる場合、同期はライセンスによってサポートされる数のユーザーしか作成しません。

同じ LDAP グループを複数のグループ同期に追加したり、同じ LDAP ユーザーを含む複数のグループ同期を作成したりしないことをお勧めします。

Azure AD 内で名 (名前) やユーザー名、電子メール アドレスを持っていないユーザーは同期に含まれません。

ユーザーを同期する前に、各ユーザー アカウントに有効な電子メール アドレスがあることを確認してください。ユーザー アカウントの電子メール アドレスが正しくないと、そのユーザーはトークンをアクティブ化するための電子メール メッセージを受信できません。クエリによって特定されたユーザーが、異なる既存の AuthPoint ユーザー アカウントと同じ電子メール アドレスを持っている場合、AuthPoint はその外部ユーザーを同期しません。

Azure AD グループのグループ同期を作成するには、以下の手順を実行します。

  1. 外部アイデンティティ を選択します。
  2. 外部アイデンティティの横で をクリックし、グループ同期 を選択します。

Screen shot that shows the menu for an external identity.

  1. グループ同期 ページで 同期する新しい Azure グループを追加する をクリックします。

Screen shot that shows the Azure AD Group Sync page.

  1. Azure AD グループ同期の追加 ウィンドウで、Azure AD グループの選択 ドロップダウン リストからユーザーの同期元の Azure AD グループを選択します。複数のグループを選択できます。

Screen shot that shows the Add Azure AD Group Sync window.

  1. ユーザーを同期する Azure Active Directory グループに基づいて、AuthPoint に新しいグループを作成したい場合は、新しい同期グループを作成するオプション トグルを有効にします。このオプションを有効化すると、選択した AuthPoint グループに加えて、Azure Active Directory のグループ メンバーシップに基づいて、ユーザーが新しいグループに同期されます。

    AuthPoint で新しい同期グループを作成するオプションには、グループ同期で指定されていない Azure AD グループは含まれません。同期されたユーザーが、グループ同期で指定されていない Azure AD グループのメンバーである場合、その Azure AD グループは AuthPoint で作成されません。

    Azure AD ユーザーを AuthPoint の複数のグループに追加するには、グループ同期で新しい同期グループを作成するトグルを有効化し、Azure Active Directory グループの構造を使用してユーザーを管理します。

Screen shot that shows the Add Azure AD Group Sync window.

  1. AuthPoint グループの選択 ドロップダウン リストから、ユーザーを追加する AuthPoint グループを選択します。

    各グループ同期では、すべてのユーザーが同一の AuthPoint グループに追加されます。Azure AD ユーザーを複数のグループに追加するには、新しい同期グループを作成する トグルを有効化し、Active Directory グループの構造を使用してユーザーを管理することをお勧めします。

Screen shot that shows the Add Azure AD Group Sync window.

  1. AuthPoint にそれらのユーザー アカウントのモバイル トークンを作成させたくない場合、またはユーザーにモバイル トークンをアクティブ化するための電子メールを送信したくない場合は、モバイル トークンを同期されたユーザーに自動的に割り当てる および アクティベーション電子メールを同期されたユーザーに自動的に送信する チェックボックスの選択を解除します。

    ユーザー アカウントを同期した後にこの設定を変更することはできません。これらのオプションが選択されていないユーザーにトークンを割り当てるには、トークン アクティベーション用電子メールを再送信する必要があります。詳細については、次を参照してください:アクティベーション メールを再送信する

  2. 保存 をクリックします。
    グループ同期を追加するウィンドウが閉じます。

AuthPoint は次の 同期間隔 で Azure AD データベースと同期し、グループ同期で特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。

すぐに同期を開始するには、外部アイデンティティ ページの外部アイデンティティの横で をクリックし、同期の開始 を選択します。

新しく作成された AuthPoint ユーザー アカウントは、ユーザー ページに、ユーザー名の横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。アクティブ化されていることを示すステータス アイコンは、そのユーザーが作成済みで、現在アクティブである (ブロックされていない) ことを示します。外部アイデンティティから同期されたユーザーは、ユーザー リストにある種類列の Azure AD ラベルによって識別できます。

Screen shot that shows Azure AD users on the Users page.

各ユーザーは、AuthPoint モバイル アプリでトークンをアクティブ化するのに使用する電子メールを受信します。ユーザーがトークンをアクティブ化すると、トークンが トークン 列に、そのトークンの横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。

ユーザーがトークンのアクティベーション メールを実際に受け取っていた場合は、トークンのアクティブ化ができるよう、そのユーザーに新しいアクティベーション メールを送信することができます。ユーザーにモバイル トークンを自動的に割り当てない選択をした場合は、このオプションを使用して、そのユーザー用のトークンを作成し、トークンのアクティベーション用電子メールを送信します。アクティベーション メールを再送信する方法の詳細については、次を参照してください:アクティベーション メールを再送信する

新しい同期グループを作成する トグルを有効にすると、同期されたグループが AuthPoint に作成されます。新しく作成されたグループは、グループ ページに表示されます。グループ リストの同期グループは、種類 列の Azure AD ラベルで識別することができます。

同期されているグループの名前を Azure Active Directory で変更すると、AuthPoint に同期されているグループも自動で一致するよう更新されます。同期グループを AuthPoint で編集することはできません。

Azure Active Directory でグループを削除したり、グループ同期を削除しても、AuthPoint に同期されたグループは削除されません。AuthPoint に同期したグループは、手動で削除する必要があります。

関連トピック

外部アイデンティティへの接続をテストする

Active Directory または LDAP からユーザーを同期する

AuthPoint グループを追加する