目次 x
      Microsoft Entra IDの前提条件
        • 印刷する
        目次

        Microsoft Entra IDの前提条件

          • 印刷する
          記事の要約

          Microsoft Entra IDには、以下の前提条件があります。

          ※ID管理が〇になっている項目は、ID管理の機能の前提条件になります。ログが〇になっている項目は、アクセスログ管理のログ自動収集機能、または、ログ自動収集機能で収集したアクセスログ(ログインログ・ログアウトログ・suログ・ログイン失敗ログ)で出力するレポートの前提条件になります。

          No

          条件

          対象機能

          ID

          ログ

          1

          ログ収集にはMicrosoft Entra ID  Premium P1以上のライセンスが必要です。

          -

          2

          Microsoft Entra ID の「グローバル管理者」ロールが割り当てられた Microsoft Entra ID ユーザを、ターゲット接続情報の「管理者アカウント」に設定する必要があります。

          3

          iDoperation用にAzureアプリケーションを登録する必要があります。
          登録方法については『アプリケーションの登録』を参照してください。
          またマイクロソフトの情報を参考にしてください。
          クイック スタート:Microsoft ID プラットフォームにアプリケーションを登録する

          4

          ターゲット属性の「同期対象ロール」では、ロール名を英語表記のdisplayNameで設定する必要があります。
          ロールのdisplayNameの取得方法については、『同期対象ロール名の取得』を参照してください。



          アプリケーションの登録

          アプリケーションを登録し、以下の「必要なアクセス許可」を設定してください。

          No

          アプリケーション

          項目

          1

          Microsoft Graph

          		Directory.AccessAsUser.All
          2

          AuditLog.Read.All(ログ収集を行う場合)

          3

          Directory.ReadWrite.All

          4

          User.EnableDisableAccount.All

          5

          User.ManageIdentities.All

          6User.ReadWrite.All
          7RoleManagement.ReadWrite.Directory

          ※2024年2月時点の画面で手順を記載しています。

          1. Azure Portal「https://portal.azure.com/」にログインします。

          「≡」をクリックしてメニューバーを表示し、「Microsoft Entra ID」を選択します。

           

          2.「エンタープライズ アプリケーション」を選択します。


          3.「新しいアプリケーション」をクリックします。


          4.「独自のアプリケーションの作成」をクリックします。
          「お使いのアプリの名前は何ですか?」は「idoperation」を設定し、「ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)」を選択し「作成」をクリックします。
          作成後に表示される「アプリケーションID」をメモしてください。ターゲット登録時に接続情報として必要となります。

          5. 作成したアプリの「アクセス許可」をクリックし、「アプリの登録」をクリックします。

          6.「アクセス許可の追加」をクリックし、「Microsoft Graph」をクリックします。

          7.「委任されたアクセス許可」で下記の「選択項目」を選択し、「アクセス許可の追加」をクリックします。

          選択項目

          No

          項目

          1

          Directory.AccessAsUser.All


          8.「アプリケーションの許可」で下記の「選択項目」を選択し、「アクセス許可の追加」をクリックします。

          選択項目

          No

          項目

          1

          AuditLog.Read.All(ログ収集を行う場合)

          2

          Directory.ReadWrite.All

          3

          User.EnableDisableAccount.All

          4

          User.ManageIdentities.All

          5

          User.ReadWrite.All

          6

          RoleManagement.ReadWrite.Directory


          9.「(会社名)に管理者の同意を与えます」をクリックします。

          10.「証明書とシークレット」をクリックし「新しいクライアント シークレット」をクリックします。
          有効期限を選択し、「追加」をクリックします。
          生成された「値」をメモしてください。ターゲット登録時に接続情報として必要となります。

          11. Microsoft Entra IDの画面に戻ります。(Azure Portalトップ>Microsoft Entra ID)「ロールと管理者」をクリックします。

          12.「グローバル管理者」または「特権認証管理者」をクリックします。

          13.「割り当ての追加」をクリックします。
          手順4で追加したアプリ名「idoperation」で検索します。
          「エンタープライズ アプリケーション」タブを選択し、アプリ名「idoperation」をチェックして「追加」をクリックします。


          同期対象ロール名の取得

          同期対象とするアカウントの絞り込みを行うためには、ターゲット登録時に「同期対象ロール」にロール名を指定する必要があります。

          指定するロール名は英語表記のdisplayNameで指定する必要があります。

          1.ブラウザでGraph Explorer「https://developer.microsoft.com/graph/graph-explorer」にアクセスします。
          「要求」テキスト ボックスに「https://graph.microsoft.com/v1.0/directoryRoleTemplates」を入力し、「クエリの実行」をクリックします。

          2.「応答のプレビュー」タブに応答が表示されます。
          表示された内容をもとに、同期対象としたいロールの「displayName」属性の値を、iDoperationの同期対象のロール名として指定してください。


          What's Next
          © 2024 NTT TechnoCross Corporation