ステップ1:Microsoft 365 で「ドメイン」の設定
Gluegent Gate と Microsoft 365 の連携には、お客様が保持しているドメイン(*)が必要です。
* xxx.onmicrosoft.com 以外のドメイン
既にドメインが追加されている場合は次のステップまでお進みください。
- Microsoft 365 の管理センターにアクセスします。
- [設定] > [ドメイン] ページの順に移動します。
- [ドメインの追加] を選択します。
- 追加するドメインの名前を入力し、[このドメインを使用する] を選択します。
- ドメインの所有を確認する方法を選択します。
- Microsoft がドメインを使用するために必要な DNS 変更を行います。
- [完了] を選択します。
Gluegent Gate で作成されるユーザーは、ここで追加したドメインのメールアドレスを使用します。
詳細は、Microsoft 365 のヘルプ記事をご参照ください。
情報:
■xxx.onmicrosoft.com ドメインでもシングルサインオンや ID同期が可能です。詳しくは下記をご参照ください。
→Microsoft 365 の onmicrosoft.com ドメインへの SSO と ID同期について
■Gluegent Gate からMFA を設定することで、管理センターにアクセスする際Microsoft 365 側で追加のMFA が要求されないよう設定が可能です。詳しくは下記をご参照ください。
→対象アプリケーションへSSO時の多要素認証にGluegent Gate を設定する方法
ステップ2:Microsoft 365 で「既定ドメイン」の設定
Microsoft 365 では新しく作成したドメインが自動的に「既定のドメイン」となります。「既定のドメイン」に設定したドメインは Gluegent Gate との連携には使用できません。
そのため、追加したドメインのチェックを選択し、別のドメインへ「既定のドメイン」を移動させます。
Microsoft 365 の初期ドメインの「xxxx.onmicrosoft.com」を「既定のドメイン」に必ず変更してください。
- 管理センターで、 [設定] > [ドメイン] ページの順に移動します。
- [ ドメイン ] ページで、新しいメール アドレスの既定として設定するドメインを選択します。
- [ 既定に設定 ] を選択します。
詳細は、Microsoft 365 のヘルプ記事をご参照ください。
結果例:
情報:
既定のドメインを変更することで、配信不能通知(NDR)の送信元が xxxx.onmicrosoft.com になりますが、これは、Set-TransportConfig コマンドの、ExternalPostmasterAddress のパラメーターで変更可能です。
→Set-TransportConfig
ステップ3:Microsoft 365 でシングルサインオンの設定
Microsoft 365 のグローバル管理者権限を持つユーザーを使用し、以下の設定を行います。
アプリケーションの登録
プライベート証明書の作成
証明書の登録
クライアントシークレットの登録
Microsoft Graph の追加
Office 365 Exchange Online の追加
ロールの割り当て
アプリケーションの登録
Microsoft Azure にログインします。
ログイン画面が表示された場合は、グローバル管理者のメールアドレス・パスワードを入力し、ログインしてください。
画面上部の検索ボックスに「entra」と入力し、表示された「Microsoft Entra ID」をクリックします。
画面左のメニューより「アプリの登録」をクリックし、「新規登録」をクリックします。
以下の設定を行います。
- 名前
- 任意の値を入力します。ここでは「Gluegent Gate」と入力しています。
- サポートされているアカウントの種類
- 「この組織ディレクトリのみに含まれるアカウント」を選択します。
- リダイレクト URI
- 「Web」を選択し、下記URLを入力します。
-
https://auth.gluegent.net/seciossadmin/index.php?action_saml_tenantOffice365OAuth=true
「登録」をクリックします。
作成されたアプリが表示されます。「概要」に表示される「アプリケーション(クライアント)ID」「ディレクトリ(テナント)ID」をテキストエディタ等に控えておきます。
各 ID 横の「クリップボードにコピー」をクリックします。
リダイレクト URI の「1個の Web、0個のSPA、0個のパブリック クライアント」をクリックします。
Web > リダイレクト URI にて「URI の追加」をクリックします。
追加された入力欄に下記 URL を入力します。
https://auth.gluegent.net/tenantadmin/index.php?action_saml_tenantOffice365OAuth=true
画面下部の「保存」をクリックします。
プライベート証明書の作成
プライベート証明書を作成します。
こちらにアクセスし、OpenSSLをインストールします。
「Download Win32/Win64 OpenSSL」にて最新バージョンのEXE または MSI をクリックします。お使いの Windows のビットバージョンに合ったものを選択してください。Light版 / 通常版のいずれかを選択してください。
ダウンロードしたファイルを実行し、インストールを行ってください。
コマンドプロンプトを起動します。
CD コマンドを使用し、OpenSSL の実行ファイルが格納されたフォルダに移動します。
上記の例の場合は、Win64 でインストールし、Program Filesにインストールしたので
cd C:\Program Files\OpenSSL-Win64\binと入力しています。
以下のコマンドを入力し、秘密鍵を生成します。
openssl genrsa 2048 > %HOMEPATH%\oauth.key%HOMEPATH% に oauth.key ファイルが作成されます。%HOMEPATH% は C:¥Users¥ユーザ名 などです。
秘密鍵をもとに、証明書を作成します。
openssl req -new -x509 -key %HOMEPATH%\oauth.key -out %HOMEPATH%\oauth.crt -days 3650 -subj "/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent"情報:
上記コマンドの [-days 3650] は 10 年間有効な証明書を作成しています。10 年間より短い期間を指定することも可能です。(例:-days 365)
上記コマンドの [/C=JP/ST=Tokyo/L=Minato/O=SIOS/OU=GL/CN=gluegent] はお客様の情報に則した内容を設定してください。
C=Country Name (国名を2文字で指定する。日本の国名は”JP”)
S=State Or Province Name (都道府県名を指定する)
L=Location Name (市区町村名を指定する)
O=Organization Name (企業名を指定する)
OU=Organization Unit Name (部署名を指定する)
CN=Common Name (Gluegent Gate のテナント ID と同一のものを指定する)
%HOMEPATH% に oauth.crt ファイルが作成されます。
証明書ファイルを PFX 形式に変換します。
openssl pkcs12 -export -inkey %HOMEPATH%\oauth.key -in %HOMEPATH%\oauth.crt -out %HOMEPATH%\oauth.pfx -name "oauth"
情報:
「Enter Export Password:」の右にパスワードを入力し、Enter キーを押下します。
(ここで入力したパスワードは表示されませんが実際には入力されています。)
「Verifying - Enter Export Password:」の右に再度パスワードを入力し、Enter キーを押下します。
(ここで入力したパスワードは表示されませんが実際には入力されています。)
入力したパスワードは Gluegent Gate の管理画面で使用しますので、テキストエディタ等にパスワードを控えてください。
変換したファイルは、ホームディレクトリ(C:¥Users¥ユーザ名)直下に「oauth.pfx」として生成されます。
証明書の登録
Microsoft Azure>Microsoft Entra ID>アプリの登録>Gluegent Gate にて「証明書とシークレット」をクリックします。
「証明書」をクリックし「証明書のアップロード」をクリックします。
先ほど作成した「oauth.crt」を選択し「追加」をクリックします。
クライアントシークレットの登録
「クライアント シークレット」をクリックし、「新しいクライアント シークレット」をクリックします。
「有効期限」にて「730日(24か月)」などの長い期間を選択し、「追加」をクリックします。
重要:
証明書とクライアント シークレットの有効期限が切れると、Gluegent Gate から Microsoft 365 へのID同期が不可となります(SSOは可能です)。クライアント シークレットの追加の操作を再度実施してください。
有効期限の通知はシステム>テナント情報で設定したメールアドレス宛に送信されます。有効期限が切れる 30日前、21日前、14日前、7日前からは毎日有効期限が切れる当日まで送信されます。
→テナント情報
作成後、一覧に表示されたクライアント シークレットの「値」をテキストエディタ等に控えておきます。
値の横の「クリップボードにコピー」をクリックします。
重要:
クライアント シークレットの「値」は画面遷移や一定時間が経過すると再取得できなくなります。
Microsoft Graph の追加
情報:
本手順については動画でもご紹介しております。
詳しくは「Microsoft Graph の追加」をご参照ください。
Microsoft Azure>Microsoft Entra ID>アプリの登録>Gluegent Gate にて「API のアクセス許可」をクリックします。
「アクセス許可の追加」をクリックします。
「Microsoft Graph」をクリックします。
「委任されたアクセス許可」をクリックします。
検索ボックスに以下のアクセス許可を入力し、表示されたアクセス許可のチェックボックスをオンにします。(「>」をクリックして詳細を開きます)
以下のアクセス許可を全て追加してください。
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.ReadWrite.Directory
- User.ReadWrite.All
情報:
検索候補が 2 つ以上表示された場合は完全に一致する方を選択してください。
すべて選択したら「アクセス許可の追加」をクリックします。
追加したアクセス許可が一覧に表示されたことを確認し、「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
Office 365 Exchange Online の追加
情報:
ご契約のMicrosoft 365 のライセンスに Exchange Online が含まれており、Gluegent Gate から Microsoft 365 への ID 同期時に Exchange Online のライセンスを付与する場合は以下の操作を行ってください。
本手順については動画でもご紹介しております。
詳しくは「Office 365 Exchange Online の追加」をご参照ください。
Microsoft Azure>Microsoft Entra ID>アプリの登録>Gluegent Gate にて「マニフェスト」をクリックします。
エディタ内に以下の文言を追記します。
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},
作業は記述されている内容をテキストエディタにコピーして行ってください。
記述された内容から「requiredResourceAccess」を検索します。
検索にヒットした
"requiredResourceAccess": [
と
{
の間に
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
},を追記します。
編集した内容をテキストエディタから画面にコピーします。
「保存」をクリックします。
「API のアクセス許可」をクリックします。
一覧に「Office 365 Exchange Online」>「Exchange.ManageAsApp」が追加されていることを確認し「管理者の同意を与えます」をクリックします。
「はい」をクリックします。
ロールの割り当て
Microsoft Azure>画面最上部の検索ボックスで直接「Microsoft Entra ID のロールと管理者」を入力してヒットしたメニューをクリックしてください。
管理者ロールの一覧から「グローバル管理者」を検索し、クリックします。
「割り当ての追加」をクリックします。
情報:
権限割り当ての手順については、お使いのMicrosoft Azureテナントで「Privileged Identity Management」機能の有効状態によって異なります。当機能の有効状態に合わせてご確認ください。
■「Privileged Identity Management機能が有効の場合」の方
■「Privileged Identity Management機能が無効の場合」の方
Privileged Identity Management機能が有効の場合
「割り当ての追加」画面にある「メンバーの選択」>「メンバーが選択されていない」をクリックしてください。
アプリの登録時に控えておいた「アプリケーション(クライアント)ID」を検索ボックスに入力 > 表示れたアプリをチェック > 「選択」をクリックします。
表示された内容が正しいか確認をし、「次へ」をクリックします。
以下の項目を選択、入力し「割り当て」をクリックします。
- 割り当ての種類:アクティブを選択
- 永続的に割り当てられています:チェック
- 理由の入力:任意の文字列を入力
Privileged Identity Management機能が無効の場合
アプリの登録時に控えておいた「アプリケーション(クライアント)ID」を検索ボックスに入力し、表示されたアプリを☑します。
「追加」をクリックします。
ステップ4:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Microsoft 365」の操作アイコンをクリックします。
以下の設定を行います。
- シングルサインオンの設定
- 「有効」のチェックをオフにします。チェックがオフの場合、シングルサインオン(フェデレーション)は行われません。
- ID同期
- 「有効」のチェックをオンにします。
- Microsoft 365 ドメイン
-
ステップ1で追加したドメインを入力します。
重要:
ここには「既定のドメイン」や「xxx.onmicrosoft.com」ドメインは設定できません。
(一部例外を除く→Microsoft 365 の onmicrosoft.com ドメインへの SSO と ID同期について)
また、サブドメイン(例:「example.com」に対する「sub.example.com」)も設定できません。情報:
ドメインが複数存在する場合は「ドメインを追加」をクリックし、追加された入力欄に入力します。
- Microsoft 365 管理アカウント名
- Microsoft 365 の管理権限を持つユーザーのメールアドレスを入力します。
-
重要:
- ここで設定する管理者はシングルサインオン対象外の管理者を設定ください。
「xxx.onmicrosoft.com」の管理者が推奨です。
- ここで設定する管理者はシングルサインオン対象外の管理者を設定ください。
- OAuth 認証-Microsoft 365の接続方式
- 「証明書」もしくは「クライアントシークレット」を選択します。
- Exchangeの接続方式
- 「証明書」を選択します。
- アプリケーションID
- ステップ3 で Azure AD に作成したアプリケーションの「アプリケーション(クライアント)ID」を入力します。
- ディレクトリID
- ステップ3 で Azure AD に作成したアプリケーションの「ディレクトリ(テナント)ID」を入力します。
- クライアントシークレット
- Microsoft 365の接続方式で「クライアントシークレット」を選択した場合、ステップ3 で作成したクライアント シークレットの「値」を入力します。
- 証明書(PKCS#12形式)
- Microsoft 365 の接続方式 もしくは Exchange の接続方式 で「証明書」を選択した場合、ステップ3「プライベート証明書の作成」で作成した「oauth.pfx」を選択します。
- ※ Microsoft 365 の接続方式 を「クライアントシークレット」、 Exchange の接続方式 を「パスワード」に設定している場合は使用しません。
- 証明書のパスフレーズ
- Microsoft 365 の接続方式 もしくは Exchange の接続方式 で「証明書」を選択した場合、ステップ3 プライベート証明書を発行した際に設定したパスワードを入力します。
- ※ Microsoft 365 の接続方式 を「クライアントシークレット」、 Exchange の接続方式 を「パスワード」に設定している場合は使用しません。
- 接続用パスワード
- Exchange の接続方式 で「パスワード」を選択している場合、「Microsoft 365 管理アカウント名」で入力したユーザーのパスワードを入力します。
- 管理者ロールの制御
- Microsoft Entra ロール の同期の有無を切り替えできるようになります。有効にした場合、ユーザー情報やプロファイル情報の設定項目にある「Microsoft 365のロール」に「管理者ロール」の項目が表示され、無効の場合は非表示となります。
情報:
有償・無償のライセンスがない Entra ID を連携する場合、「管理者ロールの制御」の設定を「有効」にする必要があります。
各設定を設定し「保存」をクリックします。
ステップ5:Gluegent Gate で「認証」「アクセス権限」の設定
認証ルール(本人確認の為の処理)を作成します。
情報:
ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
ID
- 任意の値を入力します。(例:rule_web)
- 認証方式
- 「ID/パスワード認証」にチェックを入れます。
- クライアント
-
以下の 3 つにチェックを入れます。
ブラウザー PC / ブラウザー スマートフォン / ブラウザー タブレット
「登録」をクリックします。
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
情報:
ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
- 任意の値を入力します。(例:for_web)
- アクセス先のサービス
- 「Microsoft 365」「ユーザーポータル」にチェックを入れます。
- 要求される認証方式
- 「ID/パスワード認証」にチェックを入れます。
- クライアント
-
以下の 3 つにチェックを入れます。
ブラウザー PC / ブラウザー スマートフォン / ブラウザー タブレット
「登録」をクリックします。
重要:
基本認証の場合は認証ルールによる認証は行われません。IP アドレス制限を行う場合はアクセス権限ルールにて設定してください。また、基本認証の場合は ID / パスワード認証のみ行い、それ以外の認証方式は使用できません。
ステップ6:Microsoft 365 で「ユーザー情報」のダウンロード
Microsoft 365 に登録されているユーザー情報を取得します。
- Microsoft 365 の管理センターにアクセスします。
- [ユーザー」>[アクティブなユーザー]ページの順に移動します。
- [...]>[ユーザーのエクスポート]をクリックします。画面の指示に従い操作を行い、ユーザー情報の CSV ファイルをダウンロードします。
ステップ7:Gluegent Gate で「ユーザー」の一括登録
重要:作業の前に
Gluegent Gate と Microsoft 365 の認証連携では、双方のユーザーを Immutable IDと呼ばれる特殊な属性値でマッピングしており、同じ Immutable ID を持つユーザーでログインします。
この Immutable ID は、 Microsoft 365 管理センターで作成された Microsoft 365 ユーザーには登録されていないため、Gluegent Gate から Microsoft 365 へのユーザー同期によって Immutable ID を伝搬する必要があります。
Gluegent Gate からのユーザー同期は、通常同じメールアドレスを持つ Microsoft 365 ユーザーに対して行われ、この際 Immutable ID だけでなく氏名や他の属性、ライセンス情報も上書きされます。
そのため、既存の Microsoft 365 ユーザーと同じ情報で Gluegent Gate ユーザーを作成することが望まれます。
雛形ユーザーの作成
Gluegent Gate ユーザーの一括登録用 CSV はフィールド数が多く、またその値も複雑なため、CSV ファイルを一から作成するのは現実的ではありません。
そこで、まず実ユーザーの雛形となるテストユーザーを Gluegent Gate 管理画面上で作成し、エクスポートします。
エクスポートした CSV は一括登録用の CSV として使用できるため雛形ユーザーの行をコピーする形で、実ユーザー情報を書き加えて行くことで記入ミスを防ぐことができます。
Gluegent Gateの管理画面にアクセスします。
左メニューの「ユーザー」→「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。
必要事項を入力します。
- ユーザーID
- Gluegent Gate のログイン画面で使用するIDです。
- この項目は作成後に変更できません。
- 氏名
- Microsoft 365 の表示名に反映されます。
- メールアドレス
- Microsoft 365 のメールアドレスに反映されます。
- ユーザー名にも反映されます。
- パスワード
- ログインのためのパスワードです。
- 許可するサービス
- 「Microsoft 365」のチェックを入れます。
- Microsoft 365のロール-SKU製品コード
- 既存ユーザーのライセンス状況に合わせて必要なものを選択します。
SKU製品コード(製品名)にチェックを入れますと、その製品全てのライセンスが付与されます。個別にライセンスを付与したい場合は、チェックを入れずに対象のライセンスを選択してください。
※GSync をご利用の場合は、Active Directory をデータ源泉とする運用となるため、現状ではSKU単位のロール付与(チェックボックス)には対応しておりません。
情報:
SKU製品コードとは「ライセンスのための製品名とサービス プラン 識別子」に記載されている文字列 IDとなります。
- Microsoft 365のロール-管理者ロール
- Microsoft Entra ロールを選択します。
※管理画面 シングルサインオン > クラウドサービス > Microsoft365 にある「管理者ロールの制御」を有効にすると項目が表示されます。
「登録」をクリックします。
情報:
Gluegent Gate 側の情報は Microsoft 365 に即時同期されます。Exchange Online に同期される時間は、毎時 0 分と 30 分です。
Gluegent Gate ユーザー一覧画面の下部「ファイル出力」をクリックします。
「SJIS」「UTF-8」のいずれかをクリックします。
ユーザー情報に機種依存文字を含む場合は、文字化けを避けるために「UTF-8」をクリックします。
作成した雛形ユーザーの情報を含む CSV ファイルがダウンロードされます。
CSV による一括登録
実ユーザー情報を加えた CSV を用いて、Gluegent Gate で一括登録を行います。
ユーザー一覧でダウンロードした CSV を元に、ステップ6 でダウンロードした CSV ファイルの情報を使い一括登録用 CSV を作成します。
ファイルの準備ができましたら、Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」→「CSV登録」の順にクリックします。
「ファイルを選択」をクリックし、作成した CSV ファイルを選択し、「登録」をクリックします。
情報:
一括でライセンスを付与する場合は、許可するサービスに「office365=<SKU製品コード>」と指定しますと、その製品全てのライセンスが付与されます。
例)
office365=DEVELOPERPACK_E5
ログインユーザーの通知用メールアドレス宛に処理結果が通知されますので確認してください。
詳しくは「ユーザーの管理 - 7. ユーザーの一括作成 / 更新」を参照してください。
ステップ8:Gluegent Gate で「操作ログ」を確認
登録後、ログで正しく Microsoft 365 にユーザーが作成されたかを確認します。
Gluegent Gateの管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Microsoft 365 への追加ログが表示されます。
情報:
「(Microsoft 365)」が付いているものが Microsoft 365 への追加ログです。
赤いテキストで表示されたログは、ユーザーの登録に失敗した処理になります。
ステップ9:Gluegent Gate で「シングルサインオンの設定」の有効化
Gluegent Gate 側でシングルサインオンが有効となるよう設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
クラウドサービス一覧の「Microsoft 365」の操作アイコンをクリックします。
ステップ4 で有効としなかった「シングルサインオン」の「有効」チェックをオンにし、「保存」をクリックします。
情報:
「保存」をクリック後、正常に保存されるとシングルサインオン(フェデレーション)が行われます。切り替えには時間がかかる場合があります。既存ユーザーに影響がないよう、利用者が少ない時間帯に切り替えを行うことをお勧めします。
ステップ10:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※Microsoft 365 の管理画面にログインしている場合は、別のブラウザを使用するか、ログアウトしてからユーザーによるログインをご確認ください。
※今回は Microsoft 365 のポータルにアクセスする方法をご紹介します。
https://portal.office.com/ にアクセスします。
※Microsoft のサインイン画面で、メールアドレスを入力し、「次へ」をクリックします。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
- ステップ7のGluegent Gate の「ユーザー」の新規登録で指定したユーザー名(ユーザーID の @ より前の部分)
- パスワード
- 新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、Microsoft 365 に自動的に遷移します。遷移しない場合は画面上の「次へ」をクリックしてください。
Gluegent Gate が Microsoft 365 にアクセスが可能かを確認し、アクセス可能と判断されれば、Microsoft 365 へのログインに成功します。