クラウドサービス連携ガイド - Microsoft 365編

概要

---

Gluegent Gate では、 Gluegent Gate を経由して Microsoft 365 へのログイン・アクセス制御を行う機能と、Microsoft 365 のID 管理を行う機能を提供しています。

 

設定方法については「スタートアップガイド Microsoft 365編」で紹介しておりますので、本マニュアルでは Google Workspace との連携についてご紹介しています。

 

記事一覧

---

• シングルサインオン設定
• ユーザー管理
• ログイン(一般ユーザー)
• ユーザーグループ管理
• 連絡先管理

 

シングルサインオン設定

---

設定方法はスタートアップガイド Microsoft 365編をご参照ください。

 

Gluegent Gate の管理画面にアクセスします。

左メニューにて「シングルサインオン」＞「クラウドサービス」の順にクリックします。

 

画面右上のクラウドサービス一覧にて「Microsoft 365」の編集アイコンをクリックします。

 

ここでは各入力項目について紹介します。

 

シングルサインオンの設定

必要事項を入力し、チェックをオンにして保存するとシングルサインオンが開始されます。

ID同期

チェックをオンにします。チェックをオンにすると Gluegent Gate で作成したユーザー・ユーザーグループ・連絡先が Microsoft 365 に同期されます。

Microsoft 365 ドメイン（必須）

Microsoft 365のシングルサインオン対象のドメインを入力します。ドメインが複数存在する場合は「ドメインを追加」をクリックして入力欄を追加します。

重要：
ここには「既定のドメイン」や「xxx.onmicrosoft.com」ドメインは設定できません。
また、サブドメイン(例:「example.com」に対する「sub.example.com」)も設定できません。

ユーザー名の属性

メールアドレス・ユーザーID から選択します。Microsoft 365 のユーザー名としてどちらを使用するかを選択します。
「ユーザーID」を選択した場合、Microsoft 365 のユーザー名は Gluegent Gate のユーザーID のローカルパート＋@＋「Microsoft 365 ドメイン」に設定した先頭ドメインとなります。

Microsoft 365 管理アカウント名（必須）

Microsoft 365 の管理権限を持つユーザーのメールアドレスを入力します。

重要：
Microsoft 365 ドメインに入力したドメインの管理者は入力できません。

APIの認証方式

OAuth 認証・レガシー認証から選択します。

重要：
レガシー認証は 2022 年 10 月以降使用できなくなります。

 

OAuth認証

アプリケーションID

Azure AD に作成したアプリケーションの「アプリケーション（クライアント）ID」を入力します。

ディレクトリID

Azure AD に作成したアプリケーションの「ディレクトリ（テナント）ID」を入力します。

クライアントシークレット

クライアント シークレット作成時に取得した値を入力します。

トークンの取得

回答アプリケーションID、ディレクトリID、クライアントシークレットを入力後、「トークン取得」をクリックします。

重要：
クライアントシークレットや証明書の有効期限が切れた際は、再発行を行い、再度トークン取得が必要です。

Exchangeの接続方式

回答「証明書」「パスワード」のどちらかを選択します。

証明書を選択した場合、グループの種類「Microsoft 365」のグループが作成できません。「Microsoft 365」のグループを作成する必要がある場合は「パスワード」を選択してください。

証明書(PKCS#12形式)

「Exchangeの接続方式」で「証明書」を選択した場合、プライベート証明書を発行した際に設定したパスワードを入力します。

接続用パスワード

回答「Exchangeの接続方式」で「パスワード」を選択した場合、「Microsoft 365 管理アカウント名」で入力したユーザーのパスワードを入力します。

 

レガシー認証

管理アカウントのパスワード

上記ユーザーのパスワードを入力します。

重要：
Microsoft 365 側で管理者のパスワードを変更した場合、こちらで変更後のパスワードを入力してください。

 

Exchange Onlineの設定

設定

有効にした場合、Microsoft 365 のメールボックスの設定の一部をここで行います。
無効にした場合はデフォルト値での設定となります。デフォルト値は以下の通り。

• メールボックスの削除済みアイテムの保存期間：14
• メールボックスの監査ログの出力：チェックなし(無効)
• メールボックスのアーカイブ：チェックなし(無効)
• 電子メール接続のデフォルト設定：全てオフ
• 予定表のデフォルト設定：チェックなし
• 階層型アドレス帳：チェックなし

注意：
この画面で設定を変更しても、既存ユーザーのメールボックスの設定には反映されません。変更後に新しく作成するユーザーから適用されます。

メールボックスの削除済みアイテムの保存期間

メールを削除した場合にメールボックスに保存しておく日数を入力します。
(1 〜 30 の範囲で入力してください。)
Set-MailBox オプションの -RetainDeletedItemsFor に反映されます。

メールボックスの監査ログの出力

有効にした場合、メールボックスの監査ログを出力します。Exchange のメールボックスの機能の「監査ログ」に反映されます。
設定は Powershell のコマンド Get-mailbox -Identity ユーザ@M365ドメイン | fl AuditEnabled で確認いただけます。

メールボックスのアーカイブ

有効にした場合、メールボックスのアーカイブを有効にします。
Exchangeのメールボックスの機能の「アーカイブ」に反映されます。

電子メール接続のデフォルト設定

POP、IMAP、MAPI、Outlook Web App、ActiveSync、デバイス用OWA の有効、無効を設定します。
Exchange のメールボックスの機能の電子メールの接続のそれぞれの項目に反映されます。
この設定内容は Microsoft 365 側で再設定することができます。
「ユーザー メールボックスのプロパティを変更する」の「メールボックスの機能」をご参照ください。

予定表のデフォルト設定

予定表の共有有無を設定します。チェックをオンにするとユーザーの予定表 (Exchange Online) 作成時のデフォルトが「空き時間情報、件名、場所を公開」の設定となります。
この設定内容は Microsoft 365 側で再設定することができます。

→Web 版 Outlook でのカレンダー設定

階層型アドレス帳

Outlook のアドレス帳での階層型アドレス帳使用の有効/無効を選択します。有効にする場合は最上位グループの入力が必須です。
最上位グループにはユーザーグループのグループ名を入力します。
グループの種類は「メール可能なセキュリティグループ」もしくは「配布グループ」に限ります。
階層型アドレス帳で使用するユーザーグループは「アドレス帳表示」の「非表示」のチェックをオフにする必要があります。
このチェックをオンにするためには Exchange Online が利用できる Microsoft 365 のご契約が必要です。

 

リフレッシュトークンの有効期間

ここで設定した時間経過後に Outlook などで再認証が必要となります。
毎時 00 分にリフレッシュトークンをチェックし、この時点で有効期間を超えていた場合クリアされます。
0 を設定した場合は、クリアされず再認証は不要です。

 

Microsoft 365へのID同期のタイミング

「APIの認証方式」で「OAuth 認証」を選択した場合、Gluegent Gate のユーザー・ユーザーグループ・連絡先の新規登録・変更・削除内容が Microsoft 365 へ同期されるタイミングは即時です。

「レガシー認証」を選択した場合、Gluegent Gate の情報が Microsoft 365 へ同期されるタイミングは毎時 00 分、30 分です。ただし、他のお客様の影響を受けて、処理の実行が遅れる場合があります。

 

Microsoft 365 のライセンス情報取得のタイミング

Microsoft 365 のライセンス情報（プラン購入など）を取得するタイミングは毎日 1 時 15 分、7 時 15 分、13 時 15 分、19 時 15 分です。

 

「メールボックスの設定」以下の変更

「メールボックスの設定」のチェックをオンにした場合、新規ユーザー作成時にここで設定した状態で作成されます。Microsoft 365 側で各ユーザーのこれらの設定値を変更することは可能です。

変更方法は下記ヘルプ記事をご参照ください。

→ユーザー メールボックスを管理Exchange Online

 

 

ユーザー管理

---

ユーザー情報の同期対象

Gluegent Gate で作成されたユーザーは Microsoft 365 のユーザーに作成されます。ユーザー情報の入力内容と Microsoft 365 への同期対象は以下の通りです。

 

Gluegent Gate の項目名		Microsoft 365 の同期対象項目名 [Azure AD 属性名]	備考
ユーザーID		ユーザー名 [UserPrincipalName、SignInName]	シングルサインオン＞クラウドサービス＞Microsoft 365 の「ユーザー名の属性」で「ユーザーID」を選択した場合は、ユーザーIDのローカルパート+@+「Microsoft 365 のドメイン」に設定した先頭ドメインがユーザー名に同期されます。
社員番号		同期なし
氏名	（姓）	名前(姓) [LastName]
	（名）	名前(名) [FirstName]
氏名（かな）	（姓）	同期なし	条件により PhoneticDisplayName に同期されます。
	（名）	同期なし
別名		表示名 [DisplayName]	未入力の場合は氏名が表示名となります。
メールアドレス		ユーザー名 プライマリ電子メールアドレス [ProxyAddresses]	シングルサインオン＞クラウドサービス＞Microsoft 365 の「ユーザー名の属性」で「メールアドレス」を選択した場合は、メールアドレスがユーザー名に同期されます。
メールエイリアス		その他の電子メールアドレス [ProxyAddresses]
組織		同期なし
地域		Exchangeの国/地域 [UsageLocation]
言語		マイ アカウントの設定の「言語」 Outlook(WebUI)の言語(新規作成時のみ) [PreferredLanguage]
パスワード		パスワード または同期なし	OAuth認証の場合： パスワードに同期されます。なお、Microsoft 365側のパスワードポリシーを満たさない場合、ユーザー同期に失敗します。 レガシー認証の場合： Microsoft 365 側のパスワードは空で登録されます。 Microsoft 365 に既存ユーザーが存在する場合もパスワードが空になります。 シングルサインオン＞クラウドサービス＞Microsoft 365 の「シングルサインオンの設定」のチェックがオン、かつ「ID同期」のチェックがオンの場合は同期しませんが、「シングルサインオンの設定」のチェックがオフ、かつ「ID同期」のチェックがオンの場合は同期します。
ユーザー状態		「無効」のときはユーザーがブロックされた状態
権限		同期なし
許可するサービス		チェックがオフの場合はユーザー同期しない オン→オフに変更された場合は削除される
Microsoft 365のロール		ライセンスに該当する各アプリ	ライセンスのための製品名とサービス プラン 識別子
通知用メールアドレス		同期なし
簡易表示名		簡易表示名	メールユーザーのプロパティの構成
アドレス帳表示		Exchangeの「アドレス一覧に表示しない」

 

PhoneticDisplayName に関する仕様

シングルサインオン＞クラウドサービス＞Microsoft 365 にて「階層型アドレス帳」のチェックがオンの場合、以下の条件により対象の項目の値が  PhoneticDisplayName に同期されます。

1. 「氏名（かな）」に値が設定されている場合、その値が PhoneticDisplayName に同期される。

2. 「氏名（かな）」に値が設定されてない場合、「別名」の値が PhoneticDisplayName に同期される。

3. 「氏名（かな）」や「別名」に値が設定されてない場合、「氏名」の値が PhoneticDisplayName に同期される。

 

「階層型アドレス帳」のチェックがオフの場合は PhoneticDisplayName には同期されません。

 

連絡先情報の同期対象

連絡先情報はユーザーの新規作成後、編集画面で設定可能です。

 

連絡先情報の入力内容と Google Workspace への同期対象は以下の通りです。

 

Gluegent Gate の項目名	Microsoft 365 の同期対象項目名 [Azure AD 属性名]
会社名	Exchange の会社名
部署	部署 [Department]
役職	役職 [Title]
事業所	事業所 [Office]
電話番号	会社電話 [PhoneNumber]
FAX	FAX番号 [Fax]
携帯電話番号	携帯電話 [MobilePhone]
自宅電話番号	Exchangeの自宅電話
国	国/地域 [Country]
郵便番号	郵便番号 [PostalCode]
都道府県	都道府県 [State]
市区郡	市区町村 [City]
町名・番地	番地 [StreetAddress]

 

ユーザーの新規登録

Gluegent Gateでユーザーを作成すると、Microsoft 365 にもユーザーが作成されます。

→ユーザーの管理 - 1. ユーザーの作成

登録後、ログで正しくMicrosoft 365 にユーザーが作成されたかを確認します。

→ログ - 1. システムログ

ログファイルで「操作ログ」を選択し、「適用」をクリックします。

Gluegent Gate への追加ログと Microsoft 365 への追加ログの 3 件が表示されます。

（Microsoft 365 への追加ログ件数は操作内容により異なります）

「(Microsoft 365)」が付いているものが Microsoft 365 への追加ログです。

 

成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。

情報：
同期に失敗した場合は30分後に3回までリトライされます。

 

ユーザー情報の更新

ユーザー情報を変更すると、変更内容が Microsoft 365 に同期されます。

 

ユーザーの削除

ユーザーを削除すると Microsoft 365 からも削除されます。

 

許可するサービスのチェックについて

許可するサービスの「Microsoft 365」のチェックをオフにすると、Microsoft 365 のユーザーは削除されます。

 

削除済みのユーザーに移動されます。

 

「Microsoft 365」のチェックをオンにすると、Microsoft 365 のユーザーが作成されます。

 

注意：
Microsoft 365のロールは表示されているものとご契約いただいているものが異なる場合があります。「ユーザー」＞「CSV登録」の登録可能なロールにてコード(大文字のみで表示されたもの)を確認し、ライセンスのための製品名とサービス プラン 識別子でご確認ください。

 

 

ログイン(一般ユーザー)

---

Gluegent Gate のシングルサインオンの設定が正しく行われていれば、Microsoft 365 へのログインは Gluegent Gate を経由したログインになります。

Microsoft 365 へのログイン方法はいくつかあります。

 

Webブラウザーからログインする

Web ブラウザから www.office.com にアクセスし、「サインイン」をクリックします。

こちらをクリックするとメールアドレスの入力を求められます。入力されたメールアドレスのドメインを判断し、シングルサインオンの設定がある場合は、Gluegent Gate のログイン画面に遷移します。Gluegent Gate のログイン画面では Gluegent Gate の ユーザーID / パスワードを入力してください。

 

Gluegent Gate へ直接ログインできる URL にアクセスする

Microsoft 365 の各種サービス（Outlookなど）の URL にドメインを含めることで Gluegent Gate のログイン画面に直接アクセスし、各サービスへログインします。

https://outlook.com/<Microsoft 365のドメイン>

※例えば Microsoft 365 のドメインが example.com の場合は以下の URL となります。

https://outlook.com/example.com

 

ユーザーポータルにアクセスする

Gluegent Gate にはユーザーポータルが用意されています。ユーザーポータルでは Microsoft 365 を始め各種サービスへのアクセスやパスワード変更などの操作が行なえます。

ユーザーポータルには以下の URL にアクセスしてログインしてください。

https://auth.gluegent.net/user?tenant=<Gluegent Gate のテナント ID>

※例えば Gluegent Gate のテナント ID が example の場合は以下の URL となります。

https://auth.gluegent.net/user?tenant=example

 

基本認証（レガシー認証）

旧バージョンの Outlook などで基本認証でログインする場合は認証ルールによる認証は行われません。IP アドレス制限を行う場合はアクセス権限ルールにて設定してください。

また、基本認証の場合は ID/パスワード認証のみ行い、それ以外の認証方式は使用できません。

 

 

ユーザーグループ管理

---

ユーザーグループの同期対象

Gluegent Gate で作成されたユーザーグループは Microsoft 365 のグループに同期されます。ユーザーグループの入力内容と Microsoft 365 への同期対象は以下の通りです。

 

Gluegent Gate の項目名	Microsoft 365 の同期対象項目名 [Azure 属性名]	備考
グループ名	同期なし
表示名	名前 Exchange の表示名 [DisplayName]	Microsoft 365 との同期の際、この値をキーにします。名前が重複するグループが存在すると同期時にエラーになりますのでご注意ください。
メールアドレス	電子メールアドレス [EmailAddress、ProxyAddresses]	メールアドレスを入力しなかった場合は、 「Microsoft 365 種類」での選択内容に関わらず「セキュリティ」となります。
説明	Exchangeのメモ [Description]
Microsoft 365 種類	Exchangeのグループの種類 [DistributionList]	「セキュリティー」「配布」「Microsoft 365」から選択します。 メールアドレスを入力しなかった場合は、「セキュリティ」となります。 グループの種類についてはこちらをご参照ください。
アドレス帳表示	Exchangeの「このグループをアドレス帳一覧に表示しない」	「シングルサインオン」＞「クラウドサービス」＞「Microsoft 365」の「メールボックスの設定」のチェックがオフのときは非表示になります。
配信管理	組織外のユーザーにこのグループへの電子メール送信を許可する Exchangeの配信管理	「シングルサインオン」＞「クラウドサービス」＞「Microsoft 365」の「メールボックスの設定」のチェックがオフのときは非表示になります。
階層型アドレス帳表示	階層型アドレス帳表示
表示名（かな）	表示名（かな）

 

 

連絡先管理

---

連絡先の同期対象

Gluegent Gate で作成された連絡先は Microsoft 365 の連絡先に同期されます。連絡先の入力内容と Microsoft 365 への同期対象は以下の通りです。

 

Gluegent Gate の項目名	Microsoft 365 の同期対象項目名	備考
メールアドレス	メールアドレス
氏名	氏名
氏名（かな）	氏名（かな）
別名	表示名
会社名	「組織」の会社名
部署	「組織」の部署
役職	「組織」の役職
事業所	「連絡先情報」の事業所
電話番号	「連絡先情報」の勤務先電話
FAX	「連絡先情報」のFAX
携帯電話番号	「連絡先情報」の携帯電話
自宅電話番号	「連絡先情報」の自宅電話
国	「連絡先情報」の国/地域	二文字の国コード(例：日本→JP、アメリカ合衆国→US)で入力してください。
郵便番号	「連絡先情報」の郵便番号
都道府県	「連絡先情報」の都道府県
市区郡	「連絡先情報」の市区町村
町名・番地	「連絡先情報」の番地