概要
Gluegent Gate では、 Gluegent Gate を経由して Microsoft 365 へのログイン・アクセス制御を行う機能と、Microsoft 365 のID 管理を行う機能を提供しています。
設定方法については「スタートアップガイド Microsoft 365編」で紹介しておりますので、本マニュアルでは Microsoft 365 との連携についてご紹介しています。
シングルサインオン設定
ユーザー管理
ログイン(一般ユーザー)
ユーザーグループ管理
連絡先管理
シングルサインオン設定
設定方法はスタートアップガイド Microsoft 365編をご参照ください。
Gluegent Gate の管理画面にアクセスします。
左メニューにて「シングルサインオン」>「クラウドサービス」の順にクリックします。
画面右上のクラウドサービス一覧にて「Microsoft 365」の編集アイコンをクリックします。
ここでは各入力項目について紹介します。
- シングルサインオンの設定
- 必要事項を入力し、チェックをオンにして保存するとシングルサインオンが開始されます。
- ID同期
- チェックをオンにします。チェックをオンにすると Gluegent Gate で作成したユーザー・ユーザーグループ・連絡先が Microsoft 365 に同期されます。
- Microsoft 365 ドメイン(必須)
-
Microsoft 365のシングルサインオン対象のドメインを入力します。ドメインが複数存在する場合は「ドメインを追加」をクリックして入力欄を追加します。
重要:
ここには「既定のドメイン」や「xxx.onmicrosoft.com」ドメインは設定できません。
また、サブドメイン(例:「example.com」に対する「sub.example.com」)も設定できません。
- ユーザー名の属性
- メールアドレス・ユーザーID から選択します。Microsoft 365 のユーザー名としてどちらを使用するかを選択します。
「ユーザーID」を選択した場合、Microsoft 365 のユーザー名は Gluegent Gate のユーザーID のローカルパート+@+「Microsoft 365 ドメイン」に設定した先頭ドメインとなります。
- Microsoft 365 管理アカウント名(必須)
-
Microsoft 365 の管理権限を持つユーザーのメールアドレスを入力します。
重要:
Microsoft 365 ドメインに入力したドメインの管理者は入力できません。
- APIの認証方式
- OAuth 認証・レガシー認証から選択します。
-
重要:
レガシー認証は 2022 年 10 月以降使用できなくなります。
OAuth認証
- アプリケーションID
- Azure AD に作成したアプリケーションの「アプリケーション(クライアント)ID」を入力します。
- ディレクトリID
- Azure AD に作成したアプリケーションの「ディレクトリ(テナント)ID」を入力します。
- クライアントシークレット
- クライアント シークレット作成時に取得した値を入力します。
- トークンの取得
- アプリケーションID、ディレクトリID、クライアントシークレットを入力後、「トークン取得」をクリックします。
-
重要:
クライアントシークレットや証明書の有効期限が切れた際は、再発行を行い、再度トークン取得が必要です。
- Exchangeの接続方式
- 「パスワード」を選択します。
- 「証明書」を選択した場合、グループの種類「Microsoft 365」のグループが作成できませんので「パスワード」を選択してください。
- 証明書(PKCS#12形式)
- 使用しません。
- 接続用パスワード
- 「Microsoft 365 管理アカウント名」で入力したユーザーのパスワードを入力します。
レガシー認証
- 管理アカウントのパスワード
-
上記ユーザーのパスワードを入力します。
重要:
Microsoft 365 側で管理者のパスワードを変更した場合、こちらで変更後のパスワードを入力してください。
Exchange Onlineの設定
- 設定
-
有効にした場合、Microsoft 365 のメールボックスの設定の一部をここで行います。
無効にした場合はデフォルト値での設定となります。デフォルト値は以下の通り。- メールボックスの削除済みアイテムの保存期間:14
- メールボックスの監査ログの出力:チェックなし(無効)
- メールボックスのアーカイブ:チェックなし(無効)
- 電子メール接続のデフォルト設定:全てオフ
- 予定表のデフォルト設定:チェックなし
- 階層型アドレス帳:チェックなし
注意:
この項目の設定を変更しても、Gluegent Gateに既に作成されているユーザーのメールボックスの設定には反映されません。この設定を変更した後に Gluegent Gate で新たに作成するユーザーに適用されます。
- メールボックスの削除済みアイテムの保存期間
- メールを削除した場合にメールボックスに保存しておく日数を入力します。
(1 〜 30 の範囲で入力してください。)
Set-MailBox オプションの -RetainDeletedItemsFor に反映されます。
- メールボックスの監査ログの出力
- 有効にした場合、メールボックスの監査ログを出力します。Exchange のメールボックスの機能の「監査ログ」に反映されます。
設定は Powershell のコマンド Get-mailbox -Identity ユーザ@M365ドメイン | fl AuditEnabled で確認いただけます。
- メールボックスのアーカイブ
- 有効にした場合、メールボックスのアーカイブを有効にします。
Exchangeのメールボックスの機能の「アーカイブ」に反映されます。
- 電子メール接続のデフォルト設定
- POP、IMAP、MAPI、Outlook Web App、ActiveSync、デバイス用OWA の有効、無効を設定します。
Exchange のメールボックスの機能の電子メールの接続のそれぞれの項目に反映されます。
この設定内容は Microsoft 365 側で再設定することができます。
「ユーザー メールボックスのプロパティを変更する」の「メールボックスの機能」をご参照ください。
- 予定表のデフォルト設定
-
予定表の共有有無を設定します。チェックをオンにするとユーザーの予定表 (Exchange Online) 作成時のデフォルトが「空き時間情報、件名、場所を公開」の設定となります。
この設定内容は Microsoft 365 側で再設定することができます。
- 階層型アドレス帳
- Outlook のアドレス帳での階層型アドレス帳使用の有効/無効を選択します。有効にする場合は最上位グループの入力が必須です。
最上位グループにはユーザーグループのグループ名を入力します。
グループの種類は「メール可能なセキュリティグループ」もしくは「配布グループ」に限ります。
階層型アドレス帳で使用するユーザーグループは「アドレス帳表示」の「非表示」のチェックをオフにする必要があります。
このチェックをオンにするためには Exchange Online が利用できる Microsoft 365 のご契約が必要です。 -
重要:
上記「設定」のチェックをオフにした場合、「保存」クリック時に階層型アドレス帳を「無効」で上書きします。PowerShell で階層型アドレス帳を有効にしている場合、無効化されますのでご注意ください。
- リフレッシュトークンの有効期間
- ここで設定した時間経過後に Outlook などで再認証が必要となります。
毎時 00 分にリフレッシュトークンをチェックし、この時点で有効期間を超えていた場合クリアされます。
0 を設定した場合は、クリアされず再認証は不要です。
Microsoft 365へのID同期のタイミング
Gluegent Gate の情報が Microsoft 365 へ同期されるタイミングは毎時 00 分、30 分です。ただし、他のお客様の影響を受けて、処理の実行が遅れる場合があります。
「APIの認証方式」で「OAuth 認証」を選択した場合、Gluegent Gate のユーザー新規登録・変更・削除内容が Microsoft 365 へ同期されるタイミングは即時です。ただし、Exchange Online への同期は即時ではありません。
Microsoft 365 のライセンス情報取得のタイミング
Microsoft 365 のライセンス情報(プラン購入など)を取得するタイミングは毎日 1 時 15 分、7 時 15 分、13 時 15 分、19 時 15 分です。
「メールボックスの設定」以下の変更
「メールボックスの設定」のチェックをオンにした場合、新規ユーザー作成時にここで設定した状態で作成されます。Microsoft 365 側で各ユーザーのこれらの設定値を変更することは可能です。
変更方法は下記ヘルプ記事をご参照ください。
→ユーザー メールボックスを管理Exchange Online
階層型アドレス帳を使いたい場合
ユーザーグループの管理を Gluegent Gateで行わず、Microsoft 365で行う場合、最上位グループが必須のため、階層型アドレス帳はご利用いただけません。
Gluegent Gate でのグループ管理は行わずに階層型アドレス帳を使いたい場合は、「Exchange Online の設定」のチェックをオフにして、PowerShell で直接階層型アドレス帳の設定を行ってください。
「Exchange Online の設定」のチェックをオンにしたい場合は、最上位グループのみ Gluegent Gate 側で作成し、他のグループは Microsoft 365 で管理してください。
Microsoft 365 に既存グループがある場合は、最上位グループをダミーで作成してください。
1. ユーザーグループ>グループの種類で以下を作成します。
ID:任意
名前:任意
同期するサービス:全てのチェックをオフ
2. ユーザーグループ>新規登録で以下のグループを作成します。
グループ名:任意
種類:上で作成したグループの種類を選択
表示名:Microsoft 365 側のグループの「名前」と同じ値
メールアドレス:任意
(わかりやすいように、Microsoft 365 側のグループのメールアドレスと同じにすることをお勧めします)
Microsoft 365 種類:任意
(セキュリティグループを選択する場合は、 メールアドレスを必ず入力してください。Microsoft 365 側のグループと同じにすることをお勧めします。)
3. 「階層型アドレス帳」にて「有効」のチェックをオンにします。「最上位グループ」 に上で作成したグループのグループ名を入力し、「保存」 をクリックします。
ユーザー管理
ユーザー情報の同期対象
Gluegent Gate で作成されたユーザーは Microsoft 365 のユーザーに作成されます。ユーザー情報の入力内容と Microsoft 365 への同期対象は以下の通りです。
| Gluegent Gate の項目名 |
Microsoft 365 の同期対象項目名 [Azure AD 属性名] |
備考 | |
|---|---|---|---|
|
ユーザーID |
ユーザー名 |
シングルサインオン>クラウドサービス>Microsoft 365 の「ユーザー名の属性」で「ユーザーID」を選択した場合 情報: |
|
|
同期なし |
シングルサインオン>クラウドサービス>Microsoft 365 の「ユーザー名の属性」で「メールアドレス」を選択した場合 |
||
|
社員番号 |
同期なし |
|
|
|
氏名 |
(姓) |
名前(姓) |
|
|
(名) |
名前(名) |
|
|
|
氏名(かな) |
(姓) |
同期なし |
条件により PhoneticDisplayName に同期されます。
|
|
(名) |
同期なし |
||
|
別名 |
表示名 [DisplayName] |
未入力の場合は氏名が表示名となります。 |
|
|
メールアドレス |
ユーザー名 |
シングルサインオン>クラウドサービス>Microsoft 365 の「ユーザー名の属性」で「メールアドレス」を選択した場合 |
|
|
プライマリ電子メールアドレス [ProxyAddresses] |
|
||
|
メールエイリアス |
その他の電子メールアドレス [ProxyAddresses] |
|
|
|
組織 |
同期なし |
|
|
|
地域 |
Exchangeの国/地域 [UsageLocation] |
|
|
|
言語 |
マイ アカウントの設定の「言語」 Outlook(WebUI)の言語(新規作成時のみ) [PreferredLanguage] |
|
|
|
パスワード |
パスワード |
OAuth認証の場合: パスワードに同期されます。 重要: レガシー認証の場合: Microsoft 365 側のパスワードは空で登録されます。 シングルサインオン>クラウドサービス>Microsoft 365 の「シングルサインオンの設定」のチェックがオン、かつ「ID同期」のチェックがオンの場合は同期しませんが、「シングルサインオンの設定」のチェックがオフ、かつ「ID同期」のチェックがオンの場合は同期します。 |
|
|
ユーザー状態 |
「無効」のときはユーザーがブロックされた状態 |
|
|
|
権限 |
同期なし |
|
|
|
許可するサービス |
チェックがオフの場合はユーザー同期しない オン→オフに変更された場合は削除される |
|
|
|
Microsoft 365のロール |
ライセンスに該当する各アプリ |
||
|
通知用メールアドレス |
同期なし |
|
|
|
簡易表示名 |
簡易表示名 |
||
|
アドレス帳表示 |
Exchangeの「アドレス一覧に表示しない」 |
|
|
PhoneticDisplayName に関する仕様
シングルサインオン>クラウドサービス>Microsoft 365 にて「階層型アドレス帳」のチェックがオンの場合、以下の条件により対象の項目の値が PhoneticDisplayName に同期されます。
1. 「氏名(かな)」に値が設定されている場合、その値が PhoneticDisplayName に同期される。
2. 「氏名(かな)」に値が設定されてない場合、「別名」の値が PhoneticDisplayName に同期される。
3. 「氏名(かな)」や「別名」に値が設定されてない場合、「氏名」の値が PhoneticDisplayName に同期される。
「階層型アドレス帳」のチェックがオフの場合は PhoneticDisplayName には同期されません。
連絡先情報の同期対象
連絡先情報はユーザーの新規作成後、編集画面で設定可能です。
連絡先情報の入力内容と Microsoft 365 への同期対象は以下の通りです。
| Gluegent Gate の項目名 | Microsoft 365 の同期対象項目名 [Azure AD 属性名] |
|---|---|
|
会社名 |
Exchange の会社名 |
|
部署 |
部署 |
|
役職 |
役職 |
|
事業所 |
事業所 |
|
電話番号 |
会社電話 |
|
FAX |
FAX番号 |
|
携帯電話番号 |
携帯電話 |
|
自宅電話番号 |
Exchangeの自宅電話 |
|
国 |
国/地域 |
|
郵便番号 |
郵便番号 |
|
都道府県 |
都道府県 |
|
市区郡 |
市区町村 |
|
町名・番地
|
番地 |
ユーザーの新規登録
Gluegent Gateでユーザーを作成すると、Microsoft 365 にもユーザーが作成されます。
登録後、ログで正しくMicrosoft 365 にユーザーが作成されたかを確認します。
ログファイルで「操作ログ」を選択し、「適用」をクリックします。
Gluegent Gate への追加ログと Microsoft 365 への追加ログの 3 件が表示されます。
(Microsoft 365 への追加ログ件数は操作内容により異なります)
「(Microsoft 365)」が付いているものが Microsoft 365 への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
情報:
同期に失敗した場合は30分後に3回までリトライされます。
「APIの認証方式」で「OAuth 認証」を選択した場合は、内部処理でリトライされるため、ログ上でリトライの結果は表示されません。
ユーザー情報の更新
ユーザー情報を変更すると、変更内容が Microsoft 365 に同期されます。
ユーザーの削除
ユーザーを削除すると Microsoft 365 からも削除されます。
許可するサービスのチェックについて
許可するサービスの「Microsoft 365」のチェックをオフにすると、Microsoft 365 のユーザーは削除されます。
削除済みのユーザーに移動されます。
「Microsoft 365」のチェックをオンにすると、Microsoft 365 のユーザーが作成されます。
注意:
Microsoft 365のロールは表示されているものとご契約いただいているものが異なる場合があります。「ユーザー」>「CSV登録」の登録可能なロールにてコード(大文字のみで表示されたもの)を確認し、ライセンスのための製品名とサービス プラン 識別子でご確認ください。
ログイン(一般ユーザー)
Gluegent Gate のシングルサインオンの設定が正しく行われていれば、Microsoft 365 へのログインは Gluegent Gate を経由したログインになります。
Microsoft 365 へのログイン方法はいくつかあります。
Webブラウザーからログインする
Web ブラウザから www.office.com にアクセスし、「サインイン」をクリックします。
こちらをクリックするとメールアドレスの入力を求められます。入力されたメールアドレスのドメインを判断し、シングルサインオンの設定がある場合は、Gluegent Gate のログイン画面に遷移します。Gluegent Gate のログイン画面では Gluegent Gate の ユーザーID / パスワードを入力してください。
Gluegent Gate へ直接ログインできる URL にアクセスする
Microsoft 365 の各種サービス(Outlookなど)の URL にドメインを含めることで Gluegent Gate のログイン画面に直接アクセスし、各サービスへログインします。
https://outlook.com/<Microsoft 365のドメイン>
※例えば Microsoft 365 のドメインが example.com の場合は以下の URL となります。
https://outlook.com/example.com
ユーザーポータルにアクセスする
Gluegent Gate にはユーザーポータルが用意されています。ユーザーポータルでは Microsoft 365 を始め各種サービスへのアクセスやパスワード変更などの操作が行なえます。
ユーザーポータルには以下の URL にアクセスしてログインしてください。
https://auth.gluegent.net/user?tenant=<Gluegent Gate のテナント ID>
※例えば Gluegent Gate のテナント ID が example の場合は以下の URL となります。
https://auth.gluegent.net/user?tenant=example
基本認証(レガシー認証)
旧バージョンの Outlook などで基本認証でログインする場合は認証ルールによる認証は行われません。IP アドレス制限を行う場合はアクセス権限ルールにて設定してください。
また、基本認証の場合は ID/パスワード認証のみ行い、それ以外の認証方式は使用できません。
ユーザーグループ管理
ユーザーグループの同期対象
Gluegent Gate で作成されたユーザーグループは Microsoft 365 のグループに同期されます。ユーザーグループの入力内容と Microsoft 365 への同期対象は以下の通りです。
| Gluegent Gate の項目名 | Microsoft 365 の同期対象項目名 [Azure 属性名] |
備考 |
|---|---|---|
|
グループ名 |
同期なし |
|
|
表示名 |
名前 |
Microsoft 365 との同期の際、この値をキーにします。名前が重複するグループが存在すると同期時にエラーになりますのでご注意ください。 |
|
メールアドレス |
電子メールアドレス |
メールアドレスを入力しなかった場合は、 「Microsoft 365 種類」での選択内容に関わらず「セキュリティ」となります。 |
|
説明 |
Exchangeのメモ |
|
|
Microsoft 365 種類 |
Exchangeのグループの種類 |
「セキュリティー」「配布」「Microsoft 365」から選択します。 |
|
アドレス帳表示 |
Exchangeの「このグループをアドレス帳一覧に表示しない」 |
「シングルサインオン」>「クラウドサービス」>「Microsoft 365」の「メールボックスの設定」のチェックがオフのときは非表示になります。 |
|
配信管理 |
組織外のユーザーにこのグループへの電子メール送信を許可する |
「シングルサインオン」>「クラウドサービス」>「Microsoft 365」の「メールボックスの設定」のチェックがオフのときは非表示になります。 |
|
階層型アドレス帳表示 |
階層型アドレス帳表示 |
|
|
表示名(かな) |
表示名(かな) |
|
重要:
Microsoft 365に既存グループが存在する場合、Gluegent Gate で同名ユーザーグループを作成すると重複エラーになり、同期できません。
連絡先管理
連絡先の同期対象
Gluegent Gate で作成された連絡先は Microsoft 365 の連絡先に同期されます。連絡先の入力内容と Microsoft 365 への同期対象は以下の通りです。
| Gluegent Gate の項目名 | Microsoft 365 の同期対象項目名 | 備考 |
|---|---|---|
|
メールアドレス |
メールアドレス |
|
|
氏名 |
氏名 |
|
|
氏名(かな) |
氏名(かな) |
|
|
別名 |
表示名 |
|
|
会社名 |
「組織」の会社名 |
|
|
部署 |
「組織」の部署 |
|
|
役職 |
「組織」の役職 |
|
|
事業所 |
「連絡先情報」の事業所 |
|
|
電話番号 |
「連絡先情報」の勤務先電話 |
|
|
FAX |
「連絡先情報」のFAX |
|
|
携帯電話番号 |
「連絡先情報」の携帯電話 |
|
|
自宅電話番号 |
「連絡先情報」の自宅電話 |
|
|
国 |
「連絡先情報」の国/地域 |
二文字の国コード(例:日本→JP、アメリカ合衆国→US)で入力してください。 |
|
郵便番号 |
「連絡先情報」の郵便番号 |
|
|
都道府県 |
「連絡先情報」の都道府県 |
|
|
市区郡 |
「連絡先情報」の市区町村 |
|
|
町名・番地 |
「連絡先情報」の番地 |
|