ユーザープロビジョニング-Azure Active Directory

AADユーザーソースの代わりに、Azure Active Directory(AAD)ユーザープロビジョニングが導入されています。 ユーザ プロビジョニング Azure AD は SCIM プロトコルを使用して AAD と Ivanti Neurons for MDM を同期し、一部のユーザとグループの同期を可能にします。 ユーザ プロビジョニング Azure AD は SCIM プロトコルを使用して、Azure AD から Ivanti Neurons for MDM に転送されたユーザとグループ オブジェクトを自動的に作成および更新します。 Ivanti Neurons for MDM 管理者は、ディレクトリサービス全体を同期させるか、特定のユーザーオブジェクトとグループオブジェクトをIvanti Neurons for MDMと同期させるかを選択できます。 現在の Azure AD との統合のように、ユーザおよびグループ プロビジョニング プロセスは自動化されます。Azure AD でユーザまたはグループの変更が行われる場合は、同じ変更が Ivanti Neurons for MDM で反映されます。 最も重要な違いは、ユーザ プロビジョニング Azure AD では、特定のユーザとグループに対してプロビジョニングできるという点です。 これにより、管理者は、Ivanti Neurons for MDM で追加、更新、無効化されるユーザとグループを特定するためにより厳密に制御できます。 Ivanti Neurons for MDM 管理ポータルの [ユーザ プロビジョニング Azure AD] ページには、Azure AD から Ivanti Neurons for MDM へのユーザおよびユーザ グループ移行のワークフロー ステージが表示されます。

ユーザー名の値はIvanti Neurons for MDM内で一意であるため、ユーザーが既にプロビジョンされている場合は、Azure ADで [ユーザープリンシパル名] 属性を更新することはできません。

このセクションは以下のトピックを含みます。

トークンの生成 Ivanti Neurons for MDM

Azure ADユーザープロビジョニングを開始するには、Ivanti Neurons for MDMでトークンとターゲットURLを生成します。

必ずトークンとターゲット URL を保存してください。

一度に生成できるトークンの数は最大2個です。

手順

  1. Ivanti Neurons for MDM 管理ポータルにログインします。
  2. [管理] > [ID] > [ユーザ プロビジョニング] を開きます。
  3. [ID プロバイダ (IdP) の選択] ドロップダウンリストから [Azure AD] を選択します。
  4. 新しいトークンを生成するには、[生成] をクリックします。 通知メッセージが表示されます。[生成] をクリックします。 新しいページが開き、トークンの詳細とターゲットの SCIM URLが表示されます。
  5. [コピー] をクリックすると、トークンまたはSCIM URLのいずれかがコピーされます。
  6. ページを更新します。 [ユーザープロビジョニングのAzure AD] ページに、トークンステータス表が表示されます。

Ivanti Neurons for MDMからのトークン ステータスの変更

既存のトークンの状態を変更できます。

手順

  1. [ユーザープロビジョニングのAzure AD] ページで [選択] ドロップダウンメニューをクリックします。
  2. [選択] をクリックし、トークンに対して次の変更を行います。
    • アクティブに設定
    • 非アクティブに設定
    • 更新
    • 削除

Azure AD との間の接続を確立する Ivanti Neurons for MDM

Azure AD Enterprise アプリケーションでユーザーとグループを作成した後、Azure ADと Ivanti Neurons for MDM の間の接続を確立することができます。

移行に関する考慮事項

  • AAD ユーザ ソースからユーザ プロビジョニング Azure AD (SCIM) に移行するときに、[すべてのユーザとグループを同期] を選択します。
  • ユーザとグループが SCIM AAD ソースで更新された後、Azure で [Azure プロビジョニング] ページに戻り、[割り当てられたユーザとグループのみを同期] オプションを使用して、ユーザ プロビジョニング Azure AD で管理される特定のユーザとグループを設定します。
  • 同期が完了した後は、Azure で定義されていないユーザとグループを Ivanti Neurons for MDM の [ユーザとグループ] リストから削除できます。
  • 移行が開始すると、[AAD ユーザ ソース] ページに読み取り専用でアクセスできます。

手順

  1. Azure ADポータルにログインします。
  2. [企業アプリケーション] を開き、[+ 自分のアプリケーションを作成] に移動します。[自分のアプリケーションの作成] ウィンドウが開きます。
  3. アプリケーションの名前 (既定: Non-gallery) を指定し、[作成] をクリックします。 例: Ivanti Neurons for MDM ユーザプロビジョニング。
  4. [プロビジョニング] > [プロビジョニングの編集] > [管理者認証情報] を開きます。
  5. Ivanti Neurons for MDM 管理ポータルからターゲットのSCIM URLをコピーして、Azure ADポータルの [テナントURL] フィールドに貼り付けます。
  6. Ivanti Neurons for MDM からトークンをコピーして、Azure AADポータルの [シークレット トークン] フィールドに貼り付けます。
  7. 以下のいずれかの手順を実行してください。
    1. [割り当てられたユーザとグループのみを同期] を選択します。 詳細については、「割り当てられたユーザとグループのプロビジョニング」をご参照ください。
    2. [すべてのユーザとグループを同期] を選択します。 詳細については、「すべてのユーザとグループのプロビジョニング」をご参照ください。

      移行するユーザの [すべてのユーザとグループを同期] オプションを選択します。

  8. [試験接続] をクリックします。緑色のチェックが入ったポップアップが表示され、接続が確認されます。
  9. [保存] をクリックします。

手順

1. Azure ADポータルの [プロビジョニング] ページから [マッピング] を展開します。
2. [Azure Active Directoryユーザーのプロビジョニング] をクリックします。[属性マッピング] ページが開きます。
3. サポートされていない属性を対象に [削除] をクリックします。

割り当てられたユーザとグループのプロビジョニング

Azure ADとIvanti Neurons for MDMとの間で接続が確立された後、ユーザーやグループをプロビジョニングできます。

グループのプロビジョニング中には、Azure AD はネストされたグループのメンバーを選択したグループに追加しません。 同期処理中、Azure AD は直下のメンバーとグループの名前のみをグループに追加し、下位グループのメンバーは追加しません。

手順

  1. Ivanti Neurons for MDM 管理ポータルにログインします。
  2. アプリケーションで、[ユーザーとグループ] > [+ユーザー/グループを追加] に移動します。 [割り当てを追加] ページが開きます。
  3. [検索] フィールドからユーザまたはグループを検索し、[選択] をクリックしてから [割り当て] をクリックします。[ユーザーおよびグループ] ページが開きます。
  4. 対応するユーザまたはグループのチェックボックスをオンにします。
  5. [プロビジョニング] をクリックし、[プロビジョニングを開始] をクリックします。成功した構成の詳細情報が表示されます。

すべてのユーザとグループのプロビジョニング

Azure AD と Ivanti Neurons for MDM 間の接続が確立したら、ユーザまたはグループのプロビジョニングを実行できます。

手順

  1. [プロビジョニング] をクリックし、[プロビジョニングを開始] をクリックします。プロビジョニングが成功するとその詳細が表示され、ユーザーが Ivanti Neurons for MDM にプロビジョニングされます。

割り当てられたユーザーのプロビジョニングの確認

割り当てられたユーザーがAzure ADポータルでプロビジョニングされた後、Ivanti Neurons for MDM管理ポータルでプロビジョニングを確認します。

手順

  1. Ivanti Neurons for MDM 管理ポータルにログインします。
  2. メインメニューで、[ユーザー] タブを開きます。 プロビジョニングされたユーザーは、このページのユーザーのリストに表示されます。

    プロビジョニング プロセスには最大で1時間かかる場合があります。

グループのプロビジョニングの確認

グループがAzure ADポータルでプロビジョニングされた後、Ivanti Neurons for MDMでプロビジョニングを確認します。

手順

  1. Ivanti Neurons for MDM 管理ポータルにログインします。
  2. [ユーザ] タブ> [ユーザ グループ] を開きます。プロビジョニングされたグループは、このページのグループのリストに表示されます。

    プロビジョニング プロセスには最大で1時間かかる場合があります。

設定の編集

このトピックでは、Azure Active Directory 設定の構成について説明します。

手順

  1. [管理] > [Microsoft Azure] > [ユーザ プロビジョニング Azure AD] に移動します。

  2. [トークンの生成] をクリックして、トークンをコピーします。

  3. ページを更新します。 [AAD設定] ページが開きます。

  4. [設定の編集] をクリックします。
  5. AAD からインポートしたユーザを自動的に招待 - AAD からIvanti Neurons for MDMにインポートしたユーザに自動的に登録招待メールを送信するかどうかを管理します。
  6. 管理対象Apple ID - AADユーザーの管理対象Apple IDを同期する場合に選択します。
    • なし
    • パターン 
      • ユーザーのメールアドレス
      • (任意) [「appleid」サブドメインを含める] オプションを選択し、既存のApple IDとの競合を避けます。
  7. (任意)カスタム属性の追加 - デバイス管理に適用したいカスタム ユーザ属性をディレクトリ サービスから指定します。 これにより、各属性は、変数をサポートする構成フィールドの${attributeName}によって参照されます。 このオプションを使用するには、すべてのAADサーバーにカスタム属性を一貫して実装しておく必要があります。 実装に含まれるいずれかのAADサーバーがこの属性を使用していない場合、この属性に依存する機能が意図通りに機能しないことがあります。 [設定の編集] セクションの [カスタム属性] 表の [属性タイプ] 列には IDP 属性が表示されます。
  8. AAD設定を変更した後、[変更保存] をクリックします。