Entra ID IdPのユーザプロビジョニング

このセクションは以下のトピックを含みます。

Ivanti Neurons for MDMとの接続の確立
割り当てられたユーザとグループのプロビジョニング
すべてのユーザとグループのプロビジョニング
割り当てられたユーザのプロビジョニングの確認
Entra ID IdPのユーザプロビジョニング
設定の編集
カスタム属性とエンタープライズ属性の構成
移行に関する考慮事項 - Entra IDユーザソースからSCIMユーザプロビジョニングへの移行
移行に関する考慮事項 - LDAPからユーザプロビジョニングSCIMへの移行
重要な注意点 - SCIM

Ivanti Neurons for MDMとの接続の確立

Entra ID企業アプリケーションでユーザとグループを作成した後、Entra IDとIvanti Neurons for MDMとの間で接続を確立できます。

手順

Entra IDポータルにログインします。
[企業アプリケーション] を開き、[+ 自分のアプリケーションを作成] に移動します。 [自分のアプリケーションの作成] ウィンドウが開きます。
アプリケーションの名前 (既定: Non-gallery) を指定し、[作成] をクリックします。例: Ivanti Neurons for MDM ユーザプロビジョニング。
[プロビジョニング] > [プロビジョニングの編集] > [管理者認証情報] を開きます。
Ivanti Neurons for MDM管理ポータルからターゲットのSCIM URLをコピーして、Entra IDポータルの [テナントURL] フィールドに貼り付けます。
Ivanti Neurons for MDMからトークンをコピーして、Entra IDポータルの [シークレットトークン] フィールドに貼り付けます。
以下のいずれかの手順を実行してください。

[割り当てられたユーザとグループのみを同期] を選択します。詳細については、「割り当てられたユーザとグループのプロビジョニング」をご参照ください。
[すべてのユーザとグループを同期] を選択します。詳細については、「すべてのユーザとグループのプロビジョニング」をご参照ください。
移行するユーザの [すべてのユーザとグループを同期] オプションを選択します。

[試験接続] をクリックします。緑色のチェックが入ったポップアップが表示され、接続が確認されます。
[保存] をクリックします。
Entra IDポータルの [プロビジョニング] ページから [マッピング] を展開します。
[Entra IDユーザのプロビジョニング] をクリックします。 [属性マッピング] ページが開きます。
[削除] をクリックして、サポートされていない属性を削除します。

割り当てられたユーザとグループのプロビジョニング

Entra IDとIvanti Neurons for MDMとの間で接続が確立された後、ユーザやグループをプロビジョニングできます。

グループをプロビジョニングする場合、Entra IDは選択されたグループに対してネストされたグループのメンバーは追加しません。同期処理中、Entra IDは直下のメンバーとグループ名のみをグループに追加し、下位グループのメンバーは追加しません。

手順

Ivanti Neurons for MDM 管理ポータルにログインします。
アプリケーションで、[ユーザとグループ] > [+ユーザ/グループを追加] に移動します。 [割り当てを追加] ページが開きます。
[検索] フィールドからユーザまたはグループを検索し、[選択] をクリックしてから [割り当て] をクリックします。 [ユーザおよびグループ] ページが開きます。
対応するユーザまたはグループのチェックボックスをオンにします。
[プロビジョニング] をクリックし、[プロビジョニングを開始] をクリックします。成功した構成の詳細情報が表示されます。

すべてのユーザとグループのプロビジョニング

Entra IDとIvanti Neurons for MDMとの間で接続が確立されると、ユーザやグループをプロビジョニングできます。

手順

[プロビジョニング] をクリックし、[プロビジョニングを開始] をクリックします。プロビジョニングが成功するとその詳細が表示され、ユーザが Ivanti Neurons for MDM にプロビジョニングされます。

割り当てられたユーザのプロビジョニングの確認

割り当てられたユーザがEntra IDポータルでプロビジョニングされた後、Ivanti Neurons for MDM管理ポータルでプロビジョニングを確認します。

手順

Ivanti Neurons for MDM 管理ポータルにログインします。
メインメニューで、[ユーザ] タブを開きます。プロビジョニングされたユーザは、このページのユーザのリストに表示されます。
プロビジョニングプロセスには最大で1時間かかる場合があります。

グループのプロビジョニングの確認

グループがEntra IDポータルでプロビジョニングされた後、Ivanti Neurons for MDMでプロビジョニングを確認します。

手順

Ivanti Neurons for MDM 管理ポータルにログインします。
[ユーザ] タブ> [ユーザグループ] を開きます。プロビジョニングされたグループは、このページのグループのリストに表示されます。
プロビジョニングプロセスには最大で1時間かかる場合があります。

設定の編集

このトピックでは、Entra ID設定の構成について説明します。

手順

[管理] > [Microsoft Azure] > [Entra IDユーザプロビジョニング] に進みます。
[トークンの生成] をクリックして、トークンをコピーします。
ページを更新します。 [Entra ID設定] ページが開きます。
[設定の編集] をクリックします。
Entra IDからインポートしたユーザを自動的に招待を設定 - Entra IDからIvanti Neurons for MDMにインポートしたユーザに自動的に登録招待メールを送信するかどうかを管理します。
[管理対象Apple ID] を設定します。このオプションはデフォルトでは無効化されています。トグルボタンをクリックして有効化します。管理対象Apple IDは、プロビジョニング中に次の方法を介して設定できます。
- ユーザのメールアドレス
  - (任意) [「appleid」サブドメインを含める] オプションを選択し、既存のApple IDとの競合を避けます。
- カスタム属性にマップする
  カスタム属性は、一意のEメールアドレスに評価される必要があります。
（任意）カスタム属性の追加 - デバイス管理に適用したいカスタムユーザ属性をディレクトリサービスから指定します。これにより、各属性は、変数をサポートする構成フィールドの${attributeName}によって参照されます。このオプションを使用するには、すべてのEntra IDサーバーにカスタム属性を一貫して実装しておく必要があります。実装に含まれるいずれかのEntra IDサーバーがこの属性を使用していない場合、この属性に依存する機能が意図どおりに機能しないことがあります。 [設定の編集] セクションの [カスタム属性] 表の [属性タイプ] 列には IDP 属性が表示されます。
Entra ID設定を変更した後、[変更の保存] をクリックします。

カスタム属性とエンタープライズ属性の構成

手順

[管理] > [ID] > [ユーザプロビジョニング] を開きます。
[設定を編集] で [+カスタム属性を追加] をクリックします。
[属性名] フィールド（例：custAttr1）に名前を入力し、[変更を保存] をクリックします。 [管理] > [システム] > [属性] ページに属性がリストされて利用できるようになります。この属性は、IdP属性として示され、削除アクションのみを実行できます。
Entra IDポータルにログインします。
[ホーム] > [企業アプリケーション] を開き、SCIMアプリケーションをクリックします。
[マッピング] セクションの [Entra IDユーザのプロビジョニング] をクリックします。
[詳細オプションを表示] チェックボックスを選択します。
[customappssoの属性リストを編集] をクリックします。
Ivanti Neurons for MDMのUIで作成したカスタム属性用に新規エントリーを入力します。
カスタム/エンタープライズ（部署）属性のスキーマを次のように追加します。

カスタム属性 - urn:ietf:params:scim:schemas:extension:ivanti:2.0:User:<custAttr1> - 手順3を参照してください。

エンタープライズ属性 - urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
[変更の保存] をクリックします。
[新規マッピングの追加] をクリックし、ドロップダウンメニューからソース属性とターゲット属性を選択します。
[Ok] をクリックし、[マッピングの保存] をクリックします。
[ホーム] > [企業アプリケーション] を開き、SCIMアプリケーション > [ユーザとグループ] をクリックします。
ユーザ名をクリックします。 [プロファイル] ページが開きます。
属性に関連付けられている値がこの [プロファイル] ページに表示されているかどうかを確認します。
（任意）SCIMアプリケーション > [プロビジョニング] > [オンデマンドでプロビジョニング] をクリックし、特定のユーザを検索して、[プロビジョニング] をクリックします。上述の手順で実行した新規属性マッピングを検証するには:
Ivanti Neurons for MDM 管理ポータルにログインします。
[ユーザ] > [ユーザ] を開き、ユーザを選択します。
[属性] タブをクリックして、属性値を確認します。属性がその特定のユーザにマップされています。

移行に関する考慮事項 - Entra IDユーザソースからSCIMユーザプロビジョニングへの移行

Entra IDユーザソースからEntra IDユーザプロビジョニング（SCIM）に移行する場合、[すべてのユーザとグループを同期する] を選択します。
ユーザとグループがSCIM Entra IDソースで更新された後、Azureで [Azureプロビジョニング] ページに戻り、[割り当てられたユーザとグループのみを同期する] オプションを使用して、Entra IDユーザプロビジョニングで管理される特定のユーザとグループを設定します。
同期が完了した後は、Azure で定義されていないユーザとグループを Ivanti Neurons for MDM の [ユーザとグループ] リストから削除できます。
移行が開始されると、[Entra IDユーザソース] ページに読み取り専用でアクセスできます。

移行に関する考慮事項 - LDAPからユーザプロビジョニングSCIMへの移行

前提条件：

デフォルトでは [このLDAPサーバーを有効化] オプションが選択されています。移行前にこのオプションを選択解除する必要があります。
Entra IDでエンタープライズアプリを作成し、同期したLDAPユーザ/グループ（Ivanti内に存在するのと同じLDAPユーザ/グループ）をSCIMアプリに追加します。プロビジョニングを開始します。

LDAPからSCIMへの移行のための主要な考慮事項

LDAPは同期されたユーザ/グループの情報をすべてキャプチャするわけではないのに対し、SCIMはユーザ/グループのイベントを監査ログに記録します。
カスタム属性を持つLDAPユーザはタイプが「定義済みLDAP」であるのに対し、SCIMではこれは「IdP」です。そのため、カスタム属性を持つユーザがLDAPからSCIMに移行されると、対応するIdPカスタム属性がSCIMアプリ内に作成され、ユーザが移行されます。後でこのユーザがLDAPカスタム属性を更新しようとした場合、移行後のMDM内ではこのldap.custom属性値は更新されません。 IdP属性値は更新されます。
1つまたは複数のカスタム属性、特に「ldap.custAttr1」が関連付けられているLDAPユーザを移行し、LDAPデバイスの登録と構成（ID証明書構成）がLDAPカスタム属性の値に対応するSANタイプのデバイスにプッシュされるものであることを示します。
Eメールアドレスに管理対象Apple IDが関連付けられているLDAPユーザを移行します。そのため、LDAPからSCIMへの移行の前に、もしそのユーザがLDAPユーザの管理対象Apple IDの値を維持したいと考えている場合は、SCIM設定内の管理対象Apple IDを有効化し、設定を保存する必要があります。
LDAPサーバーでLDAPユーザが削除された場合、このユーザは依然としてアクティブですが、その同期されたLDAPユーザに対して同期フラグがtrueに設定されることはありません。 SCIMの場合、プロビジョニング済みのユーザが削除されると、そのユーザのステータスは無効化されます。
SCIMユーザ用のIDプロバイダー（IdP）としてSAMが構成されると、ローカルやLDAPなど各種ソースからのユーザはすべてSAMLを介して認証されるようになります。 IdP認証フローをバイパスするための例外リストには、ローカルユーザのみを追加できます。この構成は、[管理] > [ID] > [SAML] のSAMLページで管理できます。
移行済みのIDP（SCIM）ユーザに対してSAMLが構成されると、ローカルやLDAPなど各種ソースからの他のユーザに関してはデバイス登録を（IDP経由ではなく）バイパスできます。これは [ユーザ] > [ユーザ設定] で管理できます。
LDAPではユーザ、グループ、OUがサポートされているのに対し、SCIMではユーザとグループはサポートされていますがOUはサポートされていません。
ネストされているグループプロビジョニングプロセスはSCIMではサポートされていません。

重要な注意点 - SCIM

メールアドレスは、ユーザやメンバーのプロビジョニングと移行のための必須フィールドです。
SCIMは、Microsoft Entra IDからIvanti Neurons for MDMへの、一方向のプロビジョニングを提供します。 Ivanti Neurons for MDM は、いかなる同期オプションも提供しません。 SCIMでプロビジョニングされたユーザまたはグループをIvanti Neurons for MDMから削除した場合は、そのユーザまたはグループをMicrosoft Entra IDからも削除してください。
Microsoft Entra IDのSCIMアプリケーションマッピングウィンドウでは、1つの属性（ソースまたはターゲット）を1回だけ使用できます。同じソースを特定のターゲット属性に2回マップすることはできません。
停止中のユーザを、SCIMを使用してプロビジョニングする、あるいはIvanti Neurons for MDMに移行することはできません。
現在、Ivanti Neurons for MDMはSCIMイベント通知をサポートしていません。
移行またはプロビジョニングにかかる時間は、対象となるユーザまたはグループの数に依存します。
Microsoft Azureはプロビジョニング間隔を制御します。この間隔は約40分以上です。
再プロビジョニング中にMicrosoft Entra IDが再試行するのは、失敗したエントリーのみです。プロビジョニングが成功した、または失敗したユーザを確認するためのプロビジョニングログを、Microsoft Entra IDからダウンロードできます。
異なるソースからのグループの重複は、SCIMでは許可されません。
プロビジョニングされたユーザをMicrosoft Entra IDからハード削除した場合、そのユーザはIvanti Neurons for MDMでは無効化されます。
プロビジョニングされたユーザグループをMicrosoft Entra IDから削除した場合、そのグループはIvanti Neurons for MDMでは削除され、その削除されたグループに属する個別のメンバーは、無効化されて「すべてのユーザグループ」に関連付けられます。
プロビジョニングされたグループのプロビジョニングされたメンバーをMicrosoft Entra IDでハード削除した場合、そのメンバーはIvanti Neurons for MDMでは無効化されますが、Ivanti Neurons for MDM内のグループにはまだ関連付けられています。
属性（エンタープライズ属性またはカスタム属性）マッピングがアプリから削除された場合、その削除された属性の値はまだIvanti Neurons for MDMに反映されています。
プロビジョニングされたユーザのユーザ属性が空白または空の値で更新されると、その更新された属性値はIvanti Neurons for MDMには反映されません。
Microsoft Entra IDからSCIMへの移行中または更新中にユーザ属性FNameおよびLName（name.formatted）が空白であると、その移行または更新は失敗します。
Entra ID内のユーザを削除した場合、対応するSCIM APIは、そのユーザを完全に削除するのではなく、ソフト削除を実行し、そのユーザのステータスをアクティブから停止中に変更します。ユーザを完全に削除する場合は、Ivanti Neurons for MDM管理ポータルにログインし、その停止中/無効化されたユーザを手動で削除します。
特定のユーザIDを持つローカルユーザが既にIvanti Neurons for MDMに存在する場合、その同じユーザIDを持つ同様のユーザがEntra IDからMDMにプロビジョニングされ、ユーザソースはローカルからSCIM Entra IDに更新されます。
「Entra ID Premium P1」サブスクリプションを持つEntra IDには、割り当てられプロビジョニングされることになる必須グループをプロビジョニングする特権があります。