Microsoft Entra ID からユーザーをインポートする

注意:本ドキュメントに掲載しているサードパーティー製品の画面上の項目名は、英語表記の場合があります。

Microsoft Entra IDをPAM360と統合することで、ユーザーとユーザーグループをシームレスにインポートし、WindowsとLinuxの両方のプラットフォームでMicrosoft Entra IDの認証情報を使用してログインできるようにします。この統合により、Microsoft Entra ID のユーザー情報とグループ構造は、そのままの状態で保持されます。

メモ:

Microsoft Entra IDポータルで多要素認証(MFA)が有効になっていないユーザーは、PAM360へのインポートのみ可能です。

Azureポータルに PAM360 を登録し、ユーザーを PAM360 にインポートする詳細な手順を次に示します:

  1. Microsoft Entra IDポータルでPAM360を登録する
  2. Microsoft Entra IDからユーザーをインポートする手順
  3. トラブルシュートのヒント

1.Microsoft Entra IDポータルでPAM360を登録する

PAM360をMicrosoft Entra IDと統合してユーザーをインポートするには、まずPAM360をMicrosoft Entra IDポータルにネイティブクライアントアプリケーションとして追加する必要があります。PAM360 をアプリケーションとして登録するには、以下の手順に従ってください:

  1. Microsoft Azureポータルにログインし、Microsoft AzureホームページからApp registrationsをクリックします。
    micro-azure-0
  2. 上部のバーから+New registrationをクリックしてください。
    micro-azure-1
  3. Register an applicationページで、以下の属性を入力してください。
    1. NameにはPAM360または任意の名前を入力してください。
    2. Supported account types - Accounts in this organizational directory only - Single tenantを選択してください。
    3. PAM360アプリケーションのRedirect URIを入力してください。
      micro-azure-2
  4. [Register]をクリックします。PAM360はMicrosoft Entra IDポータルにアプリケーションとして追加され、新しく登録されたPAM360アプリケーションの詳細のページが表示されます。
    micro-azure-3
  5. 左側のパネルの[Manage]の下にある[Authentication]をクリックします。[Authentication] ページの [Advanced settings] で、[Yes] をクリックして [Allow public client flows] を有効にします。
    micro-azure-3a
  6. 左側のパネルの[Manage]の下にある[API permission]をクリックします。API permissionページで、+Add a permissionをクリックします。
    micro-azure-5
    1. Request API Permissionsページで、Microsoft Graphを選択します。
      1. [Delegated Permissions]をクリックし、[Select Permissions]検索バーで[read]を検索し、関連する許可を追加します。Directory.Read.Allオプションを選択し、[Add Permissions]をクリックします。
      2. [Application Permissions]をクリックし、[Select Permissions]検索バーの[read]を検索し、関連する許可を入力します。Directory.Read.Allオプションを選択し、Add Permissionsをクリックします。
      3. [Delegated Permissions] をクリックし、[Select Permissions] 検索バーで[access]を検索し、関連する権限を追加します。Directory.AccessAsUser.Allオプションを選択し、Add Permissionsをクリックします。
  7. 次に、[Grant Consent][Grant admin consent]ボタンをクリックします。
  8. 表示されるポップアップでYesをクリックして、要求された権限を許可してください。
    micro-azure-8a

PAM360を適切な権限で登録したら、PAM360のWebインターフェースに移動し、以下で説明する手順を使用してユーザーのインポートを開始します。


2.Microsoft Entra IDからユーザーをインポートする手順

  1. PAM360にログインし、[管理] >> [認証] >> [Microsoft Entra ID] に移動します。

    メモ:

    ユーザーをインポートするには、[ユーザー] >> [ユーザー追加] >> [Microsoft Entra ID からインポート] に移動することもできます。ただし、Microsoft Entra ID認証は、[管理] >> [認証] >> [Microsoft Entra ID] からのみ有効にできます。

  2. Microsoft Entra ID Serverの構成ページで、以下の手順を順番に実行します。
    1. Microsoft Entra ID からユーザーをインポートします
    2. 適切なユーザーの役割を指定します
    3. Microsoft Entra ID認証を有効にします
    azure-ad-9

2.1 Microsoft Entra ID からのユーザーのインポート

  1. [ユーザー] >> [ユーザー追加] >> [Microsoft Entra ID からインポート]、または [管理] >> [認証] >> [Microsoft Entra ID] >> [いますぐインポート] の順に移動します。
  2. 開いたポップアップウィンドウで、以下の操作を実行してください。
    1. 新規ドメインをクリックして、ユーザーとユーザーグループをインポートするMicrosoft Entra IDドメインを追加します。
    2. 認証モードとしてアプリ専用のアクセストークンを選択してください。ビルド6000以降では、ユーザーアクセストークンは適用されなくなりました。

      メモ:

      既存ユーザーの場合、MicrosoftがAPIサービスを廃止するまで、ユーザーアクセストークン方式は(追加のインポートや同期なしに)引き続き機能します。

    3. PAM360にMicrosoft Entra IDの認証情報がリソースとして保存されていない場合は、 資格情報を入力クライアントIDとクライアントシークレットを手動指定してください。を選択してください。
      1. テナントIDClient Secretをそれぞれの欄に入力してください。
      2. AzureポータルでPAM360をネイティブクライアントアプリケーションとして登録する際に、Microsoft Entra IDサーバーで生成されたクライアントIDを入力してください。
        azure-ad-10b
    5. Microsoft Entra ID の認証情報を PAM360 にリソースとして保存している場合は、 資格情報を入力PAM360 に保存されているアカウントを使用を選択してください。
      1. リソース名ドロップダウンフィールドから適切なリソースを選択してください。
      2. アカウント名のドロップダウンフィールドから適切なアカウントを選択してください。
    7. Microsoft Entra IDからインポートされたユーザーには、自動的に既定の役割が割り当てられます。これを変更するには、役割ドロップダウンフィールドから目的の役割を選択してください。選択された役割は、指定された Microsoft Entra ID ドメインからインポートされたすべてのユーザーに適用されます。

      メモ:

      初回インポート時に適用された設定は、変更されない限り、以降のスケジュールでも保持されます。

    8. インポートするユーザーの言語を設定するには、言語ドロップダウンフィールドから希望の言語を選択してください。
    9. デフォルトでは、Microsoft Entra IDからインポートされたユーザーに対して、二要素認証(TFA)が有効になっています。Microsoft Entra IDからインポートするユーザーに対して二要素認証を無効にするには、2段階認証フィールドの横にあるスイッチボタンをオフにしてください。

      メモ:

      • 役割、言語、およびTFAの各フィールドは、PAM360ビルド6700以降でのみ適用可能です。
      • 2段階認証(TFA)設定ページでTFAが無効になっている場合、この期間中にMicrosoft Entra IDからインポートされたユーザーは、デフォルトでTFAが無効になります。
    10. Microsoft Entra ID から特定のユーザーまたはユーザーグループをインポートするには、[インポートするユーザー] フィールドにカンマ区切りで必要なユーザー名を入力するか、[インポートするユーザーグループ] フィールドに必要なグループ名を入力します。
    11. PAM360ユーザーデータベースとMicrosoft Entra IDを同期させるための同期スケジュールを追加します。同期間隔フィールドに、PAM360がユーザーデータベースとの同期を維持するためにMicrosoft Entra IDを照会する時間間隔を入力します。

      メモ:

      同期間隔が構成されたインポートは、Microsoft Entra ID の [Synchronization Schedules] ページにスケジュールとして追加されます。

    12. Microsoft Entra IDからインポートする特定のユーザーまたはユーザーグループがわからない場合は、[列挙]をクリックします。PAM360は、Microsoft Entra IDドメイン内のすべてのユーザーグループを一覧表示します。チェックボックスを使用して、必要なグループを選択してください。
    13. ユーザーグループを選択したら、ユーザーの役割と言語を割り当て、選択したユーザーグループの二要素認証(TFA)を設定し、インポートをクリックして、選択したユーザーグループをPAM360にオンボーディングします。
      azure-ad-10c
    14. インポートするユーザーまたはユーザーグループを指定している場合は、前の手順をスキップして保存をクリックすると、指定したユーザーまたはユーザーグループがMicrosoft Entra IDからPAM360にインポートされます。
    15. インポートが完了すると、正常にインポートされたユーザー数と失敗したユーザー数を示すインポート概要が表示されます。Microsoft Entra ID からインポートしたユーザーの役割を指定するには、[閉じる]をクリックします

2.2 適切なユーザーの役割の指定

デフォルトでは、Microsoft Entra ID からインポートされたすべてのユーザーには、インポート処理中に別途指定がない限り、パスワードユーザーの役割が割り当てられます。インポート処理時に特定のユーザーに対して特定の役割を変更するには:

  1. [管理] >> [認証] >> [Microsoft Entra ID] の順に移動し、[いますぐ役割を設定] をクリックします。
  2. ユーザーの役割を変更ウィンドウには、Microsoft Entra IDからインポートされたすべてのユーザーが一覧表示されます。
    1. 役割を変更したいユーザーの横にある役割変更ボタンをクリックしてください。
    2. ドロップダウンメニューから適切な役割を選択してください。
  4. ユーザーの役割を一括変更するには、チェックボックスを使用してユーザーを選択し、上部の役割変更ボタンをクリックして、ドロップダウンメニューから適切な役割を選択します。変更は、役割が割り当てられた時点で保存されます。

    メモ:

    Microsoft Entra IDからインポートされたユーザーのリストから、少なくとも1人のユーザーに管理者役割を割り当ててください。これは不可欠です。なぜなら、PAM360内でユーザーを管理したり、重要なシステム操作を実行したりするには、管理者権限が必要だからです。

    azure-ad-11


2.3 Microsoft Entra ID認証の有効化

3つ目の手順は、Microsoft Entra ID認証を有効にすることです。これを有効にすると、ユーザーはMicrosoft Entra IDのドメインパスワードを使用してPAM360にログインできるようになります。この機能は、Microsoft Entra IDからローカルデータベースに既にインポートされているユーザーに対してのみ有効です。Microsoft Entra ID認証を有効にする前に、AD認証が無効になっていることを確認してください。

  1. [管理] >> [認証] >> [Microsoft Entra ID] の順に移動し、この画像に示すように、[Microsoft Entra ID認証を有効化] の下にある [有効化] をクリックします。
  2. Microsoft Entra ID認証が有効になった後、[管理] >> [カスタマイズ] >> [一般設定] >> [ユーザー管理]でローカル認証を無効にすることができます。詳細はこちらをクリックしてください。

2.4 Microsoft Entra ID同期スケジュールの管理

この手順はビルド7000以降に適用されます

[管理] >> [認証] >> [Microsoft Entra ID] >> [同期スケジュールを表示] に移動します。開いたウインドウで、

  1. 該当するMicrosoft Entra IDドメインの横にあるスケジュールを編集/同期を削除アイコンをクリックすると、そのドメインを編集または削除できます。
  2. 既存の同期スケジュールを編集または削除するには、該当する Microsoft Entra ID スケジュールの横にあるスケジュールを編集/同期を削除アイコンをクリックします。
  3. 既存のスケジュールからユーザーを即座にインポートするには、該当する Microsoft Entra ID スケジュールの横にある [今すぐインポートする] アイコンをクリックします。
    azure-ad-12a
  4. さらに、目的のスケジュールを選択し、上部のパネルにある編集/インポート/削除ボタンをクリックすることで、これらの操作を一括実行することもできます。

3.トラブルシュートのヒント

PAM360におけるMicrosoft Entra ID認証は、以下の条件下で失敗する可能性があります。

  • Microsoft Entra IDポータルでユーザーに対して条件付きアクセスが有効になっている場合:この設定により、認証トークンのPAM360への送信がブロックされ、認証が失敗します。
    解決策:この問題を解決するには、PAM360でMicrosoft Entra ID認証を有効にする前に、Microsoft Entra IDポータルでアプリケーションレベルとユーザーレベルの両方で条件付きアクセスを無効にしてください。
  • Microsoft Entra IDポータルで多要素認証(MFA)が有効になっている場合:多要素認証は認証の成功を妨げる可能性があります。
    解決策:これを回避するには、Microsoft Entra IDポータルでMFAを無効にしてください。

あるいは、条件付きアクセスと多要素認証の代わりに、Microsoft Entra IDポータルでSAMLシングルサインオン(SSO)を有効にすることもできます。SAML認証の設定方法については、こちらをクリックしてください。