見出し画像

【考察】Google WorkspaceをIdPとしてAzure ADとの連携をしてみた

訳あって、Google Workspaceをメインで利用している法人にて、Windowsデバイスの管理をしたいってオーダーがあったのでその検証ついで。今回はAzure ADとの連携について。

基本的にはこちらの記事にお世話になりました。

考察

今回の検証を経て感じたのはやはりGoogleを管理の中心に据えるのは物足りなさを感じる…し、コストもかさむな印象を持ちました。

そもそも、Google Workspaceを利用する最大の理由は、Google連携しているアプリの多さと、基本的に使うことの出来るGoogle Appsの使いやすさだと思っています。

一方でMicrosoft製品の強みは管理のしやすさや、主にWindowsおいて制御できる項目の細かさが挙げられます。

ユーザーはGoogleを中心に使いながら、管理はMicrosoftでまとめるのが良さそうです。

Microsoft business premiumでオフィス系の作業とファイル管理を行うのは、ステークホルダーがGoogleを利用していない場合になります。
また、Google WorkspaceをStarterではなく、Standardを選択したのは「共有ドライブ」が利用できるからです。ファイル管理をOneDriveやBoxで行う…という場合はStarterでも良いと思います。

【備忘録】Azure AD環境の用意

まず最初にAzure ADの環境を用意していきます。
Microsoftアカウントを作成してから、Azureのアカウントを作成していきます。

1)Microsoft アカウントの作成

2)Azure アカウントの作成

アカウントが作成されたらAzure portalにアクセスします。

3)カスタムドメインの追加
Google Workspace で登録しているドメインを利用するため、カスタムドメインを追加します。

【備忘録】Azure ADとの連携

次にAzure ADと連携していきます。
シナリオがいくつか記載されていますが、原則Google Workspaceでアカウントを作成し、Azure AD側では作成しないというポリシーが運営上わかりやすいと思うので、以下のシナリオのことだけ考えます。

Office 365 ユーザーが存在しない場合、Google でユーザーの自動プロビジョニングを行うように設定すると、デフォルトでユーザーのメールアドレス(ユーザー プリンシパル名)に ImmutableID がマッピングされるため、設定の必要はありません。下の手順 1 に進みます。

「手順 3: Office 365 を SAML 2.0 のサービス プロバイダ(SP)として設定する」の部分に関して、、、
色々トラブルにあった結果何が正解かわからなくなりましたが、最終的にこのサイトに記載されたやり方でうまく行きました(色々やったのでこのサイトの内容だけで解決するかちょっと自信ないです…)

あとは、SSOのテストと、テストユーザーを作ってユーザープロビジョニングが実行されるか確認して完了です。

しっかりプロビジョニングも出来ました。一安心。

【備忘録】ライセンスの自動割り当て

あとはアカウントが作成されたときにIntuneのライセンスが割当たるようにしたいです。

Azure ADでは、グループに対してライセンスが割り当てることが出来るので、動的グループで該当するユーザーが入るグループを作成し、Intuneのライセンスが割当たるようにしましょう。
※動的グループを設定するためには、Azure AD Premium P1 ライセンスまたは Intune for Educationが必要になります。

ちなみに、Power Automateでグループメンバーに追加することも可能です。ただ、記事執筆時点ではユーザーを作成したことをトリガーに出来ないようなので、何かをトリガーに据えるか、Power Automateを利用してユーザー作成からグループ追加まで自動化してしまうか…ですかねー

そもそもAzure AD P1がないとMDMの自動登録出来なさそうなので、契約しないって選択肢は今回は取らなそう。

ひとまず今日はここまで。
次回はIntune側の設定をしていこうと思います。

いいなと思ったら応援しよう!