【備忘録】Google WorkspaceのAAD連携（グループ編）

こんにちは、いつきです。

それでは、今回はグループプロビジョニング機能の動作確認をしていきます。
結論、表示名を日本語で登録したいか、セキュリティグループを利用したいか？というのがポイントになりそうです。
※セキュリティグループを使う場合は、表示名日本語は対応不可
※表示名日本語を使う場合は、セキュリティグループの対応が不可

設定の詳細はこちらをご覧ください。

Azure AD ユーザーのプロビジョニングとシングル サインオン  |  Identity and Access Management  |  Google Cloud

グループプロビジョニングの設定

Microsoft 365のグループには、セキュリティグループと、Microsoft 365グループがあります。セキュリティグループは、メールアドレスを持たせることができません。

今回は以下の4パターンでどのように同期されるか検証していきます。

グループのプロビジョニング設定（メールアドレス一致）

初期の設定だと、Microsoft 365のメールアドレスをキーにGWSに同期がかかります。

また、スコープの設定で、「割り当てられたユーザーとグループのみ同期する」にしている場合は、エンタープライズアプリケーションのユーザとグループにて、グループを割り当てる必要があります。

今回はAAD側で以下のグループを作成し、割り当てました。

しばらくするとMicrosoft 365グループはGWS側に同期されていました。

また、グループはAAD側で紐づけすれば自動的に作成されるので、GWS側で事前に作成する必要はありません。
今回作成したグループ（gws_create）

セキュリティグループはメールアドレスを持たないので同期エラーになります。
まとめると、今回の設定では以下の通りになりました。

グループのプロビジョニング設定（表示名一致）

それでは次にAADの表示名で一致するように変更しました。
照合はGWSのメールアドレスと一致させる形になります。

そのため、「表示名＋ドメイン」という式を一致条件として利用します。

式: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN")。GROUPS_DOMAIN は、すべてのグループ メールアドレスが使用することになっているドメインに置き換えます（例: groups.example.com）

「グループ プロビジョニングを構成する」より
https://cloud.google.com/architecture/identity/federating-gcp-with-azure-ad-configuring-provisioning-and-single-sign-on?hl=ja#configure_group_provisioning

以下のグループを作成しました。

結果として、英語表記のグループのみ同期されました。

まとめると、今回の設定では以下の通りになりました。

それでは、その他の挙動も見ていきます。

グループのユーザー追加

AAD側でグループにユーザーを追加すると、GWS上も追加されます。
これで、GWS上でグループ管理する必要がなくなるのは大変ありがたいです。

また、AADでは、セキュリティグループの中に他のセキュリティグループを追加することが可能です。同期したときも、セキュリティグループが追加されていました。

グループのユーザー削除

グループからユーザーを削除すると、その内容も反映されます。

グループの削除

グループの削除は反映されません。
そのため、安全に行うならメンバーをグループから除いて、同期が終わった後にグループを削除するのが良いと思います。

GWSだけであれば手動で削除でも問題ないと思いますが、AADと他のツールを連携している場合作業漏れが起きる可能性も十分にあるので注意しましょう。

次回はSSO周り

ということで今回はグループ周りを実装してきました。
次回はSSO周りを検証していきます。

それではまた来週！