2022/06/07

csv管理から解放? 一から始めるAzure ADとASMの連携によるManaged Apple IDの管理

年次更新間に合ってますか?

教育機関において、ユーザの年次更新は一大行事です。
ICT管理者様においては、様々なシステムにおいて
 -卒業生のユーザ削除
 -新入生のユーザ登録
 -在校生のユーザ情報更新
などの設定で3月〜4月の大半の時間を費やすことになります。

Apple School Manager(以下ASM)でManaged Apple ID(管理対象Apple ID)を利用している場合も、例に漏れず年次更新が必要になります。

Managed Apple IDの更新については、利用有無にかかわらず
 -locations.csv (場所に関するデータ)
 -staff.csv (職員、講師に関するデータ)
 -students.csv (児童、生徒に関するデータ)
 -classes.csv (クラスに関するデータ)
 -courses.csv (コースに関するデータ)
 -rosters.csv (クラス名簿に関するデータ)
の6種のcsvを管理する必要があります。

更新に利用したcsvを紛失すると一から作り直し。

etc…

そんな煩わしいManaged Apple IDの管理、
Microsoft 365やOffice 365をご利用のお客様であれば、
Azure ADと連携することで、日々の負担から解放されます。

今回のコラムでは、ASMとAzure ADのSCIM連携の設定について、具体的な手順に沿って紹介していきます。

SCIM連携で実現できること

Azure ADとASMをSCIM(System for Cross-domain Identity Management)連携することで、以下の環境を実現できます。

1. Azure ADにユーザを登録することで、ASMにManaged Apple IDが作成される。 (ユーザプロビジョニング機能)
2. Managed Apple IDの認証先をAzure ADにリダイレクトする。(IdP機能)

ユーザ作成の効率化はもちろん、認証のセキュリティルールもAzure ADのルールに準拠することになるため、講師ユーザで必須である2段階認証についても要求しないなどといった柔軟な対応が可能になります。

SCIM連携の流れ

本コラムでは以下の流れにそってSCIM連携の手順を解説していきます。

1. ドメインの確認
2. Federated Authenticationの設定
3. SCIMの設定

ドメインの確認

はじめにASM上で、Azure ADで利用しているドメインの登録/確認を行う必要があります。
独自ドメインももちろん利用可能ですが、本コラムではMicrosoft 365開設時に発行される onmicrosoft.com による設定を案内していきます。

)まずASM管理者にてドメインを登録します。

1-1. ASMにアクセスし、「アカウント」 -> 「ドメイン」 -> 「編集」 を開きます。

1-2.「ドメインを追加」をクリックします。

1-3. onmicrosoft.comのドメインを追加します。

1-4. 「確認」をクリックすると、TXTレコードが発行されます。TXTレコードをAzure 管理者に共有します。

)Azure 管理者にてTXTレコードを登録します。

2-1. Microsoft 管理センターにアクセスし、「設定」 -> 「ドメイン」画面にて、対象ドメインをクリックします。

2-2. 「DNSレコード」にて、ASM管理者から共有されたTXTレコードを追加します。 ※TXTレコードの反映に15分ほど要します。

)ASM管理者にてドメインを確認します。

3-1. ドメインの編集画面を表示し、該当ドメインの「今すぐ確認」をクリックします。

3-2. ステータスが「確認済みの所有権」となれば、ドメインの確認は完了です。

Federated Authenticationの設定

ドメインの確認が完了したら、Federated Authenticationの設定を進めます。

)ASM管理者にてFederated Authenticationを設定します。

4-1. 「環境設定」 -> 「アカウント」 -> 「Federated Authentication」の「編集」をクリックします。

4-2. 「Microsoft Azure AD」を選択し、「接続」をクリックします。

4-3. SCIM連携が可能なAzure AD管理者ユーザ(以下AAD管理者ユーザ)でサインインします。※1

4-4. ASMからAzure ADに対する情報アクセスを「承諾」します。

4-5. 下記画面が表示されれば接続は完了です。

4-6. つづけて既存のApple IDを利用していないかの確認を行います。
「環境設定」 -> 「アカウント」 -> 「ドメインの編集」画面で、対象ドメインの「連携」 をクリックします。

4-7. AAD管理者ユーザでサインインします。

4-8. 既存のApple IDの利用状況が確認されます。

注)利用状況の確認の結果、競合が検出されたユーザについては、ユーザ変更案内をASM上から実施する必要があります。

※1 SCIM連携に必要なAure ADの権限情報はこちら
https://support.apple.com/ja-jp/guide/apple-school-manager/axmd88331cd6/web

SCIMの設定

Federated Authenticationの設定が完了したら、SCIMの設定を進めます。

)Azure 管理者にてエンタープライズ アプリケーションの設定を行います。

5-1. 「Azure Active Directory 管理センター」 -> 「エンタープライズ アプリケーション」 -> 「Apple Schoole Manager」 を開きます。

5-2. 「プロビジョニング」 画面で「作業の開始」をクリックします。

5-3. プロビジョニングルールを「自動」に変更します。テナントURLとシークレットトークンの入力が求められます。

)ASM管理者にてテナントURLとシークレットトークンを入手します。

6-1. 「環境設定」 -> 「ディレクトリ同期」 -> 「Microsoft Azure AD Sync」 にて「有効にする」をクリックします。

6-2. 表示されたトークンとテナントURLをAzure管理者に共有します。

)Azure管理者にてテナントURLとシークレットトークンを登録します。

7-1. ASM管理者から共有されたテナントURLとシークレットトークンを登録し、「保存」します。

7-2. 接続が完了すると、ASM管理者にメールが送信されます。

)ASM管理者にて、対象ドメインとの連携を有効にします。

8-1. 「環境設定」 -> 「アカウント」 -> 「ドメイン」の「編集」 で 対象ドメインの連携を「有効」にします。

)Azure管理者にて、プロビジョニングを開始します。

9-1. プロビジョニングの編集画面にて、「プロビジョニング状態」をオンに変更し、「保存」します。

注)プロビジョニング対象のユーザやグループを指定する場合は、プロビジョニングの範囲を「割り当てられたユーザーとグループのみを同期する」に設定し、「ユーザーとグループ」で対象を追加する必要があります。

9-2. プロビジョニングが正常に行われている場合は、プロビジョニング ログにユーザがCreateされたログが出力されます。

)ASM管理者にて、ユーザが作成されているか確認します。

10-1. 「ユーザ」のフィルタにて、ソースを「Microsoft Azure AD Sync」にすることで、同期されたユーザの検出が可能です。

その他設定

・同期されたユーザはすべて生徒の役割で登録されます。講師ユーザについては手動で講師の役割を追加し、生徒の役割を削除する必要があります。
役割の追加は、一括で実施が可能です。役割の削除はユーザごとに実施する必要があります。
講師対象のユーザの検出については、Azure ADの属性に講師、生徒がわかる値を登録することで、ASM上での検出を容易にすることが可能です。

・クラスルームやスクールワークを利用している場合、クラスを作成する必要があります。管理者や担当講師にて手動で作成する必要があります。

サインインを試す

作成後の初回サインインはApple製品にて実施する必要があります。
今回はiPadの設定アプリからサインインを試します。

11-1. iPadの「設定」 -> 「iPadでサインイン」からサインインを試みます。

11-2.  Microsoft アカウント サインイン画面にリダイレクトされ、Azure ADのアカウント情報でサインインが可能になります。

11-3. 一度サインインすると、WindowsのブラウザなどからもiCloudサービスにサインインが可能です。

まとめ

今回のコラムではASMとAzure ADのSCIM連携によるManaged Apple IDの管理について紹介しました。
ASMに限らず、複数のサービスを利用すればするほどID管理については業務負担が大きくなります。

弊社ではASMに限らずAzure ADやGoogle Workspaceなどを含めたID管理のノウハウが多数ございます。
ID管理でお困りの管理者様、まずは三谷商事にご相談ください。

お問い合わせはこちら

本コラムに関するお問い合わせはこちらからよろしくお願いいたします。

 

教育機関での【iPad管理】に関する資料を公開しています。

~ 教育機関におけるiPadの管理 ご紹介資料 ~

資料の内容

○iPadの管理方法
○iPadの管理でできること
○Apple Configurator 2による管理
○MDM + ADE による管理
○コンテンツキャッシュ

~ Apple School Manager 入門書 ~

資料の内容

〇ASMとは
〇ASMの開設
〇Appとブック
〇Managed Apple IDの管理
〇クラスの管理
○デバイスの管理

関連リンク

クラウド対応ID管理システム CampusUA Lite

【コラム】アカウント管理の業務内容と課題。ツール導入のポイントは?

Back Number

【Google Workspace運用術】Gmailで外部ドメインへのメール送信を制限する方法

【Google Workspace運用術】Gmailで外部ドメインへのメール送信を制限する方法

はじめに GIGAスクール構想でChromebookやiPadなどのデバイスが教育機関に広く普及したことにより、これまでと比較して「メール」や「チャット」で児童生徒とコミュニケーションを取る機会も増えたのではないでし

【Google Workspace運用術】Googleドライブで外部とのデータ共有を制限する方法

【Google Workspace運用術】Googleドライブで外部とのデータ共有を制限する方法

「Googleドライブ」は、Googleが提供しているオンラインストレージサービスです。 Google Workspace for Educationの一サービスに含まれているため、Chromebook内に保存された

学校におけるChatGPTの活用方法/昭和学院中学校・高等学校 教諭(理科・情報)博士(工学) 榎本裕介

学校におけるChatGPTの活用方法/昭和学院中学校・高等学校 教諭(理科・情報)博士(工学) 榎本裕介

はじめに 『ChatGPTはOpenAIが開発した人工知能モデルで、自然言語の理解と生成に優れ、対話や文章作成など幅広いタスクに利用されています。』という自然な文章はChatGPT自身に作ってもらいました。ChatG