年次更新間に合ってますか?
教育機関において、ユーザの年次更新は一大行事です。
ICT管理者様においては、様々なシステムにおいて
-卒業生のユーザ削除
-新入生のユーザ登録
-在校生のユーザ情報更新
などの設定で3月〜4月の大半の時間を費やすことになります。
Apple School Manager(以下ASM)でManaged Apple ID(管理対象Apple ID)を利用している場合も、例に漏れず年次更新が必要になります。
Managed Apple IDの更新については、利用有無にかかわらず
-locations.csv (場所に関するデータ)
-staff.csv (職員、講師に関するデータ)
-students.csv (児童、生徒に関するデータ)
-classes.csv (クラスに関するデータ)
-courses.csv (コースに関するデータ)
-rosters.csv (クラス名簿に関するデータ)
の6種のcsvを管理する必要があります。
更新に利用したcsvを紛失すると一から作り直し。
etc…
そんな煩わしいManaged Apple IDの管理、
Microsoft 365やOffice 365をご利用のお客様であれば、
Azure ADと連携することで、日々の負担から解放されます。
今回のコラムでは、ASMとAzure ADのSCIM連携の設定について、具体的な手順に沿って紹介していきます。
SCIM連携で実現できること
Azure ADとASMをSCIM(System for Cross-domain Identity Management)連携することで、以下の環境を実現できます。
1. Azure ADにユーザを登録することで、ASMにManaged Apple IDが作成される。 (ユーザプロビジョニング機能)
2. Managed Apple IDの認証先をAzure ADにリダイレクトする。(IdP機能)
ユーザ作成の効率化はもちろん、認証のセキュリティルールもAzure ADのルールに準拠することになるため、講師ユーザで必須である2段階認証についても要求しないなどといった柔軟な対応が可能になります。
SCIM連携の流れ
本コラムでは以下の流れにそってSCIM連携の手順を解説していきます。
1. ドメインの確認
2. Federated Authenticationの設定
3. SCIMの設定
ドメインの確認
はじめにASM上で、Azure ADで利用しているドメインの登録/確認を行う必要があります。
独自ドメインももちろん利用可能ですが、本コラムではMicrosoft 365開設時に発行される onmicrosoft.com による設定を案内していきます。
)まずASM管理者にてドメインを登録します。
1-1. ASMにアクセスし、「アカウント」 -> 「ドメイン」 -> 「編集」 を開きます。
1-2.「ドメインを追加」をクリックします。
1-3. onmicrosoft.comのドメインを追加します。
1-4. 「確認」をクリックすると、TXTレコードが発行されます。TXTレコードをAzure 管理者に共有します。
)Azure 管理者にてTXTレコードを登録します。
2-1. Microsoft 管理センターにアクセスし、「設定」 -> 「ドメイン」画面にて、対象ドメインをクリックします。
2-2. 「DNSレコード」にて、ASM管理者から共有されたTXTレコードを追加します。 ※TXTレコードの反映に15分ほど要します。
)ASM管理者にてドメインを確認します。
3-1. ドメインの編集画面を表示し、該当ドメインの「今すぐ確認」をクリックします。
3-2. ステータスが「確認済みの所有権」となれば、ドメインの確認は完了です。
Federated Authenticationの設定
ドメインの確認が完了したら、Federated Authenticationの設定を進めます。
)ASM管理者にてFederated Authenticationを設定します。
4-1. 「環境設定」 -> 「アカウント」 -> 「Federated Authentication」の「編集」をクリックします。
4-2. 「Microsoft Azure AD」を選択し、「接続」をクリックします。
4-3. SCIM連携が可能なAzure AD管理者ユーザ(以下AAD管理者ユーザ)でサインインします。※1
4-4. ASMからAzure ADに対する情報アクセスを「承諾」します。
4-5. 下記画面が表示されれば接続は完了です。
4-6. つづけて既存のApple IDを利用していないかの確認を行います。
「環境設定」 -> 「アカウント」 -> 「ドメインの編集」画面で、対象ドメインの「連携」 をクリックします。
4-7. AAD管理者ユーザでサインインします。
4-8. 既存のApple IDの利用状況が確認されます。
注)利用状況の確認の結果、競合が検出されたユーザについては、ユーザ変更案内をASM上から実施する必要があります。
※1 SCIM連携に必要なAure ADの権限情報はこちら
https://support.apple.com/ja-jp/guide/apple-school-manager/axmd88331cd6/web
