Googleでもできる！Google WorkspaceとASMの連携によるManaged Apple IDの管理

ついにGoogleとAppleが連携！

デバイスは低学年でも利用がしやすいiPadで
授業は自宅でMicrosoft TeamsやGoogle Meetを利用して…

一人一台の整備とコロナの感染拡大などにより、
急速に普及したオンライン授業などの新しい試みを、
Apple デバイスと、MSやGoogleのアプリを組み合わせた環境で
利用するケースが増えています。

利用するサービスが増えると、必ず生じるのがID管理の負担。
以前のコラムでAzure ADとASMの連携について紹介しました※1 が、実は同じようにGoogle WorkspaceとASMの連携が可能です。

今回のコラムでは、ASMとGoogle Workspaceのアカウント連携の設定について、具体的な手順に沿って紹介していきます。

※1 https://www.mitani-edu.jp/column/100/

ASMとGoogle Workspaceのアカウント連携で実現できること

ASMとGoogle Workspaceのアカウント連携することで、以下の環境を実現できます。

１． Google Workspaceにユーザを登録することで、ASMにManaged Apple IDが作成される。 (ユーザプロビジョニング機能)
２．Managed Apple IDの認証先をGoogle Workspaceにリダイレクトする。(IdP機能)

ユーザ作成の効率化はもちろん、認証のセキュリティルールもGoogle Workspaceのルールに準拠することになるため、講師ユーザで必須である2段階認証についても要求しないなどといった柔軟な対応が可能になります。

アカウント連携の流れ

本コラムでは以下の流れにそってアカウント連携の手順を解説していきます。

１．ドメインの確認
２．Federated Authenticationの設定
３．ユーザ同期の設定

ドメインの確認

はじめにASM上で、Google Workspaceで利用しているドメインの登録/確認を行う必要があります。
Azure ADとは異なり、Google WorkspaceではDNS管理はできないため、ドメインの確認時にはDNS管理プロバイダーなどに、TXTレコードの登録を依頼する必要があります。

※Google Workspaceのプライマリドメインを利用する場合、Google側で確認済みのドメインとして設定済みであれば、本手順は不要です。[Federated Authenticationの設定]から開始してください。

１-１． ASMにアクセスし、「アカウント」 -> 「ドメイン」 -> 「編集」 を開きます。

１-２．「ドメインを追加」をクリックします。

１-３．Google Workspaceのドメインを追加します。

１-４．「確認」をクリックすると、TXTレコードが発行されます。TXTレコードをDNS 管理者に共有し、DNSに登録します。

１-５．ドメインの編集画面を表示し、該当ドメインの「今すぐ確認」をクリックします。

１-６．ステータスが「確認済みの所有権」となれば、ドメインの確認は完了です。

Federated Authenticationの設定

ドメインの確認が完了したら、Federated Authenticationの設定を進めます。

２-１．「環境設定」 -> 「アカウント」 -> 「Federated Authentication」の「編集」をクリックします。

２-２．「Google Workspace」を選択し、「接続」をクリックします。

２-３．Google Workspace管理者ユーザ(以下管理者ユーザ)でサインインします。

２-４．ASMからGoogle Workspaceにアクセスできる情報を選択し「続行」します。

２-５．下記画面が表示されれば接続は完了です。

２-６．つづけて既存のApple IDを利用していないかの確認を行います。
「環境設定」 -> 「アカウント」 -> 「ドメインの編集」画面で、対象ドメインの「連携」をクリックします。

２-７．既存のApple IDの競合状況が確認されます。
注）利用状況の確認の結果、競合が検出されたユーザについては、ユーザ変更案内をASM上から実施する必要があります。

２-８．連携を有効にします。

２-９．連携が有効化したことを確認します。

ユーザ同期の設定

Federated Authenticationの設定が完了したら、ユーザ同期の設定を進めます。

３-１．「環境設定」 -> 「ディレクトリ同期」 -> 「Google Workspace Sync」 にて「無効」をクリックします。

３-２．「Google Workspace Sync」のステータスが「有効」になります。合わせて初回のユーザ 同期が実施されます。

３-３．「ユーザ」のフィルタにて、ソースを「Google Workspace Sync」にすることで、同期されたユーザの検出が可能です。

３-４．以降自動的にユーザ同期が実施されますが、すぐに同期を実施したい場合は、「今すぐ同期」をクリックすることで、即時反映が可能です。

その他設定

Azure AD連携同様、Google Workspaceとの同期においても、ユーザはすべて生徒の役割で登録されます。講師ユーザについては手動で講師の役割を追加する必要があります。

ただし、Azure AD連携とは異なり、同期される属性は最低限となっているため、講師アカウントのみ検出するには、あらかじめアカウント名のルールなどで区分けをしておく必要があります。

クラスルームやスクールワークを利用している場合も、Azure AD同様手動でクラスを作成する必要があります。管理者や担当講師にて手動で作成する必要があります。

サインインを試す

作成後の初回サインインはApple製品にて実施する必要があります。
今回はiPadの設定アプリからサインインを試します。

４-１．iPadの「設定」 -> 「iPadでサインイン」からサインインを試みます。

４-２．Google アカウント サインイン画面にリダイレクトされ、Google Workspaceのアカウント情報でサインインが可能になります。

４-３．一度サインインすると、WindowsのブラウザなどからもiCloudサービスにサインインが可能です。

まとめ

今回のコラムではASMとGoogle Workspaceのアカウント連携によるManaged Apple IDの管理について紹介しました。
ASMに限らず、複数のサービスを利用すればするほどID管理については業務負担が大きくなります。

弊社ではASMに限らずAzure ADやGoogle Workspaceなどを含めたID管理のノウハウが多数ございます。
ID管理でお困りの管理者様、まずは三谷商事にご相談ください。

お問い合わせはこちら

本コラムに関するお問い合わせはこちらからよろしくお願いいたします。

教育機関での【iPad管理】に関する資料を公開しています。

～ 教育機関におけるiPadの管理 ご紹介資料 ～

～ Apple School Manager 入門書 ～