2021年3月3日水曜日

Workspace ONE UEMのユーザーでMicrosoft 365(Office 365)へSSO

Workspace ONE AccessとWorkspace ONE UEMとMicrosoft 365(Office 365)について下記3本のブログをご紹介してきました。

【これまでのブログ】

Workspace ONE AccessとOffice365のSSO連携

Workspace ONE AccessからAzure AD(Office365)へのIDプロビジョニング

Workspace ONE UEMからWorkspace ONE Accessへのユーザー同期

今回はこれらの設定をまとめて「Workspace ONE UEMで作成したユーザーで、Microsoft 365(Office 365)にシングルサインオンをする(認証はWorkspace ONE Access)」を設定してみたいと思います。


■環境イメージ

構成イメージはこんな感じです。


Workspace ONEの環境やMicrosoft 365のテナントはこれまでのブログと同じ環境を使用します。


■設定

ほとんどの設定はこれまでのブログで紹介した手順で済んでいます。
このブログで紹介する設定としてはWorkspace ONE UEMから同期したユーザーが、Office365アプリの割り当てユーザーの対象となるようにWorkspace ONE Accessの設定を追加します。

まず、以下がWorkspace ONE UEMから同期されたWorkspace ONE Accessのユーザーです。

※赤枠のユーザーアカウント以外に、代理加入用のユーザーも同期されたユーザーとして存在しています。


今回はWorkspace ONE UEMから同期されたユーザーが所属するグループを作成します。
そのグループに対してOffice365アプリを割り当てます。


まずグループを追加します。

Workspace ONE Accessの管理画面で[ユーザーとグループ]-[グループ]を開き、[グループを追加]をクリックします。


グループの名前を設定します。今回は”UEM-Users”という名称で作成します。


次にグループに所属するユーザーの手動設定画面が表示されます。手動で設定してもいいのですが、追加ユーザーに対して都度グループ追加をするのも面倒なので、ここは未設定のまま[次へ]をクリックします。



グループルールの設定で、Workspace ONE UEMから同期されたディレクトリのユーザーを対象とするルールを作成します。[次へ]をクリックします。



このままだと、代理加入用の不要なユーザーも含まれてしまうので、不要なユーザーを明示的に除外します。[次へ]をクリックします。


グループの設定はこれで完了です。対象のユーザーが想定しているようにWorkspace ONE UEMから同期したユーザーであることを確認し、[グループを作成]をクリックします。



追加したグループにOffice365アプリを割り当てます。
Workspace ONE Accessに作成済みのOffice365アプリを開き、[編集]をクリックします。



グループプロビジョニングの設定で、追加したWorkspace ONE UEMユーザー用のグループをプロビジョニング対象として追加します。


設定保存後、[割り当て]をクリックし、追加したWorkspace ONE UEMユーザー用のグループを追加します。


Workspace ONE AccessのOffice365アプリの情報画面で、”グループ プロビジョニング”の項目を確認します。追加したグループがプロビジョニング済みになっていることを確認します。



Office365アプリの割り当てを確認し[プロビジョニングの状態]を開きます。Workspace ONE UEMのユーザーがプロビジョニングされていることを確認します。



次にAzure Portalを開き、Azure ADの情報を確認します。

Workspace ONE UEMから同期されたユーザーがプロビジョニングされていることが確認できます。



グループもプロビジョニングされ、プロビジョニングされたユーザーが所属しています。



プロビジョニングしたユーザーはOffice365(Microsoft365)のライセンスがない状態のため、ユーザー毎にプロビジョニング後に手動ライセンス割り当てを行うのは面倒です。今回の環境ではプロビジョニングしたグループにOffice365(Microsoft365)のライセンスを割り当てます。



これで、Workspace ONE UEMで作成したユーザーが、Workspace ONE Access,

Azure AD(Office365)へプロビジョニングされていることを確認できました。



■SSOの確認

では、プロビジョニングされたユーザーでOffice365(Microsoft365)にSSOできることを確認します。今回はまず、Workspace ONE Accessにログインします。

認証時のユーザーはWorkspace ONE UEMで作成したユーザー(uem01.ws1)です。


ポータル画面(Intelligent HUB)の画面で[アプリ]を開き、[Office365]をクリックします。


Office365(Microsoft365)にSSOできることを確認できました。



■終わりに

以上で、Workspace ONE UEMのユーザーでMicrosoft 365(Office 365)へSSOする設定は完了です。

次回ブログでは、構成したWorkspace ONE UEM・Workspace ONE Access・Azure AD(Office365)環境を使って、「Workspace ONE UEMによって管理されているデバイスからだけ、Microsoft 365(Office 365)にログインできる」を実現する設定を追加したいと思います。