Azure AD からのユーザーのインポート

Azure Active Directory (AD) を PAM360 と統合し、Azure AD からユーザーとユーザーグループをインポートします。この統合により、ユーザーは Windows プラットフォームと Linux プラットフォームの両方で、Azure AD 認証情報を使用して PAM360 にログインできるようになります。PAM360 への統合後、ユーザーの詳細とユーザー グループの構造は、Azure AD プラットフォームとまったく同じように維持されます。

メモ:多要素認証(MFA)がAzure ADポータルで有効になっていないユーザーのみインポートできます。

Azureポータルに PAM360 を登録し、ユーザーを PAM360 にインポートする詳細な手順を次に示します:

  1. PAM360のAzure ADポータルでの登録
  2. Azure AD からユーザーをインポートする手順

1.PAM360のAzure ADポータルでの登録

PAM360 を Azure AD と統合してユーザーをインポートするには、まず PAM360 をネイティブ クライアント アプリケーションとして Azure AD ポータルに追加する必要があります。PAM360 をアプリケーションとして登録するには、以下の手順に従ってください:

  1. Microsoft Azureポータルにログインします。
    micro-azure
  2. Microsoft Azureホームページの[アプリ登録]をクリックします。
    3. micro-azure
  3. 上部のバーから[+新規登録]をクリックします。
    micro-azure
  4. [アプリケーションの登録] ページで、次の属性を入力します:
    1. 名前をPAM360または他の選択名で入力します。
    2. [サポートされているアカウントの種類 - この組織ディレクトリ内のアカウントのみ - シングル テナント] を選択します。
    3. PAM360アプリケーションの転送URIを入力します。
  5. [登録]をクリックします。PAM360 は、Azure AD ポータルにアプリケーションとして追加されます。
    micro-azure
  6. 新しく登録された PAM360 アプリケーションの詳細が記載されたページが表示されます。
    micro-azure
  7. 左側のパネルの[管理]の下にある[認証]をクリックします。[認証] ページの [詳細設定] で、[はい] をクリックして [パブリッククライアントフローを許可] を有効にします。
    micro-azure
  8. 左側のパネルの[管理]の下にある[API アクセス許可]をクリックします。[API 権限] ページで、[+アクセス許可の追加] をクリックします。
    micro-azure
    1. API許可を要求ページで、Microsoft Graphを選択します。
      1. [委任許可]をクリックし、[許可を選択]検索バーでの[読取]を検索し、関連する許可を入力します。Directory.Read.Allオプションを選択し、[許可を追加]をクリックします。
      2. [アプリケーション許可]をクリックし、[許可を選択]検索バーの[読取]を検索し、関連する許可を入力します。Directory.Read.Allオプションを選択し、[許可を追加]をクリックします。
      3. [委任されたアクセス許可] をクリックし、[アクセス許可の選択] 検索バーで[アクセス]を検索し、関連するアクセス許可を入力します。[Directory.AccessAsUser.All] オプションを選択し、[許可を追加]をクリックします。
  9. 次に、[同意を付与][管理者同意を付与]ボタンをクリックします。
  10. 開いたポップアップで、[はい]をクリックし、要求された許可に同意を付与します。
    micro-azure

PAM360を適切な権限で登録したら、PAM360のWebインターフェイスに移動し、以下で説明する手順を使用してユーザーのインポートを開始します。

2.Azure AD からユーザーをインポートする手順

  1. PAM360にログインし、[管理] >> [認証] >> [Azure AD] に移動します。

メモ:[管理] >> [ユーザー] >> [ユーザーの追加] >> [Azure AD からインポート] に移動して、ユーザーをインポートすることもできます。ただし、Azure AD 認証は、[管理] >> [認証] >> [Azure AD] からのみ有効にできます。

  1. [Azure AD サーバーの構成] ページが表示され、そこから以下の一連の手順を実行する必要があります:
    1. Azure AD からのユーザーのインポート
    2. 適切なユーザー役割の指定
    3. Azure AD 認証の有効化
    2. micro-azure

2.1 Azure ADからのユーザーのインポート

  1. [ユーザー] >> [ユーザーを追加] >> [Azure ADからインポート]の順か、または[管理者] >> [Azure AD] >> [今すぐインポート]の順に移動します。
  2. 開いたポップアップで、次の操作を実行します:
    1. [新しいドメイン] をクリックし、ユーザーとグループのインポート元となる Azure AD ドメインを追加します。
    2. 認証モードとしてアプリ専用アクセス トークンを選択します。ユーザー アクセス トークンはビルド 6000 から適用されなくなります。

    メモ:既存のユーザーの場合は、ユーザーアクセストークンメソッドは(インポート/同期を継続しない場合)APIサービスをMicrosoftが廃止するまで機能が継続されます。

    1. [クライアントIDとクライアントシークレットを手動で指定]として[認証情報を入力]を選択します。Microsoft AzureAzure アプリケーションを PAM360 のリソースとして保存している場合は、[PAM360 に保存されているアカウントを使用する] を選択します。
    2. 認証情報の入力で、クライアントIDクライアントシークレットを手動で指定
      1. テナントIDクライアントシークレットを入力します。
      2. Azureポータルで、PAM360をネイティブクライアントアプリケーションとして登録するときに、Azure AD サーバーで生成された クライアントID を入力します。
        3. micro-azure
    3. Azure ADから特定のユーザーおよびユーザー グループのみをインポートするには、[インポートするユーザー] フィールドにカンマ区切り形式で必要なユーザー名を入力し、[インポートするユーザーグループ] フィールドに必要なグループ名を入力します。
    4. 同期スケジュールを追加して、ユーザー データベースを Azure AD と常に同期させます。[同期間隔] フィールドに、PAM360 が Azure AD にクエリを実行し、ユーザー データベースと Azure AD の同期を維持する必要がある時間間隔を入力できます。
    5. 必要な詳細を入力したら、[グループの取得]をクリックします。インポートするユーザー/ユーザー グループを指定した場合は、[インポート]をクリックします。PAM360 は、Azure AD ドメインで利用可能なすべてのユーザー グループを一覧表示します。横にあるチェックボックスを使用して必要なグループを選択し、ユーザーをインポートします。
    6. インポートが完了すると、インポートの概要に、インポートに成功したユーザーと失敗したユーザーの数が表示されます。[閉じる] をクリックすると、自動的に[セクション 2.2:適切なユーザー役割の変更]に移動します。

2.2 適切なユーザーロールの指定

インポート後、Azure AD からインポートされたすべてのユーザーには、[ユーザー役割の変更] ダイアログ ボックスに示されているように、パスワードユーザー役割が割り当てられます。

micro-azure
  1. 役割を変更したいユーザーに対して[役割の変更]ボタンをクリックし、ドロップダウンから適切な役割を選択します。
  2. ユーザーの役割を一括で変更するには、チェックボックスを使用してユーザーを選択し、上部にある[役割の変更]をクリックして、ドロップダウンから適切な役割を選択します。変更は、役割が割り当てられた時点で保存されます。

注記:

  • [Azure ADサーバー構成] ページで [今すぐロールを割り当てる] をクリックすると、割り当てられた役割をいつでも変更できます。
  • PAM360でユーザー管理やその他のシステム操作を実行するには管理者権限が必要であるため、Azure AD からインポートされたユーザーのリストから少なくとも 1 人のユーザーに管理者役割を割り当てます。

2.3 Azure AD認証の有効化

三番目の手順は、Azure AD 認証を有効にすることです。これを有効にすると、ユーザーは Azure AD ドメイン パスワードを使用して PAM360 にログインできるようになります。この機能は、Azure AD からローカル データベースに既にインポートされているユーザーに対してのみ機能することに注意してください。Azure AD 認証を有効にする前に、AD 認証が無効になっていることを確認してください。

  1. 次の図に示すように、[管理] >> [認証] >> [Azure AD] に移動し、[Azure AD 認証を有効にする][今すぐ有効にする] をクリックします。
  2. Azure AD 認証を有効にすると、[管理] >> [設定] >> [一般設定] >> [ユーザー管理] でローカル認証を無効にできます。詳細については、ここをクリックしてください。

2.4 トラブルシューティングのヒント

PAM360では、次の 2 つの状況ではAzure AD認証が機能しません。考えられる解決策とともに以下に説明します:

  1. Azure ADポータルのユーザーは条件付きアクセスが有効になっているため、PAM360 に認証トークンを送信できず、認証が失敗します。
    解決策:PAM360 で Azure AD 認証を有効にする前に、Azure AD ポータルでアプリレベルとユーザー レベルの両方で条件付きアクセスを無効にすることで、これを回避します。
  2. Azure AD ポータルでは多要素認証 (MFA) が有効になっています。
    解決策:Azure AD ポータルで MFA を無効にすることで、これを回避します。

条件付きアクセスと MFA の代わりに、Azure AD ポータルで SAML シングル サインオンを有効にすることができます。SAML 認証を設定する方法については、ここをクリックしてください。