AzureADのグループをG Suiteへプロビジョニングする
G Suiteでは(2019/12現在)動的グループを作成することができないため、AzureAD側の動的グループをプロビジョニングにしたいと思いやってみました。
セキュリティ関係もありEMSが利用したかったので、EMSとG Suiteのライセンスが必要になります。
今回やりたいこと
- AzureADで複数ドメインが設定されている
- G Suiteの契約が2つある
- AzureAD側で動的グループを作成している
という状況において、AzureADから各契約のG Suiteへグループをプロビジョニングさせたい
というのが今回のやりたいことになります。
今回使用しているライセンス
- EMS E3
- Exchange Onlineライセンス
- G Suite Basic
AzureADのエンタープライズアプリケーションの登録までは完了しているものとします。
AzureADでプロビジョニングの設定をしよう!
- プロビジョニングを自動に変更し、【承認する】をクリックします
- G Suiteへログインし、【許可】をクリックします
- 【テスト接続】をクリックし、接続に問題がないことを確認します
こんな感じの通知がでればOK
- マッピング
- このまま有効にしてもよいのですが、某弊社の場合G Suiteの契約を複数もっておりそれぞれのドメインのみプロビジョニングにしたいため
ソースオブジェクトスコープを定義します。
- 【スコープフィルターの追加】をクリックします
- 対象の属性から「mail」を選択し、演算子に「REGEX MATCH」を選択します
値に「 .*@domain名 」と入力し、【新しいスコープ句の追加】をクリックします
- スコープフィルターのタイトルを入力し、【OK】をクリックします
- 属性マッピング項目で【保存】をクリックします
- プロビジョニング状態を、「オン」にします
範囲を「すべてのユーザーとグループを同期する」を選択し、【保存】をクリックします
- 現在の状態下にある「更新」をクリックすると進捗状況が表示されます
- 監査ログを確認し、対象のグループアドレスが正常同期されたことを確認します。
G Suite側の確認
正常に同期が完了とログが表示されましたが、G Suite側に本当に登録されているのか確認します。
管理センターへログインし、「ディレクトリ」→【グループ】を選択します
対象としてグループが作成されていました!!test@domain名 がAzureADからプロビジョニングされたグループです
アクセスタイプはどうなる???
ふとアクセスタイプはどうなっているのかと思って確認したところ下記のようになっていました
外部の投稿をを公開にもチェックがついているので、特にG Suite側で設定する必要はなさそうですね。
外部から投稿されたくないという場合にはG Suite側でアクセスタイプを変更する必要があるかと思います。
動的グループがAzureADでは作成できるので、G Suiteメインで利用している場合には、うまくプロビジョニングも組み合わせることで
Googleグループの登録を自動化することができ、G Suite側のセキュリティグループとして利用することで新入社員が入社した際にアクセスできない!を減らすことができるのではないかなと思います。
条件付きアクセスもEMSであれば利用することが可能なので、セキュリティを担保しつつ便利に利用していきたいですね!
まとめ
AzureADはよLDAP対応しろ(笑)
そしたらJamf側からも使えるのに!!
corp-engr 情シスSlack(コーポレートエンジニア x 情シス) Advent Calendar の記事もみてね!
