モチベーション
- メーリスの設定を自動でして欲しい
- Google Drive内の資料の閲覧権限を自動かつ適切に付与したい
- 誰がどのようなグループに所属し、どのような権限を持つかはAzure ADで制御したい
やり方の方針
- Azure ADとG SuiteのGroupを同期させる
- Azure ADをマスターとし、G Suite内でグループの設定変更はしない
- Azure ADの動的グループメンバーシップという便利機能を使って、グループに所属するメンバーを自動で追加・削除する
本資料で記載すること
- AzureAD と G Suiteのグループを同期させるところまで
- 動的グループメンバーシップについては次回
前提条件
- Azure ADのEnterprise Application設定権限を持っている
- G Suiteの特権管理者権限を持っている
やり方
基本的にこちらのドキュメントどおりに設定します。ここでは、上記ドキュメントの補足のみを行います。
Configure automatic user account provisioning
基本的にドキュメントの通り設定すれば良いです。
手順7: Admin API Privileges
手順に記載されている画像を見ると全てのチェックボックスがチェックされているように見えますが、僕が見た画面は何もチェックされていませんでした。
不安はあったものの、User画面から自分の権限を確認したら、ちゃんと全ての権限があったのでとりあえず先に進みました。それで問題なかったです。
手順10: Provisioningの設定
もし、G Suiteと同期するAzure ADのグループを絞る必要があるのであれば、
Provisioning の設定をする前に同期対象のグループを指定する必要があります。Users and groups
タブからこんな形でユーザー・グループを設定しました。
手順13: Azure ADにG Suiteの権限委譲
Azure ADからの許可を求められる画面イメージが、サンプル画像と違ったので一応載せておきます。
手順17: Mappings
今回はGroupの同期がしたかったのでMappingsの設定を Synchronize Azure Active Directory Groups to GoogleApps
にしました。また、SettingsのScopeについては、任意のグループのみを同期したいのであれば Sync only assigned users and groups
に設定する必要があります。
結果
- グループが問題なく作られている
- グループ内にメンバーも所属している
疑問点
- グループのオーナーを指定する場所が無かった
- グループのメールアドレスをどのように指定するのか