Office 365 クラウドアプリ

SAML（Security Assertion Markup Language）2.0 標準を使用すると、多くのクラウドアプリにシングル サインオン（SSO）を設定できます。SSO を設定すると、ユーザーは Google Workspace の認証情報で SSO を使用してアプリにログインできます。

• Workspace ドメインを Microsoft Office 365 に追加します。手順については、Microsoft 365 にドメインを追加するをご覧ください。
• PowerShell をインストールします。

• ImmutableID を構成します - Office 365 では、ユーザーを一意に識別するのに ImmutableID 属性が使用されます。Google と Office 365 間で SSO を使用するには、各 Office 365 ユーザーに ImmutableID が必要です。また、SSO 時に Office 365 に送信される SAML 名前 ID 属性が ImmutableId と同一である必要があります。

  Office 365 ユーザーの ImmutableID は、ユーザーの作成方法によって異なります。一般的なシナリオは次のとおりです。

  • Office 365 にまだユーザーがいない - Google でユーザーの自動プロビジョニングを行うように設定する場合は、ImmutableID 属性を構成する必要はありません。デフォルトでは、ユーザーのメールアドレスであるユーザー プリンシパル名（UPN）にマッピングされます。ステップ 5 に進みます。

  • Office 365 管理コンソールでユーザーが作成された場合、ImmutableID は空白になります。これらのユーザーに対しては、PowerShell の Update-MgUser コマンドを使用して、ユーザーの UPN（ユーザー プリンシパル名）に一致する ImmutableID を Office 365 で設定します。

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    Update-MgUser を使用してすべてのユーザーを一括更新することもできます。手順については、PowerShell のドキュメントをご覧ください。

  • Microsoft Entra ID 同期でユーザーが作成された場合 - ImmutableID はエンコードされた Active Directory objectGUID です。この場合は次の手順を行います。
    1. PowerShell を使用して、Entra ID から ImmutableID を取得します。たとえば、すべてのユーザーの ImmutableID を取得して CSV ファイルにエクスポートする場合は次のコマンドを実行します。

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:\csvfile

    2. Google でカスタム属性を作成して、各ユーザーのプロフィールに Office 365 ImmutableID を入力します。手順については、新しいカスタム属性を追加するとユーザー プロフィールを更新するをご覧ください。GAM（オープンソースのコマンドライン ツール）または 管理コンソール API を使用して、プロセスを自動化することもできます。

    ImmutableID の詳細については、Microsoft のドキュメントをご覧ください。

1. 特権管理者アカウントで Google 管理コンソール にログインします。

   特権管理者アカウントを使用していない場合は、この手順を完了できません。

2. メニュー アイコン   [アプリ] > [ウェブアプリとモバイルアプリ] にアクセスします。
3. [アプリを追加] [アプリを検索] をクリックします。
4. [アプリ名を入力] に「Office 365」と入力します。
5. 検索結果で [Microsoft Office 365] にカーソルを合わせ、[選択] をクリックします。
6. [Google ID プロバイダの詳細] ウィンドウの [オプション 2: SSO の URL、エンティティ ID、証明書をコピーする] で、次の操作を行います。
   1. [SSO の URL] の横にあるコピーアイコン をクリックし、URL を保存します。
   2. [エンティティ ID] の横にあるコピーアイコン をクリックし、エンティティ ID を保存します。
   3. [証明書] の横にあるコピーアイコン をクリックし、証明書を保存します。

      Office 365 で設定を完了するには、この情報が必要です。

Google 管理コンソールは開いたままにしておきます。 アプリの設定手順が完了した後、管理コンソールで設定を続行します。

1. シークレット モードのブラウザ ウィンドウを開き、Office 365 のログインページに移動して、Office 365 管理者アカウントでログインします。
2. テキスト エディタを使用して、ステップ 1 でコピーしたデータをもとに PowerShell 変数を作成します。各変数に必要な値は次のとおりです。

   変数	値
   $DomainName	“your-company.com”
   $FederationBrandName	“Google Cloud Identity”（または任意の値）
   $Authentication	“Federated”
   $PassiveLogOnUrl $ActiveLogOnUri	「SSO の URL」（手順 1）
   $SigningCertificate	“完全な証明書を貼り付ける”（手順 1）*
   $IssuerURI	「エンティティ ID」（手順 1）
   $LogOffUri	“https://accounts.google.com/logout”
   $PreferredAuthenticationProtocol	“SAMLP”

   *$SigningCertifcate 変数は 1 行のテキストである必要があります。それ以外の場合はエラー メッセージが表示されます。
3. PowerShell コンソールを使用して Update-MgDomain コマンドを実行し、フェデレーション用に Active Directory ドメインを設定します。手順については、Microsoft PowerShell のドキュメントをご覧ください。
4. （省略可）フェデレーションの設定をテストするには、次の PowerShell コマンドを使用します。

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

注: ドメインがすでにフェデレーション設定済みの場合にフェデレーションを Google に変更するには、上の表と同じパラメータを使って次のコマンドを実行します。
Update-MgDomainFederationConfiguration

1. 管理コンソールのブラウザタブに戻ります。
2. [続行] をクリックします。
3. [サービス プロバイダの詳細] ページで次の設定を行います。
   1. [署名付き応答] チェックボックスをオンにします。
   2. [名前 ID の形式] で [永続] を選択します。
   3. [名前 ID] で、次のいずれかを選択します。
      • カスタム属性を作成して Office 365 ImmutableID をユーザーのプロフィールに追加した場合は、そのカスタム属性を選択します。
      • ImmutableID のカスタム属性を作成していない場合は、[基本情報] [メインのメールアドレス] を選択します。
4. [続行] をクリックします。
5. [属性のマッピング] ページで、[フィールドを選択] をクリックし、次の Google Directory の属性を対応する Office 365 の属性にマッピングします。IDPEmail 属性は必須です。

   Google Directory の属性	Office 365 の属性
   [Basic Information] > [Primary email]	IDPEmail*

6. （省略可）マッピングを追加するには、[マッピングを追加] をクリックして、マッピングする必要があるフィールドを選択します。
7. （省略可）このアプリに関連するグループの名前を入力するには:

   1. [グループ メンバーシップ（省略可）] で [グループを検索] をクリックし、グループ名の文字を 1 つ以上入力して、グループ名を選択します。
   2. 必要に応じてグループを追加します（最大 75 個のグループ）。
   3. [アプリの属性] に、対応するサービス プロバイダのグループ属性名を入力します。

   入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが（直接的または間接的に）メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。

8. [完了] をクリックします。

1. 特権管理者アカウントで Google 管理コンソール にログインします。

   特権管理者アカウントを使用していない場合は、この手順を完了できません。

2. メニュー アイコン   [アプリ] > [ウェブアプリとモバイルアプリ] にアクセスします。
3. [Office 365] をクリックします。
4. [ユーザー アクセス] をクリックします。

5. 組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン（すべてのユーザー）] または [オフ（すべてのユーザー）] をクリックし、[保存] をクリックします。

6. （省略可）特定の組織部門に対してサービスを有効または無効にするには:

   1. 左側で組織部門を選択します。
   2. サービスのステータスを変更するには、[オン] または [オフ] を選択します。
   3. 次のいずれかを選択します。
      • [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
      • [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します（親組織の設定が変更された場合でも、現在の設定を維持します）。
        詳しくは、組織構造についての説明をご覧ください。
7. （省略可）組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、アクセス グループを使用してサービスへのアクセスをカスタマイズするをご確認ください。
8. Office 365 のユーザー アカウントのメールドメインが、組織の管理対象の Google アカウントのプライマリ ドメインと一致していることを確認します。

Office 365 は、ID プロバイダを起点とする SSO とサービス プロバイダを起点とする SSO の両方をサポートしています。

ID プロバイダを起点とする SSO を確認する

1. 特権管理者アカウントで Google 管理コンソール にログインします。

   特権管理者アカウントを使用していない場合は、この手順を完了できません。

2. メニュー アイコン   [アプリ] > [ウェブアプリとモバイルアプリ] にアクセスします。
3. [Office 365] をクリックします。
4. [Office 365] セクションで、[SAML ログインをテスト] をクリックします。

   アプリが別のタブで開きます。開かない場合は、エラー メッセージのトラブルシューティングを行ってから、もう一度お試しください。トラブルシューティングについて詳しくは、SAML アプリのエラー メッセージをご覧ください。

サービス プロバイダを起点とする SSO を確認する

1. ブラウザ ウィンドウをすべて閉じます。
2. Office 365 のログインページにアクセスし、Office 365 管理者アカウントでログインします。
   Google ログインページに自動的にリダイレクトされます。
3. お客様のアカウントを選択してパスワードを入力

資格情報が認証されると、アプリが開きます。

特権管理者は、アプリのユーザー プロビジョニングを自動化できます。詳しくは、Office 365 のユーザー プロビジョニングを設定するをご確認ください。