管理者は、Microsoft Entra ID テナントと Google Workspace または Cloud Identity アカウント間のユーザー プロビジョニングおよびシングル サインオン(SSO)を設定できます。設定すると、ユーザーは ChromeOS デバイスで Google ログイン画面ではなく Microsoft Entra ID 認証ページにログインできます。
ChromeOS デバイス対応の Security Assertion Markup Language(SAML)シングル サインオン(SSO)機能により、ユーザーは組織の他のシステムと同じ認証メカニズムを使用してデバイスにログインできるようになります。ユーザーのパスワードは、組織の ID プロバイダ(IdP)の内部で管理できます。Chrome デバイスへのログインは、ブラウザから SAML SSO を使って Google Workspace アカウントにログインするのとよく似ています。ただし、デバイスへのログインであるため、他にもいくつかの注意点があります。
始める前に
- Microsoft Entra ID と Google(Workspace または Cloud Identity)でご使用のドメインを設定しておく必要があります。
- Microsoft Entra ID および Google で同じユーザー アカウント名を使用する必要があります。Microsoft Entra ID ディレクトリは、ご使用のドメインを登録済みのサブドメインとして保持します。
- これらの手順には、Active Directory フェデレーション サービス(ADFS)のようなローカルでの連携は必要ありません。ただし、Microsoft Entra ID の Free レベルにバンドルされている同等のクラウドベースのサービスが必要です。
設定方法
手順 1: エンタープライズ アプリケーションを作成する
- Microsoft Azure ポータルにログインします。
- 上部の検索ボックスに「エンタープライズ アプリケーション」と入力して、検索結果の一覧から選択します。
- [エンタープライズ アプリケーション] ペインの上部にある [新しいアプリケーション] をクリックします。
- [クラウド プラットフォーム] で、[Google Cloud Platform] をクリックします。
- [Google Cloud/G Suite Connector by Microsoft] をクリックします。
- [名前] に「Google Cloud/G Suite Connector by Microsoft」と入力します。
- [作成] をクリックします。
手順 2: エンタープライズ アプリケーションに特定のユーザーを割り当てる
引き続き Microsoft Azure ポータル上で、以下を実行します。
- 左側の [管理] の下にある [ユーザーとグループ] をクリックします。または、[概要] ページの [はじめに] の下にある [ユーザーとグループを割り当て] をクリックします。
- [ユーザーとグループ] ペインの上部にある [ユーザーまたはグループの追加] をクリックします。
- 左側の [割り当ての追加] ペインの [ユーザー] の下にある [選択されていません] をクリックします。
- [ユーザー] ペインで、使用するユーザーを選択します。
- [選択] をクリックします。
- [割り当ての追加] ペインで、[割り当て] をクリックします。
手順 3: SAML を使用して SSO を設定する
引き続き Microsoft Azure ポータル上で、以下を実行します。
- 左側の [管理] の下にある [シングル サインオン] をクリックします。
- [シングル サインオンの方法] を選択して、[SAML] をクリックします。
- [SAML ベースのサインオン] ページで、[基本的な SAML 構成] に移動します。
- [編集] をクリックします。
- [識別子(エンティティ ID)] を設定します。以下の URL を追加します。
- google.com/a/[ドメイン名].com
- https://google.com/a/[ドメイン名].com
- [応答 URL(Assertion Consumer Service URL)] を設定します。
- 以下の URL を追加します。
- https://www.google.com/acs
- https://www.google.com/a/[ドメイン名].com/acs
- デフォルトを設定します。
- https://www.google.com/a/[ドメイン名].com/acs の横にある [デフォルト] チェックボックスをオンにします。
- 以下の URL を追加します。
- [サインオン URL] を設定します。以下の URL を追加します。
- https://www.google.com/a/[ドメイン名].com/ServiceLogin?continue=https://mail.google.com
- [保存] をクリックします。
- Base64 版の証明書をダウンロードします。
- 引き続き [SAML ベースのサインオン] ページから、[SAML 署名証明書] に移動します。
- [証明書 (Base64)] の横にある [ダウンロード] をクリックします。
- Microsoft Entra ID に関連付ける Google Cloud / G Suite Connector by Microsoft アプリケーションを設定するために必要な情報を収集します。
- 引き続き [SAML ベースのサインオン] ページから、[Google Cloud / G Suite Connector by Microsoft の設定] に移動します。
- 以下の URL をコピーします。
- ログイン URL - お使いのシステムおよび Google Workspace にログインしたときにユーザーに表示されるページ。
- ログアウト URL - ユーザーがログアウト後にリダイレクトされるページ。
手順 4: Microsoft Entra SSO を設定する
サードパーティの IdP を設定する
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
[概要] にアクセスします。
- [サードパーティの ID プロバイダを使用したシングル サインオン(SSO)の設定] をクリックします。
- [SSO プロファイルを追加] をクリックします。
- [サードパーティの ID プロバイダで SSO を設定する] チェックボックスをオンにします。
- サードパーティの IdP に関する次の URL を入力します。
- [証明書を更新] をクリックします。
- 使用するファイルを選択して [開く] をクリックします。
- [ドメイン固有の発行元を使用] チェックボックスをクリックします。
- [パスワード変更用 URL] に以下の URL を入力します。
- https://account.activedirectory.windowsazure.com/changepassword.aspx
- [保存] をクリックします。
ユーザーを設定する
引き続き、管理コンソールにログインしておきます。
-
管理コンソールで、メニュー アイコン
[デバイス]
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン
[Chrome ブラウザ]
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [セキュリティ] に移動します。
- [シングル サインオン] で [Chrome デバイスに対して SAML ベースのシングル サインオンを有効にする] を選択します。
- (省略可)[SAML シングル サインオンによるログインの頻度] にパスワードの有効期限よりも短い値を設定します。設定に関する詳細については、ユーザーまたはブラウザに Chrome のポリシーを設定するをご覧ください。
- [保存] をクリックします。
デバイスを設定する
引き続き、管理コンソールにログインしておきます。
- ページ上部の [デバイス設定] をクリックします。または、管理コンソールのホームページから、[デバイス]
[Chrome]
- すべてのユーザーと登録済みブラウザに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [ログインの設定] にアクセスします。
- [シングル サインオン ID プロバイダ(IdP)のリダイレクト] で、リストから [SAML SSO IdP ページへの移動をユーザーに許可する] を選択します。設定に関する詳細については、Chrome デバイスのポリシーを設定するをご覧ください。
- [シングル サインオン Cookie の動作] で、[ログイン中、ユーザー セッションへの SAML SSO Cookie の転送を有効にする] を選択します。設定に関する詳細については、Chrome デバイスのポリシーを設定するをご覧ください。
- [保存] をクリックします。
[Chrome] 手順 5: ChromeOS デバイスをテストする
- 管理対象の ChromeOS デバイスの電源をオンにします。
- [Chromebook にログインする] ページで、[次へ] をクリックします。
- Microsoft のログインページで、AD ユーザー名を入力します。
- [次へ] をクリックします。
- パスワードを入力します。
- [ログイン] をクリックします。
- ユーザー セッションへのログイン状態とアクセスを保持するには、[はい] をクリックします。
手順 6: Microsoft Entra ID ユーザー プロビジョニングを設定する
Cloud Identity または Google Workspace にお申し込みいただくと、特権管理者のアカウントが作成されます。このアカウントを Microsoft Entra ID に使用している場合は、別の特権管理者アカウントを作成して Microsoft Entra ID 専用として使用することをおすすめします。
ユーザーを作成する
-
- 管理コンソールで、メニュー アイコン
[ディレクトリ]
- ページの上部にある [新しいユーザーの追加] をクリックします。
- アカウント情報を入力します。詳しくは、新規ユーザーのアカウントを追加するをご覧ください。
- [新しいユーザーの追加] をクリックします。
- [完了] をクリックして、新しいユーザーの追加を完了します。
ユーザーを特権管理者にする
引き続き、管理コンソールにログインしておきます。
- 管理コンソールで、メニュー アイコン
- [ユーザー] リストで、先ほど作成した新規ユーザーを見つけます。
- ユーザーの名前をクリックし、そのユーザーのアカウント ページを開きます。
- [管理者ロールと権限] をクリックします。
- [ロールを割り当ててください] をクリックします。
- [特権管理者] ロールの横にあるスライダーをクリックして、[割り当て済み]
にします。
- [保存] をクリックします。
ヒント: 新しい管理者に、アカウントに再設定オプションを追加するよう依頼してください。
通常、ユーザーは数分以内に管理者になりますが、場合によっては最長で 24 時間ほどかかることがあります。
ユーザー アカウントのプロビジョニングを管理する
- Microsoft Azure ポータルにログインします。
- 上部の検索ボックスに「エンタープライズ アプリケーション」と入力して、検索結果の一覧から選択します。
- [Google Cloud / G Suite Connector by Microsoft] を探してクリックします。
- 左側の [管理] の下にある [プロビジョニング] をクリックします。
- [開始] をクリックします。
- [プロビジョニング モード] で [自動] を選択します。
- [管理者資格情報] をクリックします。
- [承認する] をクリックします。
- 先ほど作成した、新しい特権管理者アカウントを使用してログインします。
- [許可] をクリックして Cloud Identity API へのアクセスを確認します。
- [管理者資格情報] で、[テスト接続] をクリックします。プロビジョニングを有効にする権限が付与されたことを知らせるメッセージが表示されます。
- (省略可)[マッピング] で、ユーザーまたはグループのプロビジョニングを設定します。デフォルトの設定を使用することをおすすめします。
- [保存] をクリックします。
- [プロビジョニング] ページの上部にある [プロビジョニングの開始] をクリックします。
- 同期が完了するまで待ちます。
関連トピック
- ChromeOS デバイスに SAML シングル サインオンを設定する
- Micrsoft Entra ID のユーザー プロビジョニングとシングル サインオン
- チュートリアル: Micrsoft Entra SSO と Google Cloud / G Suite Connector by Microsoft の統合
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。