【Teams】TeamsのSCIM APIでユーザー自動プロビジョニングを設定する手順

Microsoft Teamsでユーザー管理を効率化したいとお考えですか?手作業でのユーザー追加・削除は、時間と手間がかかり、ミスも発生しがちです。SCIM APIを利用したユーザー自動プロビジョニングを設定すれば、これらの課題を解決できます。この記事では、SCIM APIを使ったTeamsのユーザー自動プロビジョニング設定手順を詳しく解説します。専門知識がなくても、段階を踏んで設定できるようになります。

SCIM APIによるユーザー管理の仕組み

SCIM (System for Cross-domain Identity Management) は、IDプロバイダー(IdP)とサービスプロバイダー(SP)間でユーザー情報を自動的に同期するための標準規格です。Teamsの場合、Azure Active Directory(Azure AD)をIdPとして利用し、SCIM APIを通じてユーザーアカウントの作成、更新、削除を自動化します。これにより、IT管理者は手動でユーザー情報を管理する手間から解放され、人的ミスも減少します。例えば、新しい従業員が入社した際に、Azure ADでユーザーを作成するだけで、自動的にTeamsアカウントが付与されるようになります。

SCIM API利用の前提条件

SCIM APIを利用してTeamsのユーザー自動プロビジョニングを設定するには、いくつかの前提条件があります。まず、Azure AD Premium P1以上のライセンスが必要です。これは、高度なID管理機能を提供するために不可欠です。次に、SCIMプロトコルに対応したIDプロバイダー(IdP)が必要です。Azure AD自体がSCIMに対応しているため、Azure ADをIdPとして利用するのが一般的です。また、Teamsのライセンスがユーザーに割り当てられていることも、プロビジョニングが成功するための条件となります。これらの条件が満たされているか、事前に確認しておきましょう。

Azure ADでのSCIM設定手順

SCIM APIを利用したユーザー自動プロビジョニングの設定は、Azure ADポータルから行います。この設定により、Azure AD上のユーザー情報がTeamsに自動的に反映されるようになります。

1. Azure ADポータルへのサインイン
   管理者アカウントでAzure ADポータルにサインインします。
2. エンタープライズアプリケーションへの移動
   左側のメニューから「エンタープライズアプリケーション」を選択します。
3. 新しいアプリケーションの追加
   「新しいアプリケーション」をクリックし、「カスタムアプリケーションの作成」を選択します。
4. アプリケーション名の入力
   アプリケーション名に「Microsoft Teams SCIM」など、分かりやすい名前を入力し、「作成」をクリックします。
5. プロビジョニング設定への移動
   作成したアプリケーションの詳細画面で、「プロビジョニング」を選択します。
6. プロビジョニングモードの選択
   プロビジョニングモードを「自動」に設定します。

SCIMエンドポイントとシークレットトークンの取得

Azure ADでSCIM設定を行うためには、Teams側でSCIMエンドポイントURLとシークレットトークンを取得する必要があります。これらは、Azure ADがTeamsと通信するための認証情報となります。

1. Microsoft Teams 管理センターへのサインイン
   Microsoft Teams 管理センター (admin.teams.microsoft.com) に管理者権限でサインインします。
2. アカウント設定への移動
   左側のナビゲーションペインで、「アカウント」を展開し、「SCIM」を選択します。
3. SCIMエンドポイントURLの確認
   表示される「SCIM エンドポイント」のURLをコピーします。これは通常、 https://scim.microsoftonline.com/YourTenantId/xxxx のような形式です。
4. シークレットトークンの生成とコピー
   「シークレット トークンを生成する」ボタンをクリックします。生成されたトークンは一度しか表示されないため、必ずコピーして安全な場所に保管してください。このトークンは、Azure ADでプロビジョニングを設定する際に必要です。

Azure ADへのSCIM情報登録

Teams管理センターで取得したSCIMエンドポイントURLとシークレットトークンを、Azure ADのエンタープライズアプリケーション設定に登録します。これにより、Azure ADはTeamsと連携できるようになります。

1. Azure ADポータルに戻る
   先ほど開いていたAzure ADポータルのエンタープライズアプリケーション設定画面に戻ります。
2. 管理者の資格情報の設定
   「管理者の資格情報」セクションで、「認証」の「編集」をクリックします。
3. SCIMエンドポイントURLの入力
   「テナントURL」フィールドに、Teams管理センターでコピーしたSCIMエンドポイントURLを入力します。
4. シークレットトークンの入力
   「シークレットトークン」フィールドに、Teams管理センターで生成・コピーしたシークレットトークンを入力します。
5. 資格情報のテスト
   「資格情報のテスト」ボタンをクリックします。成功すると、「テストが成功しました」というメッセージが表示されます。エラーが発生した場合は、URLやトークンが正しいか再確認してください。
6. 設定の保存
   「保存」をクリックして、設定を保存します。

プロビジョニングのスコープと属性マッピング

次に、どのユーザーをTeamsにプロビジョニングするか、そしてAzure ADのどの属性をTeamsのユーザー属性にマッピングするかを設定します。これにより、意図したユーザーのみがTeamsアカウントを持ち、属性情報が正しく同期されるようになります。

プロビジョニングのスコープ設定

「設定」セクションで、プロビジョニングのスコープを設定します。「プロビジョニング状態」は「オン」に設定されていることを確認してください。ここでは、プロビジョニングするユーザーの範囲を定義します。「ユーザーの割り当てのみ」を選択すると、Azure ADでこのアプリケーションに明示的に割り当てられたユーザーのみがプロビジョニング対象となります。組織全体を同期したい場合は、別途グループ割り当てなどを検討する必要があります。

属性マッピングの設定

「属性マッピング」セクションでは、Azure ADのユーザー属性とTeamsのユーザー属性を紐づけます。デフォルトのマッピングでほとんどの必要な属性(ユーザー名、表示名、メールアドレスなど)はカバーされていますが、必要に応じてカスタム属性のマッピングを追加することも可能です。

1. 属性マッピングの編集
   「属性マッピング」をクリックし、表示されるマッピングリストを確認します。
2. マッピングの確認と編集
   各マッピングの「ソース属性」(Azure AD側)と「ターゲット属性」(Teams側)を確認します。必要に応じて、「編集」をクリックしてマッピングを変更したり、「マッピングの追加」をクリックして新しいマッピングを作成したりできます。
3. マッピングの削除
   不要なマッピングは、チェックボックスをオフにして「削除」をクリックすることで削除できます。
4. 変更の保存
   設定を変更した場合は、「保存」をクリックして変更を適用します。

プロビジョニングの除外設定

特定のユーザーやグループをプロビジョニングから除外したい場合は、Azure ADのスコープ設定や、グループベースのプロビジョニング、あるいはプロビジョニングルールで条件を設定することで実現できます。例えば、一時的なアカウントやサービスアカウントをTeamsに同期させたくない場合に有効です。

プロビジョニングのテストと有効化

設定が完了したら、実際にプロビジョニングが正常に機能するかテストします。テストに成功したら、プロビジョニングを有効化して自動同期を開始します。

1. プロビジョニングのテスト実行
   「プロビジョニング」画面の「プロビジョニングのテスト」ボタンをクリックします。
2. テストユーザーの選択
   テストしたいユーザーを検索して選択します。
3. テスト結果の確認
   テストが実行され、結果が表示されます。ユーザーの作成、更新、削除などの操作が正常に行われたかを確認します。
4. プロビジョニングの有効化
   テストが成功したら、「プロビジョニング状態」を「オン」に設定します。
5. 設定の保存
   「保存」をクリックして、プロビジョニングを有効化します。

プロビジョニングがオンになると、Azure ADの変更(ユーザーの追加、変更、削除)が定期的にTeamsに同期されます。同期の頻度は、Azure ADのライセンスや設定によりますが、通常は数分から数時間おきに行われます。

新しいTeams(v2)と従来TeamsのSCIM APIの違い

新しいTeamsクライアント(v2)は、以前のTeamsクライアントと比較して、パフォーマンスの向上や機能の追加が行われています。しかし、SCIM APIによるユーザー自動プロビジョニングの基本的な仕組みや設定手順は、大きく変更されていません。Azure ADとの連携や、SCIMエンドポイント、シークレットトークンの取得方法も同様です。ただし、将来的に新しいTeamsの機能拡張に伴い、SCIM APIのサポート属性や挙動に微細な変更が入る可能性はあります。常に最新のMicrosoftのドキュメントを参照することが重要です。

新しいOutlookと従来OutlookのSCIM APIへの影響

新しいOutlookクライアントへの移行は、ユーザーインターフェースや一部機能の変更が中心であり、SCIM APIによるユーザー自動プロビジョニングの仕組みに直接的な影響はありません。SCIM APIは、ユーザーアカウントそのものを管理するためのものであり、Outlookクライアントのバージョンに依存するものではないからです。Azure ADでプロビジョニングされたユーザーは、新しいOutlookでもTeamsと同様に、自動的にアカウントが付与され、利用可能になります。したがって、新しいOutlookへの移行を計画している場合でも、既存のSCIM設定はそのまま継続して利用できます。

SCIM API設定でよくあるトラブルと対処法

SCIMエンドポイントURLが正しくない

原因: URLの入力ミス、あるいは古いURLを使用している可能性があります。SCIMエンドポイントURLは、テナントごとに固有の値です。

対処法: Teams管理センターで再度SCIMエンドポイントURLを確認し、コピーし直してください。URLの末尾に不要なスラッシュ(/)が含まれていないかも確認してください。

シークレットトークンが無効

原因: シークレットトークンが期限切れになった、または再生成された可能性があります。トークンは一度しか表示されないため、紛失した場合は再生成が必要です。

対処法: Teams管理センターで新しいシークレットトークンを生成し、Azure ADのプロビジョニング設定に再度入力してください。古いトークンは削除しておきましょう。

プロビジョニングが開始されない

原因: プロビジョニング状態が「オフ」になっている、またはユーザーがアプリケーションに割り当てられていない可能性があります。また、Azure AD Premium P1以上のライセンスがない場合もプロビジョニングは機能しません。

対処法: Azure ADポータルでプロビジョニング状態が「オン」になっているか確認してください。対象ユーザーがエンタープライズアプリケーションに割り当てられているか確認してください。ライセンス要件も満たしているか確認してください。

属性マッピングが正しくない

原因: Azure ADのソース属性とTeamsのターゲット属性のマッピングが間違っている、または必須属性がマッピングされていない可能性があります。

対処法: 「属性マッピング」設定を確認し、必要な属性が正しくマッピングされているか確認してください。特に、ユーザー名や表示名などの必須属性は正しく設定されている必要があります。

同期に時間がかかる

原因: SCIMプロビジョニングはリアルタイムではなく、定期的な同期処理です。組織のユーザー数が多い場合や、設定変更直後は同期に時間がかかることがあります。

対処法: しばらく待ってから同期状況を確認してください。Azure ADのプロビジョニングログで、同期のステータスやエラーの詳細を確認できます。

Mac版・モバイル版・Web版での違い

SCIM APIによるユーザー自動プロビジョニングの設定自体は、すべてサーバーサイド(Azure ADおよびMicrosoft 365テナント)で行われます。そのため、ユーザーが利用するTeamsクライアント(Windows版、Mac版、モバイル版、Web版)によって設定方法が異なるということはありません。一度SCIM設定が完了すれば、どのプラットフォームからでも、プロビジョニングされたユーザーはTeamsにアクセスできるようになります。ただし、各クライアントの機能やUIには若干の違いがあるため、利用体験には差が生じることがあります。

まとめると、SCIM APIによるユーザー自動プロビジョニングは、Microsoft Teamsのユーザー管理を効率化するための強力な機能です。Azure ADとTeams管理センターでの設定手順を理解し、正しく実装することで、IT管理者の負担を軽減し、セキュリティとコンプライアンスを向上させることができます。今回の記事で解説した手順を参考に、ぜひ貴社のTeams環境での自動プロビジョニング設定を試してみてください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。