Microsoft Entra IDからユーザアカウントをApple School Managerに同期する
OpenID Connect(OIDC)を使用してユーザアカウントをApple School Managerに同期することができます。このシステムを使用すると、Apple School Managerのプロパティ(学年や役割など)に、Microsoft Entra IDから読み込まれたユーザアカウントデータを追加できます。OIDCを使用してユーザアカウントを読み込むと、Microsoft Entra IDとの接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、ユーザアカウントは手動アカウントになり、アカウントの属性が編集できるようになります。
開始する前に
OIDC接続を使用してMicrosoft Entra IDと同期する前に、以下を行う必要があります。
必要に応じて、使用するドメインを構成し、確認します。「ドメインを追加し、確認する」を参照してください。Google Workspaceと連携するドメインをすでに確認済みの場合は、このプロセスを省略できます。
Student Information System(SIS)との接続を解除するか、SFTPを使用したアップロードを停止する。
ドメインを構成、連携し、有効にします。「Microsoft Entra IDとのFederated Authenticationを使用する」を参照してください。
接続を設定する際は、管理者、サイトマネージャ、ユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザがMicrosoft Entra IDからの通知を受け取れるようにする必要があります。
Microsoft Entra IDの設定を編集する権限のあるMicrosoft Entra IDのグローバル管理者に連絡します。
Microsoft Entra IDのユーザアカウントとApple School Manager
OIDCを使用してMicrosoft Entra IDからApple School Managerに同期されたユーザアカウントには、デフォルトで生徒の役割が割り当てられます。同期が完了すると、次のユーザアカウント属性を編集できます。
役割
学年
Student Information System(SIS)のユーザ名
これらの属性はApple School Managerのユーザアカウントに保存されます。Microsoft Entra IDに書き戻されることはありません。
重要: Apple School ManagerのEntra IDアプリで、120日間はユーザ名の再利用をしないでください。
サインイン属性
Apple School Managerで管理対象Apple Accountに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple School Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
ユーザプリンシパル名
ユーザアカウントが、管理者、サイトマネージャ、またはユーザマネージャの役割を持つ既存のユーザアカウントとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。これは、最初に使用した同期方法(SISまたはSFTP)に関係なく発生します。
個人ID(Person ID)
Microsoft Entra IDのユーザアカウントがApple School Managerに同期されると、Apple School ManagerのユーザアカウントにユーザIDが作成されます。このユーザIDは、競合するユーザアカウントを識別するために使用されます。また、ユーザIDは、OIDCまたはSIS統合を使用して同期されたユーザに対して自動的に生成されますが、SFTPを使用して読み込まれたユーザに対しては自動生成されません。
Microsoft Entra IDが接続解除され、SFTPを使用してユーザが再度アップロードされる場合、SFTPアップロードファイルのユーザIDがOIDC同期によって割り当てられたユーザIDと一致しない限り、新しいユーザが作成されます。「Student Information SystemデータをApple School Managerにアップロードする」を参照してください。
ユーザIDの変更に関する重要な考慮事項:
以前にMicrosoft Entra IDから読み込まれたユーザアカウントのユーザIDを変更すると、そのユーザアカウントはMicrosoft Entra IDと同期されなくなります。
以前にMicrosoft Entra IDから読み込まれたユーザアカウントのユーザIDを変更した後、そのアカウントを再接続する場合は、「Microsoft Entra IDのOIDCユーザアカウントの競合を解決する」を参照してください。
Microsoft Entra IDのテナント
Apple School ManagerでOIDCを使用するには、組織に他のApple School Manager組織と同じMicrosoft Entra IDテナントが含まれていてはいけません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
Microsoft Entra IDのグループ
Microsoft Entra IDでは、ユーザインターフェイスを使用してグループアカウントを同期できますが、同期がサポートされるのは同じグループに属するユーザアカウントのみです。
Microsoft Entra IDでグループアカウントを構成している場合は、ユーザを個別に追加するのではなく、そのグループをApple School ManagerのEntra IDアプリに追加することができます。
注記: Apple School ManagerのEntra IDアプリは、サブグループには対応していません。
OIDCによるユーザ属性のマッピング
OIDCを使用してユーザアカウントをMicrosoft Entra IDからApple School Managerに同期すると、以下のユーザ属性が読み取り専用として保存されます。この表では、各ユーザ属性が必須かどうかも確認できます。
重要: この表にない属性を追加すると、OIDC接続が使用できなくなります。
Microsoft Entra IDのユーザ属性 | Apple School Managerのユーザ属性 | 必須 |
|---|---|---|
givenName | 名 |
|
surname | 姓 |
|
userPrincipalName | 管理対象Apple Accountとメールアドレス |
|
objectId | (Apple School Managerには表示されません。この属性は競合アカウントを識別するために使用されます。) |
|
部署 | 部署 |
|
社員ID | ユーザ番号 |
|
employeeOrgData.costCenter | コストセンター |
|
employeeOrgData.division | 部門 |
|
Microsoft Entra Connect Syncを有効にする
Apple School Manager
で、管理者、サイトマネージャ、またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」
を選択します。Microsoft Entra Connect Syncを有効にし、「今すぐ同期」を選択します。
手動で同期する
Apple School ManagerとMicrosoft Entra IDを手動で同期して、Microsoft Entra IDで加えられた変更を読み込むことができます。
Apple School Manager
で、管理者、サイトマネージャ、またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」を選択します。「Microsoft Entra ID」の下の「今すぐ同期」を選択します。