Microsoft Entra IDと同期
この記事は、Directory Connectorを使用して、Microsoft Entra ID DirectoryからのユーザーとグループをBitwarden組織に同期する方法を開始す るのに役立ちます。
Microsoft Azure PortalからDirectory Connectorを設定する前に以下のプロセスを完了してください。ディレクトリコネクタは、これらのプロセスから得られる情報を適切に機能するために必要とします。
次の手順を完了して、ディレクトリコネクターのアプリ登録を作成します:
あなたのMicrosoft Azureポータルから、Microsoft Entra IDディレクトリに移動してください。
左側のナビゲーションから、アプリ登録を選択してください。
新規登録ボタンを選択し、登録にBitwarden固有の名前(例えば、
bitwarden-dc
)を付けてください。登録を選択してください。
作成したアプリ登録に必要な権限を付与するための次の手順を完了してください:
作成したBitwardenアプリで、左側のナビゲーションからAPI 権限を選択してください。
権限を追加ボタンを選択してください。
APIを選択するように求められたときは、Microsoft Graphを選択してください。
次の委任された権限を設定します:
ユーザー > User.ReadBasic.All (すべてのユーザーの基本プロフィールを読む)
ユーザー > User.Read.All (全ユーザーの完全なプロフィールを読む)
グループ > グループ.全て読む (全てのグループを読む)
AdministrativeUnit > AdministrativeUnit.Read.All (あなたが管理ユニットを同期する場合のみ必要です)
次のアプリケーションの権限を設定します:
ユーザー > User.Read.All (全ユーザーのフルプロファイルを読む)
グループ > グループ.全て読む (全てのグループを読む)
AdministrativeUnit > Administrative.Unit.Read.All(管理ユニットを同期する場合のみ必要です)
API権限ページに戻り、管理者の同意を求める...ボタンを選択します。
次の手順を完了して、Directory Connectorで使用する秘密鍵を作成します:
作成されたBitwardenアプリで、左側のナビゲーションから証明書とシークレットを選択します。
新しいクライアントシークレットボタンを選択し、Bitwarden特有の説明(例えば、
bitwarden-dc-secret
)と有効期限を追加します。私たちは決してを選択することをお勧めします。終了したら、保存を選択してください。
秘密の値を後で使用するために安全な場所にコピーしてください。
次の手順を完了して、ディレクトリコネクターで使用するアプリIDを取得します:
作成されたBitwardenアプリで、左側のナビゲーションから概要を選択します。
アプリケーション(クライアント)IDを安全な場所にコピーして、後で使用するために保存してください。
次の手順を完了して、ディレクトリコネクターが使用するテナントホスト名を取得します:
Azureポータルのどこからでも、右上のナビゲーションバーにある
アイコンを選択してください。メニューの左側にあるディレクトリ + サブスクリプションフィルターボタンを選択してください。
現在のディレクトリ: の値を後で使用するために安全な場所にコピーしてください。
次の手順を完了して、ディレクトリコネクタをMicrosoft Entra IDを使用するように設定します。まだ行っていない場合は、進む前に適切なMicrosoft Entra ID設定の手順を踏んでください:
ディレクトリコネクタデスクトップアプリを開きます。
設定タブに移動してください。
タイプのドロップダウンから、Azure Active Directoryを選択してください。
このセクションで利用可能なフィールドは、選択したタイプによって変わります。
収集されたテナント ホスト名、アプリケーションId、そして秘密鍵を入力してください。
チップ
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
次の手順を完了して、Directory Connectorを使用して同期する際に使用する設定を構成します:
ディレクトリコネクタデスクトップアプリを開きます。
設定タブに移動してください。
同期セクションで、必要に応じて以下のオプションを設定します:
オプション | 説明 |
---|---|
間隔 | 自動同期チェック間の時間(分単位)。 |
同期中に無効なユーザーを削除します | あなたのディレクトリで無効にされたユーザーをBitwarden組織から削除するためには、このボックスをチェックしてください。 |
現在の同期設定に基づいて既存の組織ユーザーを上書きします | このボックスをチェックすると、常にフル同期を実行し、同期されたユーザーセットにいない場合はBitwarden組織からユーザーを削除します。 |
2000人以上のユーザーまたはグループが同期する予定です。 | このボックスをチェックしてください、もし2000以上のユーザーまたはグループを同期する予定がある場合。このボックスをチェックしないと、ディレクトリコネクタは同期を2000ユーザーまたはグループに制限します。 |
ユーザーを同期する | このボックスをチェックして、ユーザーをあなたの組織と同期させてください。 |
ユーザーフィルター | |
グループを同期する | このボックスをチェックして、グループをあなたの組織に同期します。このボックスをチェックすると、グループフィルタを指定できます。 |
グループフィルター |
ユーザーのメールアドレス、グループ名、またはグループのメンバーシップに基づいて、カンマ区切りのリストを使用して同期から含めるか除外します。
ユーザーフィルター
次のフィルタリング構文は、ユーザーフィルターフィールドで使用する必要があります:
メールアドレスによるユーザーの含める/除く
メールアドレスに基づいて特定のユーザーを同期に含めるか除外するには:
Bashinclude:joe@example.com,bill@example.com,tom@example.com
Bashexclude:jow@example.com,bill@example.com,tom@example.com
ユーザーはグループメンバーシップによる
includeGroup
およびexcludeGroup
キーワードを使用して、Microsoft Entra IDグループメンバーシップに基づいてユーザーを同期に含めたり除外したりすることができます。 includeGroup
とexcludeGroup
は、グループの概要ページから利用可能なGroup Object IDを使用します。これはAzure PortalまたはAzure AD Powershellを通じて利用できます。
BashincludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
BashexcludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
グループフィルター
備考
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating an administrative unit with all of your groups listed.
次のフィルタリング構文は、グループフィルタフィールドで使用する必要があります:
グループを含む/除外する
グループ名に基づいて、グループを同期に含めるか除外する方法:
Bashinclude:Group A,Group B
Bashexclude:Group A,Group B
管理単位(AU)ごとにグループ化
タグ付けされたMicrosoft Entra ID 管理ユニットに基づいて、includeadministrativeunit
およびexcludeadministrativeunit
キーワードを使用して、グループを同期に含めるか除外することができます。includeadministrativeunit
およびexcludeadministrativeunit
は、管理ユニットのオブジェクトIDを使用します。
Bashincludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d
Bashexcludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d
チップ
同期をテストまたは実行する前に、Directory Connector が正しいクラウドサーバー(例:US または EU)、あるいは自己ホスト型サーバーに接続されていることを確認します。デスクトップアプリまたは CLI を使用して、方法を確認します。
Directory Connectorがあなたのディレクトリに成功裏に接続し、希望のユーザーとグループを返すかどうかをテストするには、ダッシュボードタブに移動し、今すぐテストボタンを選択します。成功した場合、ユーザーとグループは、指定された同期オプションとフィルターに従って、ディレクトリコネクタウィンドウに表示されます。
あなたのアプリケーションの権限が適切に伝播するまでに最大15分かかるかもしれません。その間、あなたは操作を完了するための権限が不足している
というエラーを受け取るかもしれません。
備考
If you get the error message Resource <user id> does not exist or one of its queried reference-property objects are not present
, you'll need to permanently delete or restore the user(s) with <user id>
. Please note, this was fixed in a recent version of Directory Connector. Update your application if you're still experiencing this error.
一度同期オプションとフィルターが設定され、テストされたら、同期を開始できます。次の手順を完了して、ディレクトリコネクターとの自動同期を開始します:
ディレクトリコネクタデスクトップアプリを開きます。
ダッシュボードタブに移動してください。
同期セクションで、同期開始ボタンを選択します。
あるいは、一度だけ手動で同期を実行するために、今すぐ同期ボタンを選択することもできます。
Directory Connectorは、設定された同期オプションとフィルターに基づいて、あなたのディレクトリのポーリングを開始します。
アプリケーションを終了または閉じると、自動同期は停止します。ディレクトリコネクタをバックグラウンドで実行し続けるには、アプリケーションを最小化するか、システムトレイに隠してください。
備考
Teams Starter プランの場合、メンバーは10人に制限されます。10人以上のメンバーを同期しようとすると、Directory Connector はエラーを表示して同期を停止します。
このページの変更を提案する
どうすればこのページを改善できますか?
技術、請求、製品に関するご質問は、サポートまでお問い合わせください。