Microsoft Entra IDと同期

この記事は、Directory Connectorを使用して、Microsoft Entra ID DirectoryからのユーザーとグループをBitwarden組織に同期する方法を開始するのに役立ちます。

Microsoft Azure PortalからDirectory Connectorを設定する前に以下のプロセスを完了してください。ディレクトリコネクタは、これらのプロセスから得られる情報を適切に機能するために必要とします。

次の手順を完了して、ディレクトリコネクターのアプリ登録を作成します:

1. あなたのMicrosoft Azureポータルから、Microsoft Entra IDディレクトリに移動してください。

2. 左側のナビゲーションから、アプリ登録を選択してください。

3. 新規登録ボタンを選択し、登録にBitwarden固有の名前（例えば、bitwarden-dc）を付けてください。

4. 登録を選択してください。

作成したアプリ登録に必要な権限を付与するための次の手順を完了してください：

1. 作成したBitwardenアプリで、左側のナビゲーションからAPI 権限を選択してください。

2. 権限を追加ボタンを選択してください。

3. APIを選択するように求められたときは、Microsoft Graphを選択してください。

4. 次の委任された権限を設定します：

   • ユーザー > User.ReadBasic.All (すべてのユーザーの基本プロフィールを読む)

   • ユーザー > User.Read.All (全ユーザーの完全なプロフィールを読む)

   • グループ > グループ.全て読む (全てのグループを読む)

   • AdministrativeUnit > AdministrativeUnit.Read.All (あなたが管理ユニットを同期する場合のみ必要です)

5. 次のアプリケーションの権限を設定します：

   • ユーザー > User.Read.All (全ユーザーのフルプロファイルを読む)

   • グループ > グループ.全て読む (全てのグループを読む)

   • AdministrativeUnit > Administrative.Unit.Read.All（管理ユニットを同期する場合のみ必要です）

6. API権限ページに戻り、管理者の同意を求める...ボタンを選択します。

次の手順を完了して、Directory Connectorで使用する秘密鍵を作成します:

1. 作成されたBitwardenアプリで、左側のナビゲーションから証明書とシークレットを選択します。

2. 新しいクライアントシークレットボタンを選択し、Bitwarden特有の説明（例えば、bitwarden-dc-secret）と有効期限を追加します。私たちは決してを選択することをお勧めします。

3. 終了したら、保存を選択してください。

4. 秘密の値を後で使用するために安全な場所にコピーしてください。

次の手順を完了して、ディレクトリコネクターで使用するアプリIDを取得します:

1. 作成されたBitwardenアプリで、左側のナビゲーションから概要を選択します。

2. アプリケーション（クライアント）IDを安全な場所にコピーして、後で使用するために保存してください。

次の手順を完了して、ディレクトリコネクターが使用するテナントホスト名を取得します:

1. Azureポータルのどこからでも、右上のナビゲーションバーにあるアイコンを選択してください。

2. メニューの左側にあるディレクトリ + サブスクリプションフィルターボタンを選択してください。

3. 現在のディレクトリ: の値を後で使用するために安全な場所にコピーしてください。

次の手順を完了して、ディレクトリコネクタをMicrosoft Entra IDを使用するように設定します。まだ行っていない場合は、進む前に適切なMicrosoft Entra ID設定の手順を踏んでください：

1. ディレクトリコネクタデスクトップアプリを開きます。

2. 設定タブに移動してください。

3. タイプのドロップダウンから、Azure Active Directoryを選択してください。

   このセクションで利用可能なフィールドは、選択したタイプによって変わります。

4. 収集されたテナント ホスト名、アプリケーションId、そして秘密鍵を入力してください。

次の手順を完了して、Directory Connectorを使用して同期する際に使用する設定を構成します:

1. ディレクトリコネクタデスクトップアプリを開きます。

2. 設定タブに移動してください。

3. 同期セクションで、必要に応じて以下のオプションを設定します:

ユーザーのメールアドレス、グループ名、またはグループのメンバーシップに基づいて、カンマ区切りのリストを使用して同期から含めるか除外します。

ユーザーフィルター

次のフィルタリング構文は、ユーザーフィルターフィールドで使用する必要があります:

メールアドレスによるユーザーの含める/除く

メールアドレスに基づいて特定のユーザーを同期に含めるか除外するには：

Bash
include:joe@example.com,bill@example.com,tom@example.com

Bash
exclude:jow@example.com,bill@example.com,tom@example.com

ユーザーはグループメンバーシップによる

includeGroupおよびexcludeGroupキーワードを使用して、Microsoft Entra IDグループメンバーシップに基づいてユーザーを同期に含めたり除外したりすることができます。 includeGroupとexcludeGroupは、グループの概要ページから利用可能なGroup Object IDを使用します。これはAzure PortalまたはAzure AD Powershellを通じて利用できます。

Bash
includeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc

Bash
excludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc

グループフィルター

次のフィルタリング構文は、グループフィルタフィールドで使用する必要があります：

グループを含む/除外する

グループ名に基づいて、グループを同期に含めるか除外する方法：

Bash
include:Group A,Group B

Bash
exclude:Group A,Group B

管理単位（AU）ごとにグループ化

タグ付けされたMicrosoft Entra ID 管理ユニットに基づいて、includeadministrativeunitおよびexcludeadministrativeunitキーワードを使用して、グループを同期に含めるか除外することができます。includeadministrativeunitおよびexcludeadministrativeunitは、管理ユニットのオブジェクトIDを使用します。

Bash
includeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d

Bash
excludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d

Directory Connectorがあなたのディレクトリに成功裏に接続し、希望のユーザーとグループを返すかどうかをテストするには、ダッシュボードタブに移動し、今すぐテストボタンを選択します。成功した場合、ユーザーとグループは、指定された同期オプションとフィルターに従って、ディレクトリコネクタウィンドウに表示されます。

あなたのアプリケーションの権限が適切に伝播するまでに最大15分かかるかもしれません。その間、あなたは操作を完了するための権限が不足しているというエラーを受け取るかもしれません。

一度同期オプションとフィルターが設定され、テストされたら、同期を開始できます。次の手順を完了して、ディレクトリコネクターとの自動同期を開始します:

1. ディレクトリコネクタデスクトップアプリを開きます。

2. ダッシュボードタブに移動してください。

3. 同期セクションで、同期開始ボタンを選択します。

   あるいは、一度だけ手動で同期を実行するために、今すぐ同期ボタンを選択することもできます。

Directory Connectorは、設定された同期オプションとフィルターに基づいて、あなたのディレクトリのポーリングを開始します。

アプリケーションを終了または閉じると、自動同期は停止します。ディレクトリコネクタをバックグラウンドで実行し続けるには、アプリケーションを最小化するか、システムトレイに隠してください。