Microsoft Entra IDを使用した自動ユーザープロビジョニング用に Box を構成する

この記事の目的は、Box と Microsoft Entra IDで実行する必要がある手順を示し、Microsoft Entra IDから Box にユーザーアカウントを自動的にプロビジョニングおよびプロビジョニング解除する方法を説明することです。

注

この記事では、Microsoft Entra ユーザープロビジョニングサービスの上に構築されたコネクタについて説明します。このサービスの機能、しくみ、よく寄せられる質問の詳細については、「 Microsoft Entra ID を使用した SaaS アプリケーションへの自動ユーザープロビジョニングとプロビジョニング解除」を参照してください。

前提条件

Box と Microsoft Entra の統合を構成するには、次のものが必要です。

Microsoft Entra テナント
ボックスビジネスプランまたは進化版

注

この記事の手順をテストするときは、運用環境を使用 しないことを お勧めします。

注

最初に Box アプリケーションでアプリを有効にする必要があります。

注

この統合は、Microsoft Entra US Government Cloud 環境からも利用できます。このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーションギャラリーにあります。パブリッククラウドの場合と同じように構成してください。

この記事の手順をテストするには、次の推奨事項に従います。

必要な場合を除き、運用環境を使用しないでください。
Microsoft Entra 試用版環境がない場合は、 1 か月の試用版を取得できます。

Box へのユーザーの割り当て

Microsoft Entra IDでは、"割り当て" という概念を使用して、選択したアプリにaccessを受け取るユーザーを決定します。自動ユーザーアカウントプロビジョニングのコンテキストでは、Microsoft Entra IDのアプリケーションに "割り当てられている" ユーザーとグループのみが同期されます。

プロビジョニングサービスを構成して有効にする前に、Box アプリにアクセスする必要があるユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定する必要があります。決定し終えたら、次の手順でこれらのユーザーを Box アプリに割り当てることができます。

エンタープライズアプリにユーザーまたはグループを割り当て

ユーザーとグループの割り当て

Azure portalの Box > Users and Groups タブでは、Box にaccessを付与するユーザーとグループを指定できます。ユーザーまたはグループを割り当てると、次の処理が実行されます。

Microsoft Entra IDは、割り当てられたユーザー (直接割り当てまたはグループメンバーシップ) が Box に対する認証を許可します。ユーザーが割り当てられていない場合、Microsoft Entra IDは Box へのサインインを許可せず、Microsoft Entra サインインページでエラーを返します。
Box のアプリタイルがユーザーのアプリケーション起動ツールに追加されます。
自動プロビジョニングが有効になっている場合、割り当てられたユーザーまたはグループはプロビジョニングキューに追加され、自動的にプロビジョニングされます。
- ユーザーオブジェクトのみをプロビジョニングするよう構成した場合は、直接割り当てられたすべてのユーザーがプロビジョニングキューに配置され、さらに、割り当てられたグループのメンバーであるユーザーもすべてプロビジョニングキューに配置されます。
- グループオブジェクトをプロビジョニングするよう構成した場合は、割り当てられたすべてのグループオブジェクトと、それらのグループのメンバーであるユーザーもすべて Box にプロビジョニングされます。 Box への書き込み時に、グループとユーザーのメンバーシップは保持されます。

Attributes > シングルサインオン タブを使用して、SAML ベースの認証時に Box に表示されるユーザー属性 (または要求) を構成できます。および Attributes > Provisioning タブを使用して、プロビジョニング操作中にユーザー属性とグループ属性が Microsoft Entra ID から Box に流れる方法を構成します。

ユーザーを Box に割り当てる際の重要なヒント

1 人の Microsoft Entra ユーザーを Box に割り当ててプロビジョニング構成をテストすることをお勧めします。後でユーザーやグループを追加で割り当てられます。
Box にユーザーを割り当てるときに、有効なユーザーロールを選択する必要があります。 "既定のAccess" ロールは、プロビジョニングでは機能しません。

自動化されたユーザープロビジョニングを有効にする

このセクションでは、Microsoft Entra ID を Box のユーザーアカウントプロビジョニング API に接続し、Microsoft Entra ID のユーザーとグループの割り当てに基づいて Box で割り当てられたユーザーアカウントを作成、更新、無効化するためのプロビジョニングサービスの構成方法について説明します。

自動プロビジョニングが有効になっている場合、割り当てられたユーザーまたはグループはプロビジョニングキューに追加され、自動的にプロビジョニングされます。

ユーザーオブジェクトのみがプロビジョニングされるように構成した場合は、直接割り当てられたすべてのユーザーがプロビジョニングキューに配置され、さらに、割り当てられたグループのメンバーであるユーザーもすべてプロビジョニングキューに配置されます。
グループオブジェクトをプロビジョニングするよう構成した場合は、割り当てられたすべてのグループオブジェクトと、それらのグループのメンバーであるユーザーもすべて Box にプロビジョニングされます。 Box への書き込み時に、グループとユーザーのメンバーシップは保持されます。

ヒント

Azure portal。シングルサインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

自動ユーザーアカウントプロビジョニングを構成するには:

このセクションの目的は、Box へのActive Directoryユーザーアカウントのプロビジョニングを有効にする方法について説明することです。

Microsoft Entra 管理センターに少なくとも Cloud アプリケーション管理者としてサインインします。
Entra ID>エンタープライズアプリケーションに移動します。
シングルサインオンのために Box を既に構成している場合は、検索フィールドで Box のインスタンスを検索します。それ以外の場合は、[ 追加] を選択し、アプリケーションギャラリーで Box を検索します。検索結果から Box を選択してアプリケーションの一覧に追加します。
Box のインスタンスを選択し、[プロビジョニング] タブを選択します。
設定 + 新しい構成。
[ 管理者資格情報 ] セクションで、[ 承認 ] を選択して、新しいブラウザーウィンドウで Box ログインダイアログを開きます。
「ログインして Box へのアクセス権を付与」ページで、必要な資格情報を入力し、認証を選択します。
Boxへのアクセスを許可を選択して、この操作を認可し、Azure ポータルに戻ります。
Test Connection を選択して、Microsoft Entra IDが Box アプリに接続できることを確認します。接続に失敗した場合は、Box アカウントにチーム管理者のアクセス許可があることを確認し、もう一度 "承認" 手順を試してください。
[ 作成] を選択して構成を作成します。
[概要] ページで [プロパティ] を選択します。
鉛筆を選択してプロパティを編集します。通知メールを有効にし、検疫メールを受信する電子メールを提供します。誤削除防止を有効にします。適用を選択して、変更を保存します。
左側のパネルで [属性マッピング ] を選択し、ユーザーを選択 します。
Attribute Mappings セクションで、Microsoft Entra IDから Box に同期されるユーザー属性を確認します。 [照合プロパティ] として選択されている属性は、更新操作で Box のユーザーアカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
スコープフィルターを構成するには、スコープフィルターに関する記事に記載されている次の手順を参照してください。
オンデマンドプロビジョニングを使用して、少数のユーザーとの同期を検証してから、組織内でより広範にデプロイします。
プロビジョニングの準備ができたら、[概要] ページから [プロビジョニングの開始] を選択します。