セットアップ手順 パターン2)「Microsoft 365(Office 365)、トラスト・ログイン:どちらも新規導入」の場合

「Microsoft 365(Office 365)連携」では、
トラスト・ログインを情報源としたMicrosoft 365(Office 365)へのユーザ情報同期、ライセンス割り当ておよびSAML認証が可能となります。

Microsoft 365(Office 365)とトラスト・ログインのどちらも新規で導入される場合は以下の手順で設定を進めてください。

(!)ライセンスはMicrosoft365 管理センターから手動で割り当てないでください。自動制御によって意図せず外れる場合があります。
※詳細はこちらをご確認ください。
(!)連携の設定後は、Microsoft 365(Office 365)側でフェデレーション済みのドメイン内で
新規ユーザ作成は行えなくなります。
(!)トラスト・ログインのMicrosoft 365(Office 365)連携により
プロビジョニング作成されたユーザーにおいて、頻繁にサインインが求められる事象を確認しております。
対処方法についてはこちらをご参照ください。

 


目次:
設定手順
  1.アカウント連携設定
  2.メンバーの追加
  3.SAML連携設定
連携を更新
よくあるご質問


 

設定手順

1.アカウントの連携設定

事前確認

Microsoft 365(Office 365)側のAzureActiveDirectory(以下AD)のフェデレーション状況において、
以下を確認してください

  1. ○○.onmicrosoft.comとプライマリドメインは連携(フェデレーション)が行えません。
    連携対象にしたいドメインがプライマリドメインではないことをご確認してください。

  2. 連携(フェデレーション)させるドメインが既にフェデレーションされていないこと。「状態」が「確認済み」となっていることを確認してください。「確認済み」になっていない場合は、下記の記事を参照して認証を完了させてください。
    テスト用ドメインのセットアップ方法

    01_1.png


設定方法

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「Office 365連携」の「設定」ボタンをクリックします。

    02.png

  2. 「Office 365をセットアップ」をクリックします。(Microsoft 365(Office 365)にリダイレクトされます。)

    03.png

  3. Microsoft 365(Office 365)に管理者アカウントでログインします。
    ※365連携設定に利用する管理者権限アカウントはxxx.onmicrosoft.comを含むUPNアカウントで設定することを推奨いたします。
    04__1_.png

  4. トラスト・ログインからMicrosoft 365(Office 365)へのアクセス許可を「承諾」します。

    05.png

  5. 再度アカウント選択画面が表示されるのでフェデレーションする対象アカウントを選択します。

    04.png

  6. 「組織の代理として同意する」にチェックし、承諾をクリックします。

    06.png

  7. Microsoft 365(Office 365)に登録されているドメイン名の一覧が表示されたらセットアップは完了です。 

 

2.メンバーの追加

事前確認

(!)連携前にトラスト・ログインのメンバーのIDとMicrosoft 365(Office 365)のユーザー名を一致させる必要があります。


連携動作一覧

Microsoft 365(Office 365)
ユーザー
トラスト・ログインユーザー 連携動作
すでにアカウントが存在        
aaa@example.com

Microsoft 365(Office 365)ユーザーとユーザー名

一致        
aaa@example.com

連携が完了し、トラスト・ログインのアカウント情報がMicrosoft 365(Office 365)に連携されます。
aaa@example.com
すでにアカウントが存在 
aaa@example.com

Microsoft 365(Office 365)ユーザーとユーザー名

不一致
aac@example.com

Microsoft 365(Office 365)へ連携されないため、Microsoft 365(Office 365)ユーザー(aaa@example.com)はそのまま残りますが、トラスト・ログインの管理下となりません。

また、トラスト・ログインのユーザー名(aac@example.com)でMicrosoft 365(Office 365)ユーザーが新規作成されます。

アカウントが存在しない

-

新規アカウント作成

abc@example.com

Microsoft 365(Office 365)へ連携され、新規のMicrosoft 365(Office 365)ユーザー(abc@example.com)が作成されます。

 

  Microsoft 365(Office 365)とトラスト・ログインのドメイン名が異なる場合には以下の動作となります。

Microsoft 365(Office 365)
ユーザー
トラスト・ログインユーザー 連携動作

すでに「example.com」ドメインに

アカウントが存在        
aaa@example.com

Microsoft 365(Office 365)ドメイン名とトラスト・ログインユーザー名のドメイン名が不一致

aaa@forexample.com

連携が完了し、トラスト・ログインのアカウント情報がMicrosoft 365(Office 365)に連携されます。
aaa@example.com

すでに「example.com」ドメインに

アカウントが存在        
aaa@example.com

Microsoft 365(Office 365)ドメイン名とトラスト・ログインユーザー名のドメイン名が不一致、@マーク前が不一致
bbb@forexample.com

Microsoft 365(Office 365)へ連携されないため、Microsoft 365(Office 365)ユーザー(aaa@example.com)はそのまま残りますが、トラスト・ログインの管理下となりません。

また、トラスト・ログインのユーザー名(bbb@example.com)でMicrosoft 365(Office 365)ユーザーが新規作成されます。

 

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「Office 365連携」の「設定」ボタンをクリックします。

    01.png

  2. メンバー割り当ては「ドメイン名」「ライセンス」毎に割り当てます。
    ※同じメンバーへ複数ドメイン名、複数ライセンスへの割り当てが可能です。(Microsoft 365(Office 365)のライセンスはその分消費されます)
    ※トラスト・ログインのメンバー名「user_name@tl-domain.com」のuser_name + 割当先のMicrosoft 365(Office 365)ドメイン「o365-domain.com」でOffice365のユーザー「user_name@o365-domain.com」が作成されます。

    対象のドメイン名をクリックします。

    office365-2.png

  3. 対象ドメイン名に紐づいたライセンス一覧が表示されます。割り当てたいライセンスをクリックします。

    office365-3.png

  4. 右上に表示された「メンバー追加」をクリックします。(「グループ追加」でグループごと割り当てることもできます。)

    office365-4.png

  5. 追加するメンバーにチェックを入れ、「登録」ボタンをクリックします。

    03__1_.png

  6. メンバーが追加されたことを確認します。

    04__2_.png

  7. Microsoft 365管理センター上で、メンバーがプロビジョニング登録されます。

    なお、トラスト・ログインとMicrosoft 365(Office 365)連携時、メンバーの情報同期項目マッピング表はこちらをご覧ください。

    30.png


  8. AzureActiveDirectoryポータル上で、メンバーがプロビジョニング同期登録されます。

    31.png


  9. 追加されたメンバーの「マイページ」に「Office 365」アプリが追加されていることを確認します。

    ※対象ドメイン名のSAML連携がONの状態のみ、割当済みのユーザーのマイページにOffice 365 SAMLアプリのアイコンが表示されます。

    12.png

  10. アプリをクリックするとSAML認証でログインします。

    13.png

 

3.SAML連携設定

ご注意

SAML連携設定はドメイン単位で有効となります。

※SAML認証はWEBブラウザ、Outlookなどデスクトップ版アプリ、モバイル版アプリで利用できます。
※Office365連携をしたユーザーがAzure ADに参加させるデバイスにログインできなくなる事象が報告されております。Azure ADに参加させるデバイスでのWindowsサインインにMicrosoft 365(Office 365)連携をしたユーザーを使うことは、弊社ではサポートしておりませんのでご注意ください。


※プライマリドメインとonmicrosoft.com以外のドメインにのみ設定可能です。設定ができないドメイン名では以下の画像の通り、「編集」ボタンや「SSO(SAML)の自動設定を有効にする」という表示がありません。

office365-SAML2.png

 

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「Office 365連携」の「設定」ボタンをクリックします。

    02__1_.png

  2. SAML連携をするドメイン名をクリックします。

    office365-2__1_.png

  3. 「編集」ボタンをクリックします。

    office365-SAML1.png

  4. 「SSO(SAML)の自動設定を有効にする」の横にあるトグルをクリックして緑色の「ON」にしてから「保存」ボタンをクリックします。

    「SSO (SAML)の自動設定を有効にする」をオンにする際、「SSO設定元のドメイン」を選択するようになりました。こちらは、対象ドメインが利用するSSO(SAML)の設定元ドメインを選択します。対象ドメインがサブドメインの場合、親ドメインを指定します。対象ドメインがSSOの設定元である場合は、SSO設定先と設定元は同じドメインになります。既定値は、SSO設定先と設定元に同じドメインが指定されています。
    ※トラスト・ログインのユーザーを親ドメインとサブドメインの両方に割り当てた場合、SSOが動作するのは後から割り当てたドメインのみとなります。

    office365-SAML3.png

  5. 設定が完了するまで画像が表示されますので少々お待ちください。

    office365-SAML4.png

  6. 画像の表示が終わり、「編集」ボタンが表示されたらSAML連携完了です。

    office365-SAML5.png

連携を更新

Microsoft 365(Office 365)側でドメインが追加・削除された場合、連携を更新し最新のドメイン情報を取得できます。またトークン失効時の更新としても使用できます。

  1. 「連携を更新」を押下します。
    koushin01.png

  2. Office 365管理者の許可承諾するために「はい」を押下します。
    koushin02.png

  3. アカウント連携設定の設定方法の3以降同様の手順を行います。

よくあるご質問

Microsoft 365(Office 365)連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。

Microsoft 365(Office 365)連携機能のよくあるご質問と回答集

セットアップ手順 パターン2)「Microsoft 365(Office 365)、トラスト・ログイン:どちらも新規導入」の場合

「Microsoft 365(Office 365)連携」では、
トラスト・ログインを情報源としたMicrosoft 365(Office 365)へのユーザ情報同期、ライセンス割り当ておよびSAML認証が可能となります。

Microsoft 365(Office 365)とトラスト・ログインのどちらも新規で導入される場合は以下の手順で設定を進めてください。

(!)ライセンスはMicrosoft365 管理センターから手動で割り当てないでください。自動制御によって意図せず外れる場合があります。
※詳細はこちらをご確認ください。
(!)連携の設定後は、Microsoft 365(Office 365)側でフェデレーション済みのドメイン内で
新規ユーザ作成は行えなくなります。
(!)トラスト・ログインのMicrosoft 365(Office 365)連携により
プロビジョニング作成されたユーザーにおいて、頻繁にサインインが求められる事象を確認しております。
対処方法についてはこちらをご参照ください。

 


目次:
設定手順
  1.アカウント連携設定
  2.メンバーの追加
  3.SAML連携設定
連携を更新
よくあるご質問


 

設定手順

1.アカウントの連携設定

事前確認

Microsoft 365(Office 365)側のAzureActiveDirectory(以下AD)のフェデレーション状況において、
以下を確認してください

  1. ○○.onmicrosoft.comとプライマリドメインは連携(フェデレーション)が行えません。
    連携対象にしたいドメインがプライマリドメインではないことをご確認してください。

  2. 連携(フェデレーション)させるドメインが既にフェデレーションされていないこと。「状態」が「確認済み」となっていることを確認してください。「確認済み」になっていない場合は、下記の記事を参照して認証を完了させてください。
    テスト用ドメインのセットアップ方法

    01_1.png


設定方法

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「Office 365連携」の「設定」ボタンをクリックします。

    02.png

  2. 「Office 365をセットアップ」をクリックします。(Microsoft 365(Office 365)にリダイレクトされます。)

    03.png

  3. Microsoft 365(Office 365)に管理者アカウントでログインします。
    ※365連携設定に利用する管理者権限アカウントはxxx.onmicrosoft.comを含むUPNアカウントで設定することを推奨いたします。
    04__1_.png

  4. トラスト・ログインからMicrosoft 365(Office 365)へのアクセス許可を「承諾」します。

    05.png

  5. 再度アカウント選択画面が表示されるのでフェデレーションする対象アカウントを選択します。

    04.png

  6. 「組織の代理として同意する」にチェックし、承諾をクリックします。

    06.png

  7. Microsoft 365(Office 365)に登録されているドメイン名の一覧が表示されたらセットアップは完了です。 

 

2.メンバーの追加

事前確認

(!)連携前にトラスト・ログインのメンバーのIDとMicrosoft 365(Office 365)のユーザー名を一致させる必要があります。


連携動作一覧

Microsoft 365(Office 365)
ユーザー
トラスト・ログインユーザー 連携動作
すでにアカウントが存在        
aaa@example.com

Microsoft 365(Office 365)ユーザーとユーザー名

一致        
aaa@example.com

連携が完了し、トラスト・ログインのアカウント情報がMicrosoft 365(Office 365)に連携されます。
aaa@example.com
すでにアカウントが存在 
aaa@example.com

Microsoft 365(Office 365)ユーザーとユーザー名

不一致
aac@example.com

Microsoft 365(Office 365)へ連携されないため、Microsoft 365(Office 365)ユーザー(aaa@example.com)はそのまま残りますが、トラスト・ログインの管理下となりません。

また、トラスト・ログインのユーザー名(aac@example.com)でMicrosoft 365(Office 365)ユーザーが新規作成されます。

アカウントが存在しない

-

新規アカウント作成

abc@example.com

Microsoft 365(Office 365)へ連携され、新規のMicrosoft 365(Office 365)ユーザー(abc@example.com)が作成されます。

 

  Microsoft 365(Office 365)とトラスト・ログインのドメイン名が異なる場合には以下の動作となります。

Microsoft 365(Office 365)
ユーザー
トラスト・ログインユーザー 連携動作

すでに「example.com」ドメインに

アカウントが存在        
aaa@example.com

Microsoft 365(Office 365)ドメイン名とトラスト・ログインユーザー名のドメイン名が不一致

aaa@forexample.com

連携が完了し、トラスト・ログインのアカウント情報がMicrosoft 365(Office 365)に連携されます。
aaa@example.com

すでに「example.com」ドメインに

アカウントが存在        
aaa@example.com

Microsoft 365(Office 365)ドメイン名とトラスト・ログインユーザー名のドメイン名が不一致、@マーク前が不一致
bbb@forexample.com

Microsoft 365(Office 365)へ連携されないため、Microsoft 365(Office 365)ユーザー(aaa@example.com)はそのまま残りますが、トラスト・ログインの管理下となりません。

また、トラスト・ログインのユーザー名(bbb@example.com)でMicrosoft 365(Office 365)ユーザーが新規作成されます。

 

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「Office 365連携」の「設定」ボタンをクリックします。

    01.png

  2. メンバー割り当ては「ドメイン名」「ライセンス」毎に割り当てます。
    ※同じメンバーへ複数ドメイン名、複数ライセンスへの割り当てが可能です。(Microsoft 365(Office 365)のライセンスはその分消費されます)
    ※トラスト・ログインのメンバー名「user_name@tl-domain.com」のuser_name + 割当先のMicrosoft 365(Office 365)ドメイン「o365-domain.com」でOffice365のユーザー「user_name@o365-domain.com」が作成されます。

    対象のドメイン名をクリックします。

    office365-2.png

  3. 対象ドメイン名に紐づいたライセンス一覧が表示されます。割り当てたいライセンスをクリックします。

    office365-3.png

  4. 右上に表示された「メンバー追加」をクリックします。(「グループ追加」でグループごと割り当てることもできます。)

    office365-4.png

  5. 追加するメンバーにチェックを入れ、「登録」ボタンをクリックします。

    03__1_.png

  6. メンバーが追加されたことを確認します。

    04__2_.png

  7. Microsoft 365管理センター上で、メンバーがプロビジョニング登録されます。

    なお、トラスト・ログインとMicrosoft 365(Office 365)連携時、メンバーの情報同期項目マッピング表はこちらをご覧ください。

    30.png


  8. AzureActiveDirectoryポータル上で、メンバーがプロビジョニング同期登録されます。

    31.png


  9. 追加されたメンバーの「マイページ」に「Office 365」アプリが追加されていることを確認します。

    ※対象ドメイン名のSAML連携がONの状態のみ、割当済みのユーザーのマイページにOffice 365 SAMLアプリのアイコンが表示されます。

    12.png

  10. アプリをクリックするとSAML認証でログインします。

    13.png

 

3.SAML連携設定

ご注意

SAML連携設定はドメイン単位で有効となります。

※SAML認証はWEBブラウザ、Outlookなどデスクトップ版アプリ、モバイル版アプリで利用できます。
※Office365連携をしたユーザーがAzure ADに参加させるデバイスにログインできなくなる事象が報告されております。Azure ADに参加させるデバイスでのWindowsサインインにMicrosoft 365(Office 365)連携をしたユーザーを使うことは、弊社ではサポートしておりませんのでご注意ください。


※プライマリドメインとonmicrosoft.com以外のドメインにのみ設定可能です。設定ができないドメイン名では以下の画像の通り、「編集」ボタンや「SSO(SAML)の自動設定を有効にする」という表示がありません。

office365-SAML2.png

 

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「Office 365連携」の「設定」ボタンをクリックします。

    02__1_.png

  2. SAML連携をするドメイン名をクリックします。

    office365-2__1_.png

  3. 「編集」ボタンをクリックします。

    office365-SAML1.png

  4. 「SSO(SAML)の自動設定を有効にする」の横にあるトグルをクリックして緑色の「ON」にしてから「保存」ボタンをクリックします。

    「SSO (SAML)の自動設定を有効にする」をオンにする際、「SSO設定元のドメイン」を選択するようになりました。こちらは、対象ドメインが利用するSSO(SAML)の設定元ドメインを選択します。対象ドメインがサブドメインの場合、親ドメインを指定します。対象ドメインがSSOの設定元である場合は、SSO設定先と設定元は同じドメインになります。既定値は、SSO設定先と設定元に同じドメインが指定されています。
    ※トラスト・ログインのユーザーを親ドメインとサブドメインの両方に割り当てた場合、SSOが動作するのは後から割り当てたドメインのみとなります。

    office365-SAML3.png

  5. 設定が完了するまで画像が表示されますので少々お待ちください。

    office365-SAML4.png

  6. 画像の表示が終わり、「編集」ボタンが表示されたらSAML連携完了です。

    office365-SAML5.png

連携を更新

Microsoft 365(Office 365)側でドメインが追加・削除された場合、連携を更新し最新のドメイン情報を取得できます。またトークン失効時の更新としても使用できます。

  1. 「連携を更新」を押下します。
    koushin01.png

  2. Office 365管理者の許可承諾するために「はい」を押下します。
    koushin02.png

  3. アカウント連携設定の設定方法の3以降同様の手順を行います。

よくあるご質問

Microsoft 365(Office 365)連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。

Microsoft 365(Office 365)連携機能のよくあるご質問と回答集