Entra ID SSO設定ガイド
Microsoft Entra ID(旧Azure AD)を使用したシングルサインオン(SSO)を設定し、企業の既存アカウントでSURP MDMにログインできるようにします。
📋 概要
Entra ID SSOを有効にすると、ユーザーは企業のMicrosoftアカウントでSURP MDMにログインできます。パスワードを別途管理する必要がなく、多要素認証(MFA)などのセキュリティポリシーも適用されます。
メリット
- パスワード管理不要: 企業のアカウントでログイン
- セキュリティ強化: Entra IDのMFA、条件付きアクセスが適用される
- ユーザー管理の一元化: 退職者のアカウントは自動的に無効化
- シームレスなログイン: ブラウザにサインイン済みなら自動ログイン
🎯 前提条件
必要なプラン
Entra ID SSO機能は Enterprise プランで利用できます。
必要な権限
- Entra ID(Azure AD): アプリケーション管理者またはグローバル管理者
- SURP MDM: Admin ロール
🔧 設定手順
ステップ1: Entra IDでアプリを登録
1-1. Azure Portalにログイン
- Azure Portal にアクセス
- Microsoft Entra ID を開く
1-2. アプリ登録
-
「アプリの登録」 → 「新規登録」
-
以下を入力:
- 名前:
SURP MDM - サポートされるアカウントの種類: 「この組織ディレクトリのみのアカウント」
- リダイレクトURI:
- Web を選択
- URL:
https://mdm.surp.tech/api/v1/auth/entra/callback
- 名前:
-
「登録」をクリック
1-3. 必要な情報をメモ
アプリ登録が完了すると、以下の情報が表示されます。これらをメモしてください:
- アプリケーション(クライアント)ID:
12345678-1234-1234-1234-123456789abc - ディレクトリ(テナント)ID:
87654321-4321-4321-4321-ba987654321c
1-4. クライアントシークレットを作成
- 「証明書とシークレット」 を開く
- 「新しいクライアントシークレット」
- 説明:
SURP MDM SSO - 有効期限: 24ヶ月(推奨)
- 「追加」をクリック
- 「値」 をコピーしてメモ(⚠️ 一度しか表示されません)
ステップ2: SURP MDMでEntra ID統合を設定
2-1. 設定画面を開く
- SURP MDM管理画面にログイン(Admin ロール)
- 設定 > Entra ID統合 を開く
2-2. 統合情報を入力
-
「Entra ID統合を有効化」 をオン
-
以下の情報を入力:
- テナントID:
87654321-4321-4321-4321-ba987654321c - クライアントID:
12345678-1234-1234-1234-123456789abc - クライアントシークレット: (ステップ1-4でコピーした値)
- テナントID:
-
「保存」をクリック
2-3. 動作確認
- 「接続テスト」ボタンをクリック
- 正常に接続できれば、✅ 「接続成功」 と表示されます
🚀 ログイン方法(ユーザー向け)
Entra ID SSOでログイン
Entra ID SSOが有効な場合、以下の手順でログインします。
ステップ1: メールアドレスを入力
- ログイン画面 にアクセス
- メールアドレスを入力
- 「続ける」 をクリック
ステップ2: Entra IDでログイン
- 「Entra IDでログイン」ボタン が自動的に表示されます
- ボタンをクリック
- Microsoftのログイン画面にリダイレクト
- 企業のアカウントでログイン(必要に応じてMFA入力)
- 自動的にSURP MDMのダッシュボードにリダイレクト
🔄 Just-In-Time (JIT) プロビジョニング
Entra ID SSOでは、JITプロビジョニングが自動的に有効になります。
JITプロビジョニングとは
初回ログイン時に、自動的にSURP MDMのユーザーアカウントが作成される機能です。
動作
-
初回ログイン時:
- Entra IDの情報から自動的にユーザー作成
- 氏名、メールアドレスが自動設定
- デフォルトロール: Viewer
-
2回目以降:
- 既存アカウントに自動ログイン
- Entra IDの情報でプロフィールを更新
初回ログイン後の設定
初回ログイン後、管理者は以下を設定してください:
- ロールの変更: ダッシュボード > ユーザー > ユーザーを選択 → ロール変更(Editor, Admin など)
- 権限の付与: 必要に応じて追加の権限を設定
🔄 Entra IDユーザー同期
Entra ID統合を有効にすると、自動的にユーザー同期機能が利用できます。
自動同期機能
Entra ID側でユーザーが削除された場合、SURP MDMでも自動的に無効化されます(退職者対応)。
同期内容:
- 新規ユーザー: JITプロビジョニングで自動作成(初回ログイン時)
- 削除ユーザー: Entra IDから削除されたユーザーを自動検出して無効化
- グループ同期: Entra IDグループに基づいた自動ロール割り当て(設定時)
- プロフィール更新: 表示名などの情報を自動更新
削除ユーザーの自動検出
退職者などEntra IDから削除されたユーザーを自動的に検出し、SURP MDMでも無効化します。
動作:
- 定期的にEntra IDのユーザー情報を確認
- Entra IDに存在しないユーザーを検出
- 該当ユーザーを自動的に無効化
sync_statusをdeletedに更新
注意事項:
- ゲストアカウント(
#EXT#を含むUPN)は同期対象外 - 無効化されたユーザーはログインできなくなりますが、データは保持されます
手動同期
管理者は手動で同期を実行できます:
同期手順
- SURP MDM管理画面にログイン(Admin ロール)
- 設定 > Entra ID統合 を開く
- 「今すぐ同期」ボタンをクリック
- バックグラウンドで同期処理が実行されます
- 完了後、同期結果が表示されます
同期結果の例:
✅ 同期完了
- チェック済み: 150人
- 無効化: 3人
- エラー: 0件
グループベースのロール割り当て
Entra IDのグループに基づいて、自動的にロールを割り当てることができます。
設定手順
- 設定 > Entra ID統合 > グループマッピングを開く
- **「グループマッピング追加」**をクリック
- Entra IDのグループを選択
- 割り当てるロール(Admin / Editor / Viewer)を選択
- **「保存」**をクリック
例:
- Entra IDグループ「IT管理者」→ SURP MDM ロール「Admin」
- Entra IDグループ「営業部」→ SURP MDM ロール「Editor」
- Entra IDグループ「全社員」→ SURP MDM ロール「Viewer」
優先順位: 複数のグループに所属している場合、最も高い権限のロールが適用されます(Admin > Editor > Viewer)。
🛡️ セキュリティ設定
推奨設定
1. 条件付きアクセス(Entra ID)
Entra IDで条件付きアクセスポリシーを設定すると、SURP MDMへのアクセスも自動的に制限されます。
例:
- 社内ネットワークからのみアクセス許可
- 特定のデバイスからのみアクセス許可
- MFAを必須化
2. MFA(多要素認証)
Entra IDでMFAを有効化すると、SURP MDMログイン時にも適用されます。
設定方法:
- Entra ID > セキュリティ > 多要素認証
- ユーザーごとまたは全体で有効化
3. クライアントシークレットの定期更新
セキュリティ強化のため、クライアントシークレットを定期的に更新してください(推奨: 6ヶ月〜1年)。
更新手順:
- Azure Portal でEntra IDアプリを開く
- 「証明書とシークレット」→ 新しいシークレットを作成
- SURP MDM設定画面で新しいシークレットを保存
- 古いシークレットを削除
👥 ユーザー管理
新しいユーザーの追加
Entra ID SSOを使用する場合、ユーザーの追加は以下の2つの方法があります。
方法1: JITプロビジョニング(推奨)
- Entra IDにユーザーを追加
- ユーザーに SURP MDM のURLを共有
- ユーザーが初回ログイン時に自動的にアカウント作成
- 管理者がロールを設定
方法2: 手動招待
- SURP MDM管理画面 > ユーザー > 「招待」
- メールアドレスを入力(Entra IDのメールと同じもの)
- ユーザーがEntra ID SSOでログイン
ユーザーの無効化
退職者などのユーザーを無効化する場合:
Entra IDで無効化(推奨)
- Entra IDでユーザーを無効化またはライセンス削除
- 自動的にSURP MDMにもログインできなくなります
SURP MDMで無効化
- SURP MDM管理画面 > ユーザー
- ユーザーを選択 → 「無効化」
⚠️ トラブルシューティング
Q1. 「接続テスト」が失敗します
エラーメッセージ:
Entra ID connection failed
原因と対処方法:
-
テナントIDが間違っている
- Azure Portalで正しいテナントIDを確認
-
クライアントIDが間違っている
- Azure Portalでアプリケーション(クライアント)IDを確認
-
クライアントシークレットが間違っている
- Azure Portalで新しいシークレットを作成し直す
-
リダイレクトURIが設定されていない
- Azure Portal > アプリの登録 > 認証 > リダイレクトURIを確認
https://mdm.surp.tech/api/v1/auth/entra/callbackが設定されているか
Q2. ログイン時に「Entra IDでログイン」ボタンが表示されません
原因:
- メールアドレスがSURP MDMに登録されていない
- Entra ID統合が有効になっていない
対処方法:
- 管理者に連絡して、Entra ID統合が有効か確認
- メールアドレスがEntra IDのものと一致しているか確認
Q3. ログイン後、権限がありません
原因: 初回ログイン時のデフォルトロールは Viewer です。
対処方法:
- 管理者に連絡
- 管理者がダッシュボード > ユーザー からロールを変更
Q4. 退職者がログインできてしまいます
原因: Entra IDで無効化されていない
対処方法:
- Entra IDで該当ユーザーを無効化またはライセンス削除
- または、SURP MDM管理画面でユーザーを無効化
💡 ベストプラクティス
1. 段階的な移行
既存のパスワードログインからEntra ID SSOに移行する場合、以下の順序で進めます:
- テスト環境で動作確認
- 一部のユーザーで試験運用(IT部門など)
- 全社展開
- パスワードログインを無効化(必要に応じて)
2. ユーザーへの周知
SSO導入前に、以下をユーザーに周知します:
- 新しいログイン方法(Entra ID SSO)
- 初回ログイン手順
- トラブル時の連絡先
3. 管理者の複数配置
Entra ID統合の設定ミスでログインできなくなる可能性があるため、Admin ロールのユーザーを複数配置することを推奨します。
4. 監査ログの定期確認
Entra ID SSOのログイン履歴を定期的に確認し、不正アクセスがないかチェックします。
🔗 関連ガイド
- ユーザー管理 - ユーザーの招待とロール設定
- RBAC(権限管理) - ロールと権限の詳細
- 初期セットアップ - システムの初期設定
📞 サポート
Entra ID SSO設定に関する質問は、よくある質問をご覧いただくか、システム管理者にお問い合わせください。