PowerDMARCは、SCIMによるドメイングループの割り当てに対応しました。これにより、IDプロバイダーから直接、ユーザーがどのドメイングループに所属するかを管理できるようになります。このガイドでは、Azure Entra IDでドメイングループのマッピングを設定し、ユーザーのプロビジョニングや更新時にグループの割り当てがPowerDMARCに自動的に同期されるようにする方法について説明します。
手順 1: 「カスタムドメイングループ」属性を追加する
- Azure ポータルで、[ホーム] > [エンタープライズ アプリケーション] に移動し、PowerDMARC アプリケーションを開きます。
- 左ペインの[プロビジョニング] をクリックし、[属性マッピング] をクリックします。
- 「Microsoft Entra ID ユーザーのプロビジョニング」リンクをクリックします。
- ページの下部にある「詳細オプションを表示」チェックボックスにチェックを入れ、次に「customappsso の属性リストを編集」リンクをクリックします。
- 属性リストの一番下までスクロールし、最初の空欄に次の値を入力して、「保存」をクリックしてください:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups
ステップ 2:属性をソースフィールドにマッピングする
- 保存すると、「属性マッピング」ページに戻ります。「新しいマッピングを追加」リンクをクリックしてください。
- での 属性の編集 フォームで、マッピングを次のように設定します:
- 対象属性:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups - 「ソース属性」:ドメイングループの値を入力する予定の文字列型フィールド(例:部署)を選択してください。
- 対象属性:
⚠️注: 部署などの標準プロファイルフィールドがすでに使用されている場合や、文字数制限がある場合は、代わりにextensionAttribute1~15のいずれかのフィールドを使用し、Azure Graph API を通じて更新することができます。
ユーザーへのドメイングループの割り当て
選択したソース属性に応じて、ドメイングループを割り当てる方法は2つあります:
標準ユーザー属性(例:部署)を通じて
- Azure ポータルで、[ホーム] > [ユーザー] に移動し、更新したいユーザーをクリックします。
- [プロパティの編集] ボタンをクリックします。
- 「ソース属性」として選択したフィールドを見つけ、ドメイングループをカンマ区切りで入力してください。例:
グループ1、グループ2.
⚠️ 注 ドメイングループ名とコンマの間にスペースを入れないでください。たとえば、次のように記述してください。
グループ1、グループ2 ではない グループ1、グループ2.拡張属性(extensionAttribute1–15)を介して
もし以下のいずれかを選択した場合は extensionAttribute1–15 ソース属性としてフィールドを指定し、Azure Graph API を使用して更新します。必要な権限は User.ReadWrite.All.
この例では、extensionAttribute1 がソース属性として使用されています:
PATCH https://graph.microsoft.com/v1.0/users/{user-id}
{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Group1,Group2" } }
⚠️注意:Graph APIのリクエスト本文を使用する際は、ドメイングループ名とコンマの間にスペースを入れないでください。
ユーザーからすべてのドメイングループを削除する
ドメイングループの値が空の場合、PowerDMARCは何も処理を行いません。ユーザーに割り当てられているすべてのドメイングループを削除したい場合は、値を -1 空白のままにせず、必ず入力してください。これは、標準のユーザー属性フィールドとAzure Graph APIのリクエスト本文の両方に適用されます。
知っておくと便利な情報: 値を
-1 これは、ユーザーからすべてのドメイングループを完全に解除する正しい方法です。空のフィールドはPowerDMARCによって無視されます。