- 機能紹介
機能の提供状況:ベータテスト中
実行権限:スーパー管理者または「組織構造データの同期」の権限を持つ管理者が実行可能
法人管理者は、組織構造データの同期機能を使用することで、Microsoft Entra ID(旧称 Azure Active Directory)にあるユーザーデータを Lark 法人アカウントの組織構造に同期できます。具体的には、以下の機能がサポートされています。
- アカウントの作成・マッチング:指定範囲の Entra ID ユーザー情報(メールアドレスなど)は自動的に Lark に同期されます。Lark で同じメールアドレスを持つメンバーはマッチングにより、Entra ID でのユーザー ID と関連付けられます。
- 注:マッチングが失敗しないように、Entra ID から同期を開始する前に、Lark 管理コンソールで退職済みメンバーのアカウントを削除することを推奨します。
- ユーザー属性の更新:Entra ID のユーザーのプロフィール属性の更新は、自動的に Lark に同期されます。
- 無効になったアカウント情報の同期:無効化された Entra ID ユーザーの情報は Lark に同期され、管理コンソールで「未利用」の状態で表示されます。
注:こちらの記事で掲載されている他社製サービスの操作画面のスクリーンショットは、機能の更新などにより実際の操作画面と異なる場合があります。操作する際に、実際の操作画面に準じてください。
- 操作手順
Lark & Entra ID 同期アプリをセットアップする
Lark & Entra ID 同期アプリは、Lark 管理コンソールのアプリサービスの 1 つであり、Entra ID から Lark へのデータ同期設定サービスを提供します。
ステップ 1:Entra ID データの Lark への同期設定を有効化する
- Lark 管理コンソールを開き、左側のナビゲーションより 法人設定 > 組織構造データの同期 をクリックしてから、同期データソースを追加 をクリックします。
- データソースの選択画面にて EntraID を選択します。
- 250px|700px|reset
- 画面上の説明に従い、Entra ID 同期のセットアップを行います。
- アクセスセキュリティの構成画面で、後ほど Entra ID で設定を行うために、トークンをコピー と URL をコピー をクリックして、コピーしたトークンと Base URL を適切に保存します。次へ をクリックします。
- 250px|700px|reset
- 属性の設定画面で、メンバータイプの同期ルールを設定します。設定完了後、次へ をクリックします。
- Entra ID のメンバータイプフィールド:「Regular」、「Consultant」など、法人が Entra ID で定義したメンバータイプのことです。
- Lark のメンバータイプフィールド:「正社員」、「コンサルタント」など、法人が Lark で定義したメンバータイプのことです。
- 250px|700px|reset
- 設定が完了した後、Entra ID で「Regular」と指定されたメンバーであれば、Lark では「正社員」のメンバータイプにマッピングされます。
- 注:最大 15 個の同期ルールを設定できます。
- 一般設定画面で一般設定を行います。設定完了後、次へ をクリックします。
- メンバー削除のルール:SCIM(System for Cross-domain Identity Management)からユーザー削除の API リクエストを受け取ったときに、管理者がどのように対処するかを設定します。
- 管理者に通知を送信:管理者は、同期に失敗した場合に通知を受け取るメンバーを指定できます。ただし、トークンの有効期限切れによる同期失敗の場合、通知は Entra ID 同期の設定権限を持つ管理者に送信され、この設定の制限を受けません。
- 新しいユーザーの作成中に既存のユーザーを識別するために、属性を選択してください:SCIM がユーザーを作成するときに、ユーザー名を介してユーザーが存在するかどうかを判断します。この設定を通じて、Lark & Entra ID 同期アプリにもう一つの判断手段を提供できます。つまり、アプリがユーザー名で既存のユーザーを見つけられない場合、管理者が選択した他の属性を使用してユーザーが存在するかどうかを判断できます。
- 250px|700px|reset
- プレビュー画面で、設定内容を確認してから、保存 または 保存して有効化 をクリックします。
- 保存:設定のみを保存し、アプリを有効化しません。
- 保存して有効化:設定を保存し、同時にアプリを有効化します。
- 250px|700px|reset
- 注:アプリを有効化しない場合、Entra ID からのリンクと同期リクエストは受け取りません。
ステップ 2:Entra ID でアプリを作成する
- 管理者として Entra ID にログインして、左側のナビゲーションで Microsoft Entra ID をクリックします。
- エンタープライズ アプリケーション を選択してから、+ 新しいアプリケーション をクリックします。
- 250px|700px|reset
- + 独自のアプリケーションの作成 をクリックし、右側に表示されるメニューで同期アプリ名を入力してから、作成 をクリックします。
- 250px|700px|reset
- アプリ作成後、ユーザー アカウントのプロビジョニング で 作業の開始 をクリックし、概要 画面で再度 作業の開始 をクリックします。
- 250px|700px|reset
- プロビジョニング 画面で下記設定を完了してから、保存 をクリックします。
- プロビジョニングモード:自動 を選択します。
- 管理者資格情報:本文のステップ 1 で Lark 管理コンソールで取得した Base URL とシークレットトークンを入力し、テスト接続 をクリックします。
- 注:URL に「https://www.xyz.com/admin/sicm/v2?aadOptscim062020」のような Microsoft の修正設定を追加する必要があります
- 250px|700px|reset
- プロビジョニング 画面の マッピング で Provision Microsoft Entra ID Groups をクリックします。externalId から objectId へのマッピングを削除してから、保存 をクリックします。
- 250px|700px|reset
- マッピング で Provision Microsoft Entra ID Users をクリックし、下記を設定完了後、保存 をクリックします。
- 250px|700px|reset
- 不要な属性マッピングを削除し、下表に示す属性マッピングのみを保持します。
- 新しいマッピングの追加 をクリックして、ユーザータイプの属性マッピングを追加してから、OK をクリックします。
- マッピングの種類 を 直接 に設定
- ソース属性 を employeeType に設定
- 対象の属性 を userType に設定
- プロビジョニング 画面に戻り、設定 で選択した 範囲 が 割り当てられたユーザーとグループのみを同期する であることを確認します。誤削除による大量のデータエラーを防ぐために、削除のしきい値を設定することもできます。設定後、保存 をクリックします。
- アプリの 概要 画面で ユーザーとグループの割り当て をクリックします。
- 250px|700px|reset
- + ユーザーまたはグループの追加 をクリックして、割り当ての追加 画面の ユーザーとグループ で 選択されていません をクリックします。
- 250px|700px|reset
- 同期が必要なユーザーまたはグループを選択後、選択 をクリックしてから、割り当て をクリックします。
- 250px|700px|reset
- プロビジョニング 画面に戻り、プロビジョニングの開始 をクリックして同期を開始します。
- 250px|700px|reset
ステップ 3:結果を確認する
上記のステップを完了すると、Entra ID のユーザーデータは自動的に Lark の組織構造に同期されます。管理者は Microsoft Azure の同期アプリの Overview 画面で同期結果を確認することもできます。
Lark & Entra ID 同期アプリを管理する
管理者は、Lark 管理コンソールで Entra ID アプリのカードをクリックして同期設定の詳細画面に進み、Lark & Entra ID 同期アプリを無効化・有効化・編集・削除することができます。
- 無効化:同期設定の詳細画面で 無効 をクリックするか、アプリカード上の 無効 をクリックして、アプリを無効化できます。無効化すると、Entra ID からの同期リクエストは受け取らなくなります。
- 有効化:無効化された同期アプリについては、同期設定の詳細画面で 有効 をクリックするか、アプリカード上の 有効 をクリックして、再度有効化できます。
- 編集:同期設定の詳細画面で 編集 をクリックして設定を変更すると、次回の同期時に変更された設定内容が適用されます。
- 削除:アプリを使用する必要がなくなった場合、… アイコン > 削除 をクリックして、アプリを削除できます。
- 注:アプリを削除すると復元することはできず、すべての設定が失われます。ただし、すでに同期完了したユーザーは影響を受けません。
250px|700px|reset
ログを管理する
同期ログを確認する
Entra ID アプリカード上の 同期ログ をクリックして、管理者はユーザーの作成・変更・削除に関する同期ログを確認できるほか、ユーザー関連の項目(職位、部署など)の同期ログも確認できます。
250px|700px|reset
ログの右側にある 詳細 をクリックして、ログの詳細情報を表示できます。
250px|700px|reset
管理者の操作ログを確認する
実行権限:スーパー管理者または「管理者ログ」の権限を持つ管理者が実行可能
管理者は、管理者ログで Lark & Entra ID アプリの作成・設定・変更に関する操作履歴を確認できます。
- Lark 管理コンソールを開き、左側のナビゲーションより コンプライアンス > ログ監査 > 管理者ログ の順にクリックします。
- イベントタイプ で 法人設定 > 組織構造データの同期 を選択して、必要に応じて、以下を絞り込み条件として選択します。
- 同期データソースを追加
- 同期データソースを削除
- 同期設定を編集
- 同期データソースを有効化/無効化
- 管理者、開始日時、終了日時を絞り込み条件として設定することも可能です。
- 検索 をクリックしてログを照会します。
- ログの右側にある 詳細 をクリックして、そのログの詳細情報を表示できます。
250px|700px|reset
- よくある質問