ID プロビジョニング(またはアカウント プロビジョニング)は、ユーザーデータを保持する 3 つのシステム間でアカウントを設定して接続を確立するプロセスです。場合によっては、ユーザーとデバイス間の接続を設定することもあります。
Android Enterprise 環境では、3 つの異なるシステムがユーザー アカウント情報を保持します。
- 組織のユーザー ディレクトリは、ユーザーに関する情報の信頼できる唯一のソースです。
- EMM ソリューション プロバイダは、組織のユーザーの最小限のディレクトリを維持する必要があります。
- Google は、managed Google Play アカウントと Google アカウントに関する情報を保持し、Google Play を介してアプリを管理できるようにしています。
Users リソースは、エンタープライズに関連付けられたアカウントを表します。アカウントはデバイス固有の場合もあれば、複数のデバイスを所有し、それらのデバイスすべてでアカウントを使用する個人に関連付けられている場合もあります。アカウントは、お客様の customer's enterprise の設定方法に応じて、managed Google Play のみ、または他の Google サービスへのアクセスを提供できます。
管理対象の Google アカウント は、Google によって管理されている既存のアカウントです。これらのアカウントでは、お客様が Google を ID プロバイダとして使用するか、組織のユーザー ディレクトリを Google にリンクする必要があります。管理対象の Google アカウントを使用しているエンタープライズの場合、デバイスのプロビジョニング中にユーザーの認証を行うのは Google です。
managed Google Play アカウント を使用すると、エンタープライズ モビリティ管理(EMM)ソリューション プロバイダを介して、エンタープライズが制限ユーザー アカウントを自動的に作成できます。これらのアカウントは、managed Google Play のみへのアクセスを提供します。EMM は、必要に応じてユーザーの認証を行う責任を完全に負います。managed Google Play アカウント エンタープライズの場合、使用できるアカウントはこれのみです。
表 1: Users API のフィールドとメソッド
| managed Google Play アカウント | 管理対象の Google アカウント | |
|---|---|---|
| フィールド | ||
| id | ||
| kind | ||
| accountIdentifier | Google Play から返された ID(userId)にマッピングする一意の識別子を作成します。個人を特定できる情報(PII)は使用しないでください。 | 未設定。 |
| accountType | deviceAccount、userAccount | userAccount |
| displayName | Google Play などの UI アイテムに表示する名前。個人を特定できる情報は使用しないでください。 | 未設定。 |
| managementType | emmManaged | googleManaged、emmManaged |
| primaryEmail | 未設定。 | このフィールドは、Google 管理ドメイン アカウントからシステム内のユーザー アカウントへの同期を管理するための主キーです。 |
| メソッド | ||
| delete | ||
| generateAuthenticationToken | ||
| generateToken | ||
| get | ||
| getAvailableProductSet | ||
| insert | ||
| list | ||
| revokeToken | ||
| setAvailableProductSet | ||
| update | ||
デバイス登録の改善の一環として、企業 ID を持つ従業員が使用するすべての Android Enterprise デバイスで管理対象の Google アカウント を使用するように移行しています。
新規登録の場合は、managed Google Play アカウントよりも管理対象の Google アカウントを使用することをおすすめします。既存のユーザーに対しては managed Google Play アカウントを引き続きサポートしますが、managed Google Play ストアへのアクセスのみが提供されます。 管理対象の Google アカウント を使用すると、Google サービスのフルパッケージとクロスデバイス機能にアクセスできます。
登録の改善
管理対象の Google アカウントは、ユーザーの ID を Google に確立します。これにより、タスクの引き継ぎ、通知、周辺共有などのクロスデバイス エクスペリエンスが可能になります。これらの機能は、ユーザーが複数のデバイスを使用することが多い企業環境でますます重要になっています。
Google を ID プロバイダとして使用していないエンタープライズは、既存の ID プロバイダを Google にリンクすることを強くおすすめします。これにより、バインド プロセス中に従業員の管理対象の Google アカウントを作成できます。 エンタープライズは、EMM で使用しているものと同じ ID プロバイダを使用する必要があります。
次の変更を実装しました。
デバイスの登録時のエンドユーザーの認証は、Google/Android によって処理されるようになりました。EMM の Device Policy Controller(DPC)では、適切な時点で Android がユーザーを認証する必要があります。Android は、ログインしているユーザーの ID を DPC に返します。
EMM は、ユーザー認証をリクエストするときに、登録トークンを Android に渡す必要があります。このトークンは、Android Enterprise API への API 呼び出しによって返され、QR、NFC、またはゼロタッチ登録ペイロード内にエンコードされている場合があります。
Android が認証を処理してユーザー ID を EMM に提供するようになりましたが、ユーザー ID を適切なグループまたは組織構造にマッピングするのは EMM の責任です。このマッピングは、デバイスに適切なポリシーを適用するために不可欠です。そのため、エンタープライズは組織のユーザー ディレクトリを EMM に引き続きリンクする必要があります。
IT 管理者は、Google が提供する新しいエンドユーザー認証機能を有効または無効にできます。デバイス間の機能など、ユーザーに最適なエクスペリエンスを提供するには、IT 管理者が組織のユーザー ディレクトリを Google にリンクすることをおすすめします。このリンクがないと、ユーザーは managed Google Play アカウントを使用することになり、クロスデバイス エクスペリエンスにアクセスできなくなります。
すべての EMM の新しい要件として、登録トークンとログイン トークンを作成する際に、追加情報を提供する必要があります。具体的には、デバイスがユーザーレス(キオスクや専用デバイスなど)かどうかを示す必要があります。
特典
新しいプロセスには、次のような主な改善点があります。
登録の簡素化: 標準的な方法と比較して、手動の手順と複雑さが軽減されます。
Google アカウントのサポート: すべてのプロビジョニング方法で Google アカウントを使用できるようになりました。これにより、managed Google Play アカウントが不要になります。
ユーザー エクスペリエンスの向上: 管理対象の Google アカウントを使用すると、共有やコピー&ペーストなどの強力なクロスデバイス機能を含む、より豊富な Android エクスペリエンスを利用できます。
ユーザー アカウントの実装
この新しい登録フローの手順については、ユーザー アカウントを実装するをご覧ください。
管理対象の Google アカウントのライフサイクル
Google アカウントを使用する組織の場合、EMM のソリューションのユーザー アカウントは、別の Google サービス(Google
Workspace など)に関連付けられた既存のユーザー アカウントを反映します。これらのアカウントは googleManaged です(表 1)。これは、Google のバックエンド サービスがアカウントの作成と情報源であるためです。
EMM として、Google Cloud Directory Sync(GCDS)や Admin SDK Directory API などのツールを使用して、システムに保持されているユーザー アカウントの作成と継続的な同期を、Google ドメイン アカウントソースと簡単に行えるメカニズムをコンソールに提供できます。さまざまなアプローチの概要については、 をご覧ください。Google 管理ドメイン ID モデルでは、仕事用プロファイルのコンテキストでユーザーのデバイスにプロビジョニングする前に、ユーザー アカウントがソリューションのコンテキスト(EMM コンソール、EMM サーバー、データストアなど)に存在する必要があります。
ID プロビジョニング中に、組織の Google 管理ドメインにユーザー アカウントが入力されます。場合によっては、ユーザーの既存のオンライン ID(Microsoft Exchange アカウントなど)が Google アカウントと同期されます。
顧客アカウントを同期する
Google アカウントのデプロイでは、組織は GCDS ツールを使用して、Google Workspace ドメインのデータを LDAP ディレクトリのデータと同期できます。組織からアクセス権が付与されている場合は、GCDS を使用して組織に代わってこれを行うこともできます。
GCDS ツールは Google Directory API を呼び出し、ユーザー名を同期しますが、パスワードは同期しません。
組織が Microsoft Active Directory を使用していて、ユーザーの Google Workspace パスワードを Active Directory パスワードと同期する場合は、 Password Sync を使用する準備をするをご覧ください。
管理者向けの GCDS の手順については、Google Cloud Directory Sync についてをご覧ください。
Google Directory API
Google アカウントのデプロイでは、Google Directory API を使用して、Active Directory、パスワード、またはその両方を同期できます。
Directory API を使用してディレクトリのみを同期する。組織の管理対象の Google ドメインへの読み取り専用アクセス権がある場合は、Google Directory API を使用して、Google からユーザー名(パスワードは除く)などの Google アカウント情報を取得できます。ユーザーの Google アカウントにデータを書き込むことはできないため、アカウントのライフサイクルは組織が完全に管理します。
シナリオ 1 と SAML ベースの SSO 認証シナリオで この状況について詳しく説明しています。
この方法での Directory API の使用については、Directory API ドキュメントのすべてのアカウント ユーザーを取得するをご覧ください。
Directory API を使用してディレクトリとパスワード(省略可)を同期する。組織の管理対象の Google ドメインへの読み取り / 書き込みアクセス権がある場合は、Google Directory API を使用して、ユーザー名、パスワード、その他の Google アカウント情報を取得できます。この情報を更新して独自のデータベースと同期できます。お客様に提供するソリューションに応じて、アカウントのライフサイクルに対する責任を完全に負う場合と、部分的に負う場合があります。
シナリオ 2 では、この状況について詳しく説明しています。
Directory API を使用してユーザー アカウント情報を管理する方法について詳しくは、 Directory API: ユーザー アカウント デベロッパー ガイドをご覧ください。
Google アカウントのシナリオ
次のセクションでは、Google アカウントの ID プロビジョニングの一般的なシナリオをいくつか説明します。
シナリオ 1: アカウントのライフサイクルをお客様が管理する
このシナリオでは、お客様がユーザーの Google アカウントを作成して管理します。
組織の LDAP ディレクトリからユーザー アカウント情報を取得し、 Google Directory API を使用して Google から取得した Google アカウント データと関連付けます。
アカウントのライフサイクルは組織が完全に管理します。たとえば、新しい Google アカウントが作成されると、組織はユーザーを LDAP ディレクトリに追加します。次にデータベースを LDAP ディレクトリと同期すると、データベースにこの新しいユーザーに関する情報が届きます。
次のようになります。
- Google アカウントへの読み取り専用アクセス権があります。
- データベースは Google アカウント名を取得しますが、LDAP のユーザー名やパスワードは取得しません。
- Google Directory API を使用して、お客様のユーザーの基本アカウント情報を取得します。(利用可能な情報は、書き込み不可の
情報
が
Users.getリクエストによって返されます)。この情報を使用して、ユーザーの Google アカウントが存在することを確認し、ユーザーがデバイスに対して認証できるようにします。 - お客様は GCDS ツールを使用して、ユーザーの Google アカウントにデータを入力する一方向の同期を行います。(ID プロビジョニングが完了した後も、組織は GCDS を使用して独自の継続的な同期を行う可能性があります)。 必要に応じて、組織は GSPS ツールを使用して、ユーザー名だけでなくパスワードも同期できます。
シナリオ 2: アカウントのライフサイクルを EMM が管理する
このシナリオでは、お客様に代わって Google アカウントを作成するプロセスを処理し、ユーザーのアカウントのライフサイクルを管理します。
たとえば、組織の LDAP ディレクトリでユーザー情報が変更された場合は、ユーザーの Google アカウントを更新する必要があります。このシナリオでは GCDS は使用されません。
次のようになります。
- Google アカウントへの読み取り / 書き込みアクセス権があります。
- データベースは Google アカウント名と LDAP ユーザー名(必要に応じてパスワード ハッシュ)を取得します。
- お客様に代わって Google Directory API を使用して、組織のユーザーのアカウント情報を読み書きします。(利用可能な情報
は、書き込み不可の情報です。
Users.getリクエストによって返されます)。この情報を使用して、ユーザーの Google アカウントが存在することを確認し、ユーザーがデバイスに対して認証できるようにします。 - GCDS ツールは使用されません。
SAML ベースの SSO 認証シナリオ
Google アカウントのデプロイでは、EMM またはお客様が、ID プロバイダ(IdP)で Security Assertion Markup Language(SAML)を使用して、各ユーザーに関連付けられた Google アカウントを認証する場合があります。ユーザーがデバイスにログインするときにユーザー認証に必要な、ユーザーの Google アカウントが存在することの確認として、Google アカウント名を使用します。たとえば、シナリオ 2 で SAML を使用できます。設定方法について詳しくは、SSO についてをご覧ください。