Microsoft Entra ID との統合

  • リリースバージョン: Yokohama
  • 更新日 2025年02月18日
  • 所要時間:14分

    • ServiceNow インスタンスを Microsoft Entra ID と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    責任を担います。 Microsoft Entra ID アプリケーションで必要なユーザーロール 認証スコープ
    • ユーザーのダウンロード
    • ダウンロードグループ
    • グループメンバーシップのダウンロード
    		 アプリケーション開発者
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    アプリケーションのダウンロード アプリケーション開発者
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    • コネクトアプリケーション
    • 接続されているアプリケーションを更新
    • グローバルリーダー/レポートリーダー/セキュリティ/アドミニストレーター/セキュリティオペレーター/セキュリティリーダー
    • アプリケーション開発者
    • AuditLog.Read.All
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    サブスクリプションを再利用 ユーザーアドミニストレーター User.ReadWrite.All

    Microsoft Entra ID アプリケーションの作成

    Microsoft Entra IDポータルでアプリを作成して、Now Platformと統合します。

    始める前に

    Microsoft Entra ID 必要なロール: 「最小ユーザー権限 」テーブルを参照してください。

    手順

    1. Azureポータルから、Microsoft Entra IDにアクセスします。
    2. Microsoft Entra IDアプリケーションを作成します。
      「」を参照してください。 作成 Microsoft Entra ID application アプリケーションの登録と構成の詳細な手順については、
      1. [リダイレクト URI] フィールドに「https://<instance-name>.service-now.com/oauth_redirect.do」と入力します。ここで <instance-name>ServiceNowインスタンスの名前です。
      2. アプリケーション (クライアント) ID とディレクトリ (テナント) ID を記録して、アプリをサードパーティ OAuth プロバイダーとして ServiceNow インスタンスに登録します。
      3. クライアントシークレットを作成して値を記録し、サードパーティ OAuth プロバイダーとして ServiceNow インスタンスでアプリを登録します。
      4. Microsoft Graph API にアクセスするための権限を追加します。
        権限 タイプ
        AuditLog.Read.All 委任
        User.Read.All 委任
        User.ReadWrite.All 委任
        GroupMember.Read.All 委任
        Application.Read.All 委任
        詳細については、「Web API にアクセスするための権限の追加」を参照してください。
      5. アプリケーションに管理者の同意を付与します。
        詳細については 、「API 権限と管理者の同意 UI について」を参照してください。

    Microsoft Entra ID 統合プロファイルの作成

    ServiceNow インスタンスに Microsoft Entra ID 統合プロファイルを作成します。

    始める前に

    Microsoft Entra ID統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理 - SaaS ライセンス管理 プラグイン (sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator または admin

    重要:
    [Application Manager] ページでオプション機能をインストールするときに、この統合の [Microsoft Entra ID スポーク] チェックボックスをオンにする必要があります。必要な SaaS アプリケーションの選択の詳細については、「 SaaS ライセンス管理の要求」を参照してください。

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 のバージョン 7.0.0 および Microsoft Entra ID スポークのバージョン 3.1.0 以降では、ServiceNow インスタンスは、作成する Microsoft Entra ID 統合プロファイルごとに個別の Entra ID 接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Microsoft Entra ID 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペースを使用している場合、コア UIMicrosoft Entra ID統合プロファイルを作成するオプションは非アクティブです。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      Core UI (コア UI)
      1. 次のように移動する。 All (すべて) > ソフトウェア資産 > SaaS ライセンス > SSO データ連携プロファイル.
      2. [New (新規)] を選択します。
      3. [Microsoft Entra ID 統合プロファイル] を選択します。
      ソフトウェア資産ワークスペース
      1. 次のように移動する。 ライセンス操作 > ユーザー登録 > SSO データ連携プロファイル.
      2. [New (新規)] を選択します。
      3. ドロップダウンリストから [Microsoft Entra ID 統合プロファイル (Microsoft Entra ID Integration Profile )] を選択します。
      4. [Continue (続行)] を選択します。
    2. [ 表示名 ] フィールドに統合プロファイルの名前を入力します。

      残りのフィールドは、フォームを送信すると自動的に入力されます。

      注:
      SSO 統合は、ディレクトリ統合を使用して作成されます。ディレクトリ統合は、SSO 統合に関連付けられている SSO アプリケーション、ユーザー、およびグループデータをプルします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。

      既に Microsoft Entra ID ディレクトリ統合がある場合、SSO 統合では既存のディレクトリ統合が使用されます。それ以外の場合は、 Microsoft Entra ID ディレクトリ統合が自動的に作成されます。

    3. [プロセスの構成] セクションで、セキュリティリスクを最小限に抑え、 SaaS ライセンスを最適化するために必要なユーザーロールまたは API 権限を表示します。
      注:
      必要なロールとスコープの詳細については、「 最小限のユーザー権限 」テーブルを参照してください。

      • [ アプリケーション、ユーザー、およびグループをダウンロード ] チェックボックスはデフォルトでオンになっており、オフにすることはできません。

      • [ ダウンロードアクティビティ ] チェックボックスはデフォルトでオンになっています。オフにすると、接続されたアプリケーションの最後のアクティビティはプルされません。

      • [ サブスクリプションを再利用 ] チェックボックスはデフォルトでオンになっています。サブスクリプションを再利用しない場合は、このチェックボックスをオフにします。これをクリアすると、削除候補は作成されますが、サブスクリプションの再利用サブフローがトリガーされないか、再利用プロセスが開始されません。

    4. [Submit (送信)] を選択します。
      [接続と資格情報] フィールドが表示されます。
    5. [新しい接続および資格情報の作成] 関連リンクを選択します。
      注:
      ソフトウェア資産ワークスペース をインストールしている場合は、[接続と資格情報] レコードを開き、[新しい接続および資格情報の作成] 関連リンクを選択します。
    6. フォームのフィールドに入力します。
      表 : 2. 接続と資格情報フォームを作成
      フィールド Value (値)
      認証 URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/authorize、ここで<directory-id>Azure ポータルのディレクトリ (テナント) ID です。
      トークン URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token、ここで<directory-id>Azure ポータルのディレクトリ (テナント) ID です。
      トークン URL の取り消し (Revoke token URL) https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke、ここで<directory-id>Azure ポータルのディレクトリ (テナント) ID です。
      OAuth クライアント ID Azureポータルで作成したアプリケーションのアプリケーション (クライアント) ID。
      OAuth クライアントシークレット Azureポータルで作成したアプリケーションのクライアントシークレット。
      OAuth リダイレクト URL https://<instance-name>.service-now.com/oauth_redirect.do ( <instance-name>ServiceNow インスタンスの名前です。この値は、自動的に入力されます。
    7. [OAuth トークンを作成して取得] を選択します。
      Azureポータルにリダイレクトされます。この手順を実行するために必要なロールについては、「 最小ユーザー権限 」テーブルを参照してください。
    8. ポップアップウィンドウで、 Microsoft Entra ID アドミン認証情報を使用してアカウントにサインインします。
    9. 統合プロファイルフォームで、[ 接続を検証 ] を選択して、この統合の接続と資格情報の詳細を確認します。
    10. 接続を確認したら、[ 公開] を選択します。
    11. 公開の確認 ダイアログ ボックスで、 OK を選択します。
      統合プロファイルの公開後に [ ダウンロードアクティビティ ] チェックボックスをオフにすると、次のイベントが発生するため、接続を再検証する必要があります。
      • [ 接続を検証] ボタンがフォームに表示されます。
      • 接続されたアプリケーションのユーザーの最後のアクティビティはプルされなくなりました。
      スケジュール済みジョブとディレクトリジョブは、すべてのアプリケーション、ユーザー、およびグループのリストをダウンロードします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。統合プロファイルの [スケジュール済みジョブの結果] 関連リストと [ディレクトリジョブの結果] 関連リストにジョブのステータスを表示します。ソフトウェアモデルは、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリケーションに対して自動的に作成されます。

    タスクの結果

    統合プロファイルを公開してアプリケーションをプロファイルに接続すると、現在の日付の 60 日前までに個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリを接続

    シングルサインオン (SSO) アプリを接続して、アプリへのアクセス権を持つすべてのユーザーとグループを表示します。ユーザーログインデータを追跡し、未使用のライセンスを再利用します。

    始める前に

    必要なロール:sam_integrator または admin

    このタスクについて

    注:
    Microsoft Entra IDの場合、アプリケーション設定ページの [アサインが必要] トグルボタンは、ユーザーによるアプリケーションのアクセスを制御します。
    • この切り替えボタンを [はい] に設定する場合は、このアプリケーションを Microsoft Entra ID ユーザーおよび関連するアプリケーションおよびサービスに割り当てる必要があります。アプリケーションをアサインすると、 Microsoft Entra ID ユーザー、関連付けられたアプリケーション、およびサービスがそのアプリケーションにアクセスできるようになります。
    • このトグルボタンを [いいえ] に設定すると、すべてのユーザーがアプリケーションにログインできます。関連するアプリケーションとサービスも、このサービスへのアクセストークンを取得できます。

    SaaS ライセンス管理 は、特定のアプリケーションとの直接統合を提供します。直接統合により、最も堅牢な使用状況データが得られます。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。アプリを直接統合している場合、SSO 統合で同じアプリを接続すると、 ServiceNow インスタンスに重複サブスクリプションレコードが作成されます。SSO アプリを接続した後でそのアプリの直接統合を作成することにした場合は、直接統合を作成する前にアプリを切断します。

    注:
    ソフトウェア資産ワークスペースを使用している場合、コア UI内の SSO アプリケーションに移動するオプションは非アクティブです。

    手順

    1. アプリケーションに移動します。
      インターフェイスアクション
      Core UI (コア UI) 次のように移動する。 All (すべて) > ソフトウェア資産 > SaaS ライセンス > SSO アプリケーション.
      ソフトウェア資産ワークスペース 次のように移動する。 ライセンス操作 > ユーザー登録 > SSO データ連携プロファイル.
    2. 接続するアプリケーションを選択します。
      ソフトウェア資産ワークスペースには、[SSO アプリケーション] タブを選択します。
    3. [ ソフトウェアモデル ] フィールドが空の場合、アプリのソフトウェアモデルを追加します。
      アプリを接続するには、アプリに接続する前にソフトウェアモデルが必要です。ソフトウェアモデルは、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリに対して自動的に作成されます。他のすべてのアプリでは、ソフトウェアモデルを手動で作成できます。詳細については、「クラシック ソフトウェア資産管理 でのソフトウェアモデルの作成」を参照してください。
    4. [ 前回のアクティビティの分析元 ] フィールドの日付を選択します。

      個々のユーザーとアプリケーションのログインデータの分析は、現在の日付から開始するか、過去最大 60 日間から開始するかを選択できます。デフォルト値は 30 日です。過去の日付を選択すると、最近使用されていないサブスクリプションを確認できるため、リアルタイムで待機することなく古いサブスクリプションを検出できます。過去の日付を選択すると、分析されるデータ量が増えるため、結果を表示できるようになるまでに時間がかかる場合があります。

    5. [Save (保存)] をクリックする。
    6. [Connect (接続)] を選択します。
      ヒント:
      [SSO アプリケーション] リストから複数のアプリを同時に接続することもできます。

      コア UIインターフェイスで、リストの左側にあるチェックボックスを使用してアプリを選択します。一覧の一番下にある [ 選択した行のアクション] ドロップダウン メニューを選択し、[ 接続] を選択します。一部のアプリにソフトウェアモデルがない場合、 コネクト アクションには、一部のアプリが接続されているわけではないことが表示されます。たとえば、[ コネクト] (1/4) は、選択した 4 つのアプリのうち 1 つだけが接続されていることを示した。ソフトウェアモデルを追加して、残りのアプリを接続します。

    タスクの結果

    SSO アプリケーションが接続すると、 ServiceNow インスタンスによってユーザー、グループ、サブスクリプション、および再利用ルールが自動的に作成され、毎日更新されます。
    • [ 割り当てが必要 ] トグルボタンが [はい] に設定されている場合、サブスクリプションは関連付けられた Microsoft Entra ID ユーザーに対してのみ作成されます。
    • [ 割り当てが必要] トグルボタンが [いいえ] に設定されている場合、サブスクリプションはすべての Microsoft Entra ID ユーザーに対して作成されます。

    次のタスク

    ユーザーサブスクリプションを再利用するための仕様を満たすように、自動的に生成されたすべての再利用ルールを確認します。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成して、使用済みソフトウェアを所有ソフトウェアに対して追跡します。ソフトウェア資産管理クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「クラシック ソフトウェア資産管理 エンタイトルメントの作成」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでのエンタイトルメントの作成」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用してエンタイトルメントを作成します」を参照してください。

    調整は、サブスクリプションでもスケジュール済みジョブとして、またはオンデマンドで実行されます。調整結果は、 ライセンスワークベンチ (クラシックアプリケーションソフトウェア資産管理 ) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、コンプライアンス違反を修正します。ソフトウェア資産管理クラシックアプリケーションでの調整の実行の詳細については、「ソフトウェア資産管理 クラシック版でソフトウェア調整を実行する」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでのソフトウェア調整の実行」を参照してください。