Microsoft Entra ID との統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:16分

    • ServiceNow インスタンスを Microsoft Entra ID と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    プロセス Microsoft Entra ID アプリケーションで必要なユーザーロール 認証スコープ
    • ダウンロードユーザー
    • ダウンロードグループ
    • グループメンバーシップをダウンロード
    		 アプリケーション開発者
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    アプリケーションのダウンロード アプリケーション開発者
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    • コネクトアプリケーション
    • 接続されたアプリケーションの更新
    • グローバルリーダー/レポートリーダー/セキュリティ/アドミニストレーター/セキュリティオペレーター/セキュリティリーダー
    • アプリケーション開発者
    • AuditLog.Read.All
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    サブスクリプションを再利用 ユーザーアドミニストレーター User.ReadWrite.All

    Microsoft Entra IDアプリケーションの作成

    Microsoft Entra IDポータルでアプリを作成して、ServiceNow AI Platformと統合します。

    始める前に

    Microsoft Entra ID 必要なロール:最小 ユーザー権限 テーブルを参照してください。

    手順

    1. AzureポータルからMicrosoft Entra IDにアクセスします。
    2. Microsoft Entra IDアプリケーションを作成します。
      「」を参照してください。 作成 Microsoft Entra ID application アプリケーションの登録と構成に関する詳細な手順を参照してください。
      1. [ リダイレクト URI ] フィールドに「 https://<instance-name>.service-now.com/oauth_redirect.do と入力します。 ここで、<instance-name>ServiceNow インスタンスの名前です。
      2. アプリケーション (クライアント) ID とディレクトリ (テナント) ID を記録して、アプリをサードパーティ OAuth プロバイダーとして ServiceNow インスタンスに登録します。
      3. クライアントシークレットを作成し、(クライアントシークレット ID ではなく) 正しい値を保存して、サードパーティ OAuth プロバイダーとして ServiceNow インスタンスでアプリを登録します。
      4. Microsoft Graph API にアクセスするための権限を追加します。
        権限 タイプ
        AuditLog.Read.All 委任またはアプリケーション
        User.Read.All 委任またはアプリケーション
        User.ReadWrite.All 委任またはアプリケーション
        GroupMember.Read.All 委任またはアプリケーション
        Application.Read.All 委任またはアプリケーション
        詳細については、「 Web API にアクセスするためのアクセス許可を追加する」を参照してください。
      5. アプリケーションにアドミンの同意を付与します。
        詳細については、「 API アクセス許可と管理者の同意 UI について」を参照してください。

    Microsoft Entra ID 統合プロファイルの作成

    ServiceNowインスタンスにMicrosoft Entra ID統合プロファイルを作成します。

    始める前に

    Microsoft Entra ID統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理 - SaaS ライセンス管理 プラグイン (sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator

    重要:
    [Application Manager] ページでオプションの機能をインストールするときに、この統合の [Microsoft Entra ID スポーク] チェックボックスをオンにする必要があります。必要な SaaS アプリケーションの選択の詳細については、「 SaaS ライセンス管理の要求」を参照してください。

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 のバージョン 7.0.0 および Microsoft Entra ID スポークのバージョン 3.1.0 以降、ServiceNowインスタンスは、作成した Microsoft Entra ID 統合プロファイルごとに個別の Entra ID 接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Microsoft Entra ID 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペース を使用している場合、コア UIMicrosoft Entra ID 統合プロファイルを作成するオプションは無効です。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. [Microsoft Entra ID 統合プロファイル] を選択します。
      ソフトウェア資産ワークスペース
      1. 移動先 ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. ドロップダウンリストから [Microsoft Entra ID 統合プロファイル ] を選択します。
      4. [Continue (続行)] を選択します。
    2. [ 表示名] フィールドに、統合プロファイルの名前を入力します。

      残りのフィールドは、フォームを送信すると自動的に入力されます。

      注:
      SSO 統合は、ディレクトリ統合を使用して作成されます。ディレクトリ統合は、SSO 統合に関連付けられている SSO アプリケーション、ユーザー、およびグループデータをプルします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。

      すでに Microsoft Entra ID ディレクトリ統合がある場合、SSO 統合は既存のディレクトリ統合を使用します。それ以外の場合は、 Microsoft Entra ID ディレクトリ統合が自動的に作成されます。

    3. [プロセスの構成] セクションで、セキュリティリスクを最小限に抑え、 SaaS ライセンスを最適化するために必要なユーザーロールまたは API 権限を表示します。
      注:
      必要なロールとスコープの詳細については、「 最小限のユーザー権限 」の表を参照してください。

      • [ アプリケーション、ユーザー、およびグループをダウンロードする ] チェックボックスはデフォルトでオンになっており、オフにすることはできません。

      • [ ダウンロードアクティビティ ] チェックボックスはデフォルトでオンになっています。これをクリアすると、接続されたアプリケーションの最後のアクティビティはプルされません。

      • [ サブスクリプションを再利用] チェックボックスはデフォルトでオンになっています。サブスクリプションを再利用しない場合は、このチェックボックスをオフにします。これをクリアすると、削除候補は作成されますが、再利用サブスクリプションサブフローはトリガーされないか、再利用プロセスは開始されません。

    4. [Submit (送信)] を選択します。
      [ 接続および資格情報 ] フィールドが表示されます。
    5. [新しい接続および資格情報の作成] 関連リンクを選択します。
      注:
      ソフトウェア資産ワークスペース がインストールされている場合は、接続と資格情報レコードを開き、[新しい接続および資格情報の作成] 関連リンクを選択します。
    6. フォームで、フィールドに入力します。
      表 : 2. 接続と資格情報フォームを作成
      フィールド
      権限タイプ 統合プロファイルがデータに正しく安全にアクセスするための権限のタイプ。
      次の値が含まれます。
      • アプリケーションのアクセス許可: サインインしているユーザーがいなくても、アプリケーションがすべてのデータにアクセスできるようにします。
      • 委任されたアクセス許可: サインインしているユーザーの代わりにアプリケーションが動作できるようにします。
      認証 URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/authorize。ここで<directory-id>Azure ポータルからのディレクトリー (テナント) ID です。
      トークン URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token<directory-id>Azure ポータルからのディレクトリー (テナント) ID です。
      トークン URL の取り消し (Revoke token URL) https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke。ここで<directory-id>Azure ポータルからのディレクトリー (テナント) ID です。
      OAuth クライアント ID Azureポータルで作成したアプリケーションのアプリケーション (クライアント) ID。
      OAuth クライアントシークレット Azureポータルで作成したアプリケーションのクライアントシークレット。
      OAuth リダイレクト URL https://<instance-name>.service-now.com/oauth_redirect.doここで <instance-name>ServiceNow インスタンスの名前です。この値は、自動的に入力されます。
    7. [OAuth トークンを作成して取得] を選択します。
      Azureポータルにリダイレクトされます。この手順を実行するために必要なロールについては、「 最小ユーザー権限 」テーブルを参照してください。
    8. ポップアップウィンドウで、アドミン認証情報を使用してアカウント Microsoft Entra ID サインインします。
    9. 統合プロファイルフォームで、[ 接続を検証 ] を選択して、この統合の接続と資格情報の詳細を確認します。
    10. 接続が確認されたら、[ 公開] を選択します。
    11. 公開の確認 ダイアログ ボックスで、 OK を選択します。
      統合プロファイルの公開後に [ダウンロードアクティビティ] チェックボックスをオフにした場合は、次のイベントが発生するため、接続を再検証する必要があります。
      • [ 接続を検証 ] ボタンがフォームに表示されます。
      • 接続されたアプリケーションのユーザーの最後のアクティビティはプルされなくなります。
      スケジュール済みジョブとディレクトリジョブは、すべてのアプリケーション、ユーザー、およびグループのリストをダウンロードします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。統合プロファイルの [スケジュール済みジョブの結果] 関連リストと [ディレクトリジョブ結果] 関連リストでジョブのステータスを表示します。サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリケーションに対して、ソフトウェアモデルが自動的に作成されます。

    タスクの結果

    統合プロファイルを公開し、アプリケーションをプロファイルに接続すると、現在の日付の最大 60 日前までに個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリを接続

    シングルサインオン (SSO) アプリを接続して、アプリにアクセスできるすべてのユーザーとグループを表示します。ユーザーのログインデータを追跡し、未使用のライセンスを再利用します。

    始める前に

    必要なロール:sam_integrator

    このタスクについて

    注:
    Microsoft Entra ID、アプリケーション構成ページの [アサインが必要] トグルボタンは、ユーザーによるアプリケーションへのアクセスを制御します。
    • [ アサインが必要 ] トグルボタンが [はい] に設定されている場合は、このアプリケーションを Microsoft Entra ID ユーザーと関連するアプリケーションおよびサービスにアサインする必要があります。アプリケーションをアサインすると、 Microsoft Entra ID ユーザー、関連付けられたアプリケーション、およびサービスがそのアプリケーションにアクセスできるようになります。
    • [ アサインが必要 ] トグルボタンが [ いいえ] に設定されている場合、すべてのユーザーがアプリケーションにログインできます。関連するアプリケーションとサービスも、このサービスへのアクセストークンを取得できます。

    SaaS ライセンス管理 は、一部のアプリケーションとの直接統合を提供します。直接統合では、最も堅牢な使用状況データが提供されます。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。アプリの直接統合がある場合、SSO 統合で同じアプリを接続すると、 ServiceNow インスタンスに重複するサブスクリプションレコードが作成されます。SSO アプリを接続し、後でそのアプリの直接統合を作成する場合は、直接統合を作成する前にアプリを切断します。

    注:
    ソフトウェア資産ワークスペース を使用している場合、コア UIで SSO アプリケーションに移動するオプションは非アクティブです。

    手順

    1. アプリケーションに移動します。
      インターフェイスアクション
      コア UI 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO アプリケーション.
      ソフトウェア資産ワークスペース 移動先 ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル.
    2. 接続するアプリケーションを選択します。
      ソフトウェア資産ワークスペースの場合は、[SSO アプリケーション] タブを選択します。
    3. [ ソフトウェアモデル ] フィールドが空の場合は、アプリのソフトウェアモデルを追加します。
      接続するには、アプリにソフトウェアモデルが必要です。サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリに対して、ソフトウェアモデルが自動的に作成されます。他のすべてのアプリでは、ソフトウェアモデルを手動で作成できます。詳細については、「ソフトウェア資産管理クラシック版でのソフトウェアモデルの作成」を参照してください。
    4. オプション: SSO グループをアプリケーションの特定のソフトウェアモデルにマッピングするには、[ グループベースのソフトウェアモデルを有効にする ] チェックボックスをオンにします。

      たとえば、アプリケーションに特定のグループにリンクされている複数のライセンスモデルがある場合、グループをソフトウェアモデルにマッピングしてライセンス使用を最適化できます。

      重要:
      このオプションを選択する場合は、アプリケーションを接続する前に SSO グループのマッピングを作成する必要があります。マッピングが完了すると、マッピングされたソフトウェアモデルに従って SSO サブスクリプションが自動的に作成または更新されます。詳細については、「SSO グループのソフトウェアモデルマッピングの作成」を参照してください。
    5. [ 前回のアクティビティを分析] フィールドの日付を選択します。

      個々のユーザーとアプリケーションのログインデータの分析は、現在の日付から開始するか、過去最大 60 日から開始するかを選択できます。デフォルト値は 30 日です。過去の日付を選択すると、最近使用されていないサブスクリプションを確認できるため、リアルタイムで待機することなく古いサブスクリプションを検出できます。過去の日付を選択すると分析されるデータの量が増えるため、結果が表示されるまでに時間がかかる場合があります。

    6. [保存] を選択します。
    7. [コネクト] を選択します。
      ヒント:
      [SSO アプリケーション] リストから複数のアプリを同時に接続することもできます。

      コア UIインターフェイスで、リストの横にあるチェックボックスを使用してアプリを選択します。一覧の一番下にある [ 選択した行のアクション] ドロップダウン メニューを選択し、[ 接続] を選択します。一部のアプリにソフトウェアモデルがない場合、 接続 アクションはすべてのアプリが接続されているわけではないことを示します。たとえば、[ コネクト (1/4 )] は、選択した 4 つのアプリのうち 1 つだけが接続されていることを示します。残りのアプリを接続するソフトウェアモデルを追加します。

    タスクの結果

    SSO アプリケーションが接続されると、 ServiceNow インスタンスは、毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールを自動的に作成します。
    • Microsoft Entra IDポータルのアプリケーションで [アサインが必要] トグルボタンが [はい] に設定されている場合、その特定のアプリケーションにアサインされたユーザーに対してのみサブスクリプションが作成されます。
    • Microsoft Entra IDポータルのアプリケーションに対して [アサインが必要] トグルボタンが [いいえ] に設定されている場合、すべてのMicrosoft Entra IDユーザーに対してサブスクリプションが作成されます。

    次のタスク

    自動的に生成されたすべての再利用ルールを確認して、ユーザーサブスクリプションを再利用するための仕様を満たします。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリケーションを接続した後、 ソフトウェア資産ワークスペース に移動して SSO プロファイルに関する情報を表示します ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル. 統合プロファイルを選択すると、次の関連リストを表示できます。
    • SSO アプリケーション
    • ディレクトリユーザー
    • スケジュール済みジョブ
    • スケジュール済みジョブの結果
    • ディレクトのリジョブ
    • ディレクトのリジョブ結果
    • サブスクリプションユーザー除外ルール

    統合プロファイルを作成した後、サブスクリプション除外ルールを定義して、特定のサブスクリプションをライセンスコストの計算対象にしないようにすることができます。詳細については、「SaaS および SSO アプリケーションのサブスクリプション除外」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成し、所有するソフトウェアに対して使用済みソフトウェアを追跡します。ソフトウェア資産管理 クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「クラシック版でエンタイトルメントを作成するソフトウェア資産管理」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでのエンタイトルメントの作成」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用したエンタイトルメントの作成」を参照してください。

    調整は、サブスクリプションでスケジュール済みジョブとして、またはオンデマンドで実行されます。調整結果は、 ライセンスワークベンチ (クラシックアプリケーションソフトウェア資産管理 ) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、非準拠を修正します。ソフトウェア資産管理 クラシックアプリケーションでの調整の実行の詳細については、「クラシック版でソフトウェア調整を実行するソフトウェア資産管理」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでのソフトウェア調整の実行」を参照してください。