PC Tips

GoogleWorkspaceでoffice365をSSOでログインする設定方法(管理者向け)

この解説手順はGoogleWorkspaceのSSO(シングルサインオン)機能で

Office365にログインする設定をできるようになることを目指しています。

これは、Office365をGoogleWorkspacにフェデレートすると表現します。

私の渾身のレポートとなりますので、どうぞお付き合いください!

(下手をすると管理者でも Office365にログインできなくなることがあります。

念の為、Office356の管理者のみ違うドメインを指定しておくことを強くお勧めします。)

  • GoogleのIDプロバイダ(IdP)情報を入手する 

 

これは、GoogleWorkspaceの管理画面で行う作業になります。

Google管理コンソールで

セキュリティー>SAMLアプリケーションに対するシングルサインオン(SS)の設定 に移動

「SSOのURL」と「エンティティID」の値をコーピーしドキュメント保存します。

さらに証明書とIDPメタデータファイルをダウンロードします。

  • Office365ユーザーに対してImmutableIdを設定します

これはoffice365側の設定です。

PowerShellでの作業が必要になります。

(windowsにPowerShellがない場合はインストールが必要になります。

Connect-MsolServie

これでMicrosoft365にログインします。

赤字でエラーが出る場合はConnect-MsolServieのモジュールをインストールします。)

次にMicrosoft365ユーザーに対してImmutableIdを設定します。

ImmutableIDにはGoogleworkspaceのアカウントを登録します。

つまり、メールアドレスを登録することになります。

次のコマンドで一人一人設定できます。

Set-MsolUser -UserPrincipalName test@test.ne.jp -ImmutableId test@test.ne.jp

test@test.ne.jpには個人のメールアドレスを入力してください。

次のコマンドで全365ユーザーにImmutabeIdにメールアドレスを登録できます。

Get-MsolUser | ?{ $_.UserPrincipalName.EndsWith("test.ne.jp") } | %{ Set-MsolUser -UserPrincipalName $_.UserPrincipalName -ImmutableId $_.UserPrincipalName }

test.ne.jpにはドメインを入力してください

  • Office365をSAML2.0のサービスプロバイダ(SP)として設定する

続いてPowerShellでの操作になります。

Office365にログインした状態でSet-MsolDomainFederationSettings コマンドを使いますが、

オプションを正しく記述する必要があります。

Set-MsolDomainFederationSettings

 -DomainName test.ne.jp

 -SigningCertificate ダウンロードした証明書の内容を記入します。文字の羅列のように見えます。ABC

 -LogOffUri ドキュメントに残したSSOのURL http://SSO

 -PassiveLogOnUri ドキュメントに残したSSOのURL http://SSO

 -ActiveLogOnUri ドキュメントに残したSSOのURL http://SSO

 -IssuerUri ドキュメントに残したエンティティID http://en

例えば次のようなコマンドを打つことになります。

Set-MsolDomainFederationSettings -DomainName test.ne.jp -SigningCertificate ABC -LogOffUri http://SSO -PassiveLogOnUri http://SSO -ActiveLogOnUri http://SSO -IssuerUri http://en

  • GoogleのIdpメタデータファイル、証明書、SSOのURL、エンティティIDをoffice365に設定します。

これは Set-MsolDomainFederationSettings コマンドで行います。

ただ、https://portal.azure.comのGUIからも設定可能です。

「Azure Active Directory」  

  ↓

「External Identities」

  ↓

「すべてのIDプロバイダー」  

  ↓

「+新しいSAML/WS-Fed Idp」 と進みます。

プロトコルにSAML、ドメインにaccounts.google.com、メタデータ ファイル解析 ダウンロードしたメタデータを解析し、保存します。

※googleのマニュアルでは Set-MsolDomainFederationSettingsからのSet-MsolUserの順でしたが、

これではImmutabeIdが登録できませんでした。 ですので、

Set-MsolUserからのSet-MsolDomainFederationSettingsで 設定を行いました。

  •  GoogleをSAML IDプロバイダ(Idp)として設定します。

続いてGoogleWorkspaceでの設定です。

「アプリ」 「ウェブアプリとモバイルアプリ」 「アプリを追加」 「アプリを検索」と進みます。

 Office365と入力

「Office 365 SAML アプリケーション」 「選択」 「Google ID プロバイダの詳細」 「続行」

「サービスプロバイダの詳細」 「署名付き応答にチェック」 「名前IDの形式をPERSISENT」

「続行」 「属性のマッピング」 「フィールドを選択」で  Basic Information > Primary Email IDPEmail と設定 「完了」

あともう少し ラストのラスト

  • Office365アプリケーションを有効にする

引き続き、Googleでの設定です。

「アプリ」 「ウェブアプリとモバイルアプリ」 「Microsoft Office 365」 「ユーザーアクセス」 「オン(すべてのユーザー)」にする

 

 

-PC Tips

© 2025 快適おじさん日記 Powered by AFFINGER5