Microsoft365アカウントでGoogleドライブを無料利用する裏技~シングルサインオン実装

AzureAD

 

はじめに

Microsoft365を導入して運用されている会社で、どうしてもGoogleドライブを共有したかったり、Googleスプレッドシートで管理したい。といったニーズが出てしまう場合があります。

GoogleWorkspaceを契約することで解決するのですが、アカウントを従業員×2 管理するのは手間ですし、セキュリティ的にもリスクが高まってしまいます。

また、基本的にはビジネス用のGoogleWorkspaceは有料となり、グループウェアであるMicrosoft365を既に導入している会社としては、追加でGoogleWorkspaceを導入するのはハードルが高くなってしまいます。

そこで、すでに運用しているMicrosoft365のユーザーアカウントでGoogleドライブに無料でサインインする方法を説明します。

※例えば、〇〇@〇〇.comのMicrosoft365アカウントを利用している場合、同じアカウントとパスワードでGoogleドライブ内のサービスを利用できるようになります。

流れ

1.Cloud Identity Free Editionを取得

2.ドメインの所有権証明

3.AzureADからGoogleWorkspaceへのシングルサインオンを実装

4.AzureADで動的グループポリシーを割り当て自動化

5.GoogleWorkspace内で割り当て

作業

Cloud Identity Free Editionを取得

基本的には15GBのGoogleドライブが利用でき、Googleドキュメントやスプレッドシートなどが利用できるようになりますが、カレンダーなど、すべてのGoogleサービスが利用できるわけではないのでご注意ください。

それでは早速構築していきます。
作業時間は1時短程度となります。

※Cloud Identity とは

Cloud Identity とは - Cloud Identity ヘルプ
Cloud Identity は IDaaS(Identity as a Service)ソリューションであり、企業向けモバイル管理(EMM)サービスです。Google Workspace で利用できる ID サービスとエンドポイント管理を...

まず、次のURLから登録します。

Sign Up for Cloud Identity

企業または組織の詳細を登録します。

企業または組織の場所を登録します。

受信可能なメールアドレスを入力します。

企業または組織のドメイン名を入力します。

こちらが、ユーザーアカウントのドメインとなります。
〇〇@〇〇.com(Microsoft365で利用しているドメイン)

このドメインを使ってアカウントを設定しますか?

> 次へ
名前を入力します。
初めてアカウントを作成する場合、ここで作成したアカウントが管理者になりますので、Microsoft365の管理者と同じにするほうが、管理がシンプルになります。
ログイン情報を入力します。
管理者のアカウントになります。
admin 等
予備のメールアドレスを入力 > 最新の情報を受け取る(OKまたはいいえのどちらでもOK) > ユーザーにお知らせを送信(OKまたはいいえのどちらでもOK)
Cloud Identity契約を確認し、不都合なければロボットによる操作でないことの確認を忘れずチェックし、同意してアカウントを作成します。

Cloud Identityアカウントが作成されました。設定に進む > Admin Consoleに移動する

パスワードを入力して次へ > 新しいアカウントへようこそで、利用規約、ポリシー等を確認し、不都合なければ同意する > 管理コンソールへようこそ 次へ

Cloud Identity を設定しましょう 所有権を証明 をクリック

ドメインの所有権の証明で、TXT確認をします。続行を選択。

TXTレコードをコピーします。

ドメインホストのDNSレコードに追加して証明します。
ドメインホスト側の説明を確認ください。
また、設定項目等の詳細については、次のGoogleのドキュメントを参照してください。
ドメインの所有権を TXT レコードで証明する
お名前ドットコムでの例では、
ホスト名 @ , TYPE TXT , TTL 86400 , VALUE 先ほどコピーしたTXTレコード , 状態 有効 , 追加を選択
その他、設定を完了させ、登録します。

Googleのドメインの所有権の証明に戻り、ドメインの所有権を証明をクリックします。

反映されるまでしばらくかかることがあるので、数分おいてから実行します。
※最長60分程度かかるみたいです。
Cloud Identity を設定しましょう 作成

本人確認(パスワードを求められた場合は入力) 次へ

Google Admin(管理コンソール)が表示され、作成したユーザー(管理者)が表示されていれば、設定完了です。

AzureADからGoogleWorkspaceへのシングルサインオンを実装

続いて、Microsoft365のアカウントでシングルサインオンするための設定を紹介します。

一応、先ほど作成したアカウントがMicrosoft365のアカウントと同じであれば、Googleドライブの利用自体は可能なのですが、あくまでも別々のアカウントなので、Microsoft365側でユーザーパスワードを変更したり、ユーザー情報を変更してもGoogle側では反映されません。

同じユーザー情報でGoogleドライブを利用したい場合はAzureADからGoogleWorkspaceへのシングルサインオンを設定する必要があります。

最後に、一点注意ポイントがあり、先ほど作成した管理者権限をもったユーザーはシングルサインオンの対象から外れてしまうのでご注意ください。

なので、これから設定する一般ユーザーに対して有効の設定になります。

チュートリアル: Azure AD SSO と Google Cloud / G Suite Connector by Microsoft の統合

チュートリアル: Microsoft Entra SSO と Google Cloud/G Suite Connector by Microsoft の統合 - Microsoft Entra ID
Microsoft Entra ID と Google Cloud/G Suite Connector by Microsoft の間でシングル サインオンを構成する方法について説明します。

AzureADにアクセス > エンタープライズアプリケーション > 新しいアプリケーション > Google Cloud Platform

Microsoft Entra admin center

Google Cloud Platformを選択し、作成

ユーザーとグループ > ユーザーまたはグループの追加(シングルサインオンさせるユーザーまたはグループを追加して割り当てます)

シングルサインオン > SAML

識別子(エンティティID)

google.com
https://google.com
google.com/a/<所有権の証明をしたドメイン>
https://google.com/a/<所有権の証明をしたドメイン>

応答 URL (Assertion Consumer Service URL)

https://www.google.com
https://www.google.com/a/<所有権の証明をしたドメイン>
サインオン URL
https://www.google.com/a/<所有権の証明をしたドメイン>/ServiceLogin?continue=https://drive.google.com のパターンを使用して URL を入力します。
例ではGoogleドライブを設定しております。
保存を押して戻ります。

属性とクレーム > 編集

※日本語のユーザーネームの場合、サインイン時にエラーになる場合があります。その場合、ここで設定が必要になります。Microsoftのドキュメント通りではサインイン時にエラーになる場合があるので設定を紹介しておきます。

user.gibennameとuser.surnameを三点リーダーから削除します。

※メールをMicrosoft365以外で別途設定している場合、user.mailも削除する必要がある場合があります。

続いて、SANL署名証明書(Base64)ダウンロード > Google Cloud / G Suite Connector by Microsoft のセットアップ > 

ログインURLとログアウトURLをそれぞれコピーしてメモ帳などに張り付けておきます。

Googleの管理コンソールにアクセスします。
セキュリティ > 認証 > サードパーティのIdPによるSSD
 

SSOプロファイルを追加

サードパーティの ID プロバイダで SSO を設定する チェック

> ログインページのURL 先ほどメモ帳にコピーしたURL
> ログアウトURL 先ほどメモ帳にコピーしたURL
> 確認用の証明書 先ほどダウンロードした証明書をアップロード
> ドメイン固有の発行元を使用 チェック


パスワード変更用URL
https://account.activedirectory.windowsazure.com/changepassword.aspx


保存を選択

プロビジョニングの設定

設定したMicrosoft365ユーザーを自動的にGoogleユーザーとして追加するために、プロビジョニングの設定をします。
再度、AzureADに戻ります。
管理 > プロビジョニング

プロビジョニングモード > 自動 > 承認する

アカウントの選択 > Googleテナントのadminユーザー > 許可

プロビジョニングの開始を選択すると、プロビジョニングが開始されます。

お疲れ様でした。

コメント

タイトルとURLをコピーしました