スキップしてメイン コンテンツに移動

Microsoft365アカウントでGoogleドライブを無料利用する方法~裏技級シングルサインオン実装

 

はじめに

Microsoft365を導入して運用されている会社で、どうしてもGoogleドライブを共有したかったり、Googleスプレッドシートで管理したい。といったニーズが出てしまう場合があります。

GoogleWorkspaceを契約することで解決するのですが、アカウントを従業員×2 管理するのは手間ですし、セキュリティ的にもリスクが高まってしまいます。

また、基本的にはビジネス用のGoogleWorkspaceは有料となり、グループウェアであるMicrosoft365を既に導入している会社としては、追加でGoogleWorkspaceを導入するのはハードルが高くなってしまいます。

そこで、すでに運用しているMicrosoft365のユーザーアカウントでGoogleドライブに無料でサインインする方法を説明します。

※例えば、〇〇@〇〇.comのMicrosoft365アカウントを利用している場合、同じアカウントとパスワードでGoogleドライブ内のサービスを利用できるようになります。

流れ

1.Cloud Identity Free Editionを取得

2.ドメインの所有権証明

3.AzureADからGoogleWorkspaceへのシングルサインオンを実装

4.AzureADで動的グループポリシーを割り当て自動化

5.GoogleWorkspace内で割り当て


作業

Cloud Identity Free Editionを取得

基本的には15GBのGoogleドライブが利用でき、Googleドキュメントやスプレッドシートなどが利用できるようになりますが、カレンダーなど、すべてのGoogleサービスが利用できるわけではないのでご注意ください。

それでは早速構築していきます。
作業時間は1時短程度となります。

※Cloud Identity とは

https://support.google.com/cloudidentity/answer/7319251?hl=ja


まず、次のURLから登録します。

https://workspace.google.com/signup/gcpidentity/welcome#0



企業または組織の詳細を登録します。


企業または組織の場所を登録します。


受信可能なメールアドレスを入力します。

企業または組織のドメイン名を入力します。
こちらが、ユーザーアカウントのドメインとなります。
〇〇@〇〇.com(Microsoft365で利用しているドメイン)

このドメインを使ってアカウントを設定しますか?
> 次へ

名前を入力します。
初めてアカウントを作成する場合、ここで作成したアカウントが管理者になりますので、Microsoft365の管理者と同じにするほうが、管理がシンプルになります。


ログイン情報を入力します。
管理者のアカウントになります。
admin 等


予備のメールアドレスを入力 > 最新の情報を受け取る(OKまたはいいえのどちらでもOK) > ユーザーにお知らせを送信(OKまたはいいえのどちらでもOK)

Cloud Identity契約を確認し、不都合なければロボットによる操作でないことの確認を忘れずチェックし、同意してアカウントを作成します。

Cloud Identityアカウントが作成されました。設定に進む > Admin Consoleに移動する

パスワードを入力して次へ > 新しいアカウントへようこそで、利用規約、ポリシー等を確認し、不都合なければ同意する > 管理コンソールへようこそ 次へ

Cloud Identity を設定しましょう 所有権を証明 をクリック

ドメインの所有権の証明で、TXT確認をします。続行を選択。

TXTレコードをコピーします。


ドメインホストのDNSレコードに追加して証明します。
ドメインホスト側の説明を確認ください。
また、設定項目等の詳細については、次のGoogleのドキュメントを参照してください。

ドメインの所有権を TXT レコードで証明する


お名前ドットコムでの例では、
ホスト名 @ , TYPE TXT , TTL 86400 , VALUE 先ほどコピーしたTXTレコード , 状態 有効 , 追加を選択
その他、設定を完了させ、登録します。


Googleのドメインの所有権の証明に戻り、ドメインの所有権を証明をクリックします。
反映されるまでしばらくかかることがあるので、数分おいてから実行します。
※最長60分程度かかるみたいです。

Cloud Identity を設定しましょう 作成


本人確認(パスワードを求められた場合は入力) 次へ


Google Admin(管理コンソール)が表示され、作成したユーザー(管理者)が表示されていれば、設定完了です。

AzureADからGoogleWorkspaceへのシングルサインオンを実装

続いて、Microsoft365のアカウントでシングルサインオンするための設定を紹介します。

一応、先ほど作成したアカウントがMicrosoft365のアカウントと同じであれば、Googleドライブの利用自体は可能なのですが、あくまでも別々のアカウントなので、Microsoft365側でユーザーパスワードを変更したり、ユーザー情報を変更してもGoogle側では反映されません。

同じユーザー情報でGoogleドライブを利用したい場合はAzureADからGoogleWorkspaceへのシングルサインオンを設定する必要があります。

最後に、一点注意ポイントがあり、先ほど作成した管理者権限をもったユーザーはシングルサインオンの対象から外れてしまうのでご注意ください。

なので、これから設定する一般ユーザーに対して有効の設定になります。

チュートリアル: Azure AD SSO と Google Cloud / G Suite Connector by Microsoft の統合

https://docs.microsoft.com/ja-jp/azure/active-directory/saas-apps/google-apps-tutorial#configure-google-cloud-g-suite-connector-sso


AzureADにアクセス > エンタープライズアプリケーション > 新しいアプリケーション > Google Cloud Platform

https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/~/AppAppsPreview



Google Cloud Platformを選択し、作成



ユーザーとグループ > ユーザーまたはグループの追加(シングルサインオンさせるユーザーまたはグループを追加して割り当てます)


シングルサインオン > SAML



識別子(エンティティID)

google.com
https://google.com
google.com/a/<所有権の証明をしたドメイン>
https://google.com/a/<所有権の証明をしたドメイン>


応答 URL (Assertion Consumer Service URL)

https://www.google.com
https://www.google.com/a/<所有権の証明をしたドメイン>

サインオン URL
https://www.google.com/a/<所有権の証明をしたドメイン>/ServiceLogin?continue=https://drive.google.com のパターンを使用して URL を入力します。
例ではGoogleドライブを設定しております。

保存を押して戻ります。


属性とクレーム > 編集

※日本語のユーザーネームの場合、サインイン時にエラーになる場合があります。その場合、ここで設定が必要になります。Microsoftのドキュメント通りではサインイン時にエラーになる場合があるので設定を紹介しておきます。



user.gibennameとuser.surnameを三点リーダーから削除します。

※メールをMicrosoft365以外で別途設定している場合、user.mailも削除する必要がある場合があります。



続いて、SANL署名証明書(Base64)ダウンロード > Google Cloud / G Suite Connector by Microsoft のセットアップ > 
ログインURLとログアウトURLをそれぞれコピーしてメモ帳などに張り付けておきます。



Googleの管理コンソールにアクセスします。
セキュリティ > 認証 > サードパーティのIdPによるSSD
 

SSOプロファイルを追加

サードパーティの ID プロバイダで SSO を設定する チェック
> ログインページのURL 先ほどメモ帳にコピーしたURL
> ログアウトURL 先ほどメモ帳にコピーしたURL
> 確認用の証明書 先ほどダウンロードした証明書をアップロード
> ドメイン固有の発行元を使用 チェック

パスワード変更用URL
https://account.activedirectory.windowsazure.com/changepassword.aspx

保存を選択


プロビジョニングの設定

設定したMicrosoft365ユーザーを自動的にGoogleユーザーとして追加するために、プロビジョニングの設定をします。
再度、AzureADに戻ります。

管理 > プロビジョニング


プロビジョニングモード > 自動 > 承認する


アカウントの選択 > Googleテナントのadminユーザー > 許可


プロビジョニングの開始を選択すると、プロビジョニングが開始されます。

お疲れ様でした。

コメント

このブログの人気の投稿

リビングの環境監視ダッシュボードを60分で作る方法をQiitaに投稿してから数年たった今のお話。

 数年前に、 Nature Remo を利用してリビングの環境監視する仕組みを作りました。たくさんの方から作り方を教えてほしいとの要望があったので、 Qiita に投稿したところ、Twitterで注目していただき、さらにNature株式会社公式ブログ( https://nature.global/blog/1072/#title1 )でも紹介していただき感動です。 その後もどうにか稼働しているので、その様子を少し紹介してみたいと思います。 リビングの環境監視ダッシュボードを60分で作る方法(Nature Remo Cloud APIとGoogleサービス連携) アップデート 1.複数台運用 寝室用にもう1台Nature Remoを購入したので、複数の部屋の環境を可視化してみました。 複数台のNature Remoを利用する方法については、mumunus様にコメントいただきました。本当に感謝です。 https://qiita.com/t-chi/items/01b9a9b98fbccef880c3#comment-5c5e624fb37745493b84 複数台運用では、データソースを部屋ごとに分けて運用することにしました。任意に振られた番号[0]、[1]・・・で指定することで、Googleスプレッドシートごとに運用できるみたいです。 ※セルの上限制約を意識して、今回は端末ごとにシートを分けて作成してみました。 2.職場のサーバー室の環境監視 小規模な職場に勤めているのですが、停電により空調が止まってしまい、サーバー室の温度が一気に上がりネットワーク機器が故障の危機に陥ったことがありました。 サーバー類はUPS(無停電電源装置)によりシャットダウンを防ぐことができるのですが、夜中に停電したりするとエアコンが切れてしまい、朝には高価なサーバー機器が故障している。なんてことになれば組織にとって大きな損失となってしまいます。 そこで、プライベートで実装した仕組みを活かして、サーバー室にNature Remoを設置して環境監視をすることにしました。 さらに、一定温度以上になれば、管理職と担当、副担当に自動でメールが発出する仕組みを構築しました。 簡易な仕組みですが、無料で運用できるため今まで何もなかったことからすれば一定の保険になるかと思います。 エラー発生の原因 数年にわた

Google Workspaceのアカウントを個人スマホに追加して使おうとしたらアプリが使えないときの対処方法

はじめに 個人デバイスで仕事で利用しているGoogleWorkspaceを利用する場合、Androidスマホだとユーザーを別途用意してスマホにサインインするように運用したほうがセキュリティ上安全な場合があります。 ユーザー追加が終わり、アプリを利用しようとしたときにデータがスマホに同期されない原因の一つに、管理コンソール上の設定があります。 仕事用プロファイルを追加できません。 このデバイスには仕事用プロファイルを追加できません。ご不明な点がある場合は、IT管理者にお問い合わせください。 というメッセージが表示され、Gメールなどのアプリに情報が同期されず利用できないときの対処法を紹介します。 前提条件として、デバイスで仕事用プロファイルの設定が求められるといったケースです。 原因 管理コンソール上の端末管理設定が「詳細」になっているから。 解決策 モバイル管理の設定を「詳細」から「標準」に変更する。 「詳細」が選択されている場合は、Google Workspace のアカウントを利用時に仕事用プロファイルの設定が必須であり、より細かな制御が可能となります。 「標準」の設定であれば、細かな制御はできなくなってしまいますが、仕事用プロファイルの設定なくアカウント追加が可能になります。 手順 1.管理者アカウントで Google Admin にアクセス 2.デバイス>モバイルとエンドポイント>設定>一般設定>全般 3.全般>モバイル管理>標準(エージェント不要)に変更 ダウングレードの文字が出る場合があるが、OKで設定が適用されます。24時間反映にかかる場合があるみたいです。 4.既に個人のスマートフォンの [ 設定 ] > [ アカウント ] の欄に該当アカウントが存在している場合は、一度ログアウトさせてから再追加 まとめ BYODなどで、個人デバイスを業務利用するシーンが増えてきていると思います。 管理者に確認し、適切なセキュリティ運用を心がけてください。

GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編

 はじめに Googleアカウントを持っていれば、Googleスプレッドシートをデータベースとしてアプリを作ることができるAppSheet。しかも、グーグルストアやアップルストアに登録する必要がなく、スマホ、タブレット、パソコンなど、色々なデバイスで利用可能な自分だけのアプリが作成可能です。 簡単にアプリを作ることが出来る ので手軽に始めることができるAppSheet。 ところが、このAppSheet。作りこみ次第ではデータからPDFを自動で作成し、指定のメールアドレスに一斉配信など、会社の 基幹システムレベルの構築が可能 であり、かなり奥の深いサービスだったりします。 作りこみを委託するケースも今後増えるんじゃないか?と思ったので、今回は 作成を代行してもらう方法 を紹介したいと思います。 手順 代行者側 Googleスプレッドシートでデータ作成 AppSheetでデータソースを紐付ける AppSheetの共同編集者に依頼者を設定する AppSheetのUsersからUser emailsに依頼者のGoogleアカウントを入力し、 私はロボットではありません をチェックします。 登録したユーザーの設定をします。 Can edit definition 、 Role:Admin、App version: Defaultにします。 Linksタブから、 アプリのURLをコピー して依頼者に共有します。 念の為、SAVEを忘れずしておきましょう。 URL共有時のメール例文 --- ○○さま お世話になっております。 アプリを作成したのでURLを送付いたします。 設定させていただいたGoogleアカウントによりアクセス可能です。 ご確認よろしくお願いいたします。 AppSheet https://www.appsheet.com/template/Apps アプリインストール用URL https://www.appsheet.com/newshortcut/○○○ ブラウザ利用におけるURL https://www.appsheet.com/start/○○○ 参考 GoogleアカウントだけでWEBアプリを作る方法。〜作成代行してもらったAppSheetを受け取る編 (goog-life.blogspot.com) --- 依頼者側 メールが届いたら、AppSheet