Microsoft Entra ID との統合

  • リリースバージョン: Yokohama
  • 更新日 2025年02月18日
  • 所要時間:14分
  • ServiceNow インスタンスを Microsoft Entra ID と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    プロセス Microsoft Entra ID アプリケーションで必要なユーザーロール 認証スコープ
    • ダウンロードユーザー
    • ダウンロードグループ
    • グループメンバーシップをダウンロード
    アプリケーション開発者
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    アプリケーションのダウンロード アプリケーション開発者
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    • コネクトアプリケーション
    • 接続されたアプリケーションの更新
    • グローバルリーダー/レポートリーダー/セキュリティ/アドミニストレーター/セキュリティオペレーター/セキュリティリーダー
    • アプリケーション開発者
    • AuditLog.Read.All
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    サブスクリプションを再利用 ユーザーアドミニストレーター User.ReadWrite.All

    Microsoft Entra IDアプリケーションの作成

    Microsoft Entra IDポータルでアプリを作成して、Now Platformと統合します。

    始める前に

    Microsoft Entra ID 必要なロール:最小 ユーザー権限 テーブルを参照してください。

    手順

    1. AzureポータルからMicrosoft Entra IDにアクセスします。
    2. Microsoft Entra IDアプリケーションを作成します。
      「」を参照してください。 作成 Microsoft Entra ID application アプリケーションの登録と構成に関する詳細な手順を参照してください。
      1. [ リダイレクト URI ] フィールドに「 https://<instance-name>.service-now.com/oauth_redirect.do と入力します。 ここで、<instance-name>ServiceNow インスタンスの名前です。
      2. サードパーティ OAuth プロバイダーとしてアプリを ServiceNow インスタンスに登録するアプリケーション (クライアント) ID とディレクトリ (テナント) ID を記録します。
      3. サードパーティ OAuth プロバイダーとしてアプリを ServiceNow インスタンスに登録するには、クライアントシークレットを作成し、正しい値 (クライアントシークレット ID ではない) を保存します。
      4. Microsoft Graph API にアクセスするための権限を追加します。
        権限 タイプ
        AuditLog.Read.All 委任
        User.Read.All 委任
        User.ReadWrite.All 委任
        GroupMember.Read.All 委任
        Application.Read.All 委任
        詳細については、「 Web API にアクセスするためのアクセス許可の追加」を参照してください。
      5. アプリケーションにアドミンの同意を付与します。
        詳細については、「 API 権限とアドミンの同意 UI について」を参照してください。

    Microsoft Entra ID 統合プロファイルの作成

    ServiceNowインスタンスにMicrosoft Entra ID統合プロファイルを作成します。

    始める前に

    Microsoft Entra ID統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理 - SaaS ライセンス管理 プラグイン (sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator または admin

    重要:
    [Application Manager] ページでオプションの機能をインストールするときに、この統合の [Microsoft Entra ID スポーク] チェックボックスをオンにする必要があります。必要な SaaS アプリケーションの選択の詳細については、「 SaaS ライセンス管理の要求」を参照してください。

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 のバージョン 7.0.0 および Microsoft Entra ID スポークのバージョン 3.1.0 以降、ServiceNowインスタンスは、作成した Microsoft Entra ID 統合プロファイルごとに個別の Entra ID 接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Microsoft Entra ID 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペース を使用している場合、コア UIMicrosoft Entra ID 統合プロファイルを作成するオプションは無効です。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. [Microsoft Entra ID 統合プロファイル] を選択します。
      ソフトウェア資産ワークスペース
      1. 移動先 ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. ドロップダウンリストから [Microsoft Entra ID 統合プロファイル ] を選択します。
      4. [続行] を選択します。
    2. [ 表示名] フィールドに、統合プロファイルの名前を入力します。

      残りのフィールドは、フォームを送信すると自動的に入力されます。

      注:
      SSO 統合は、ディレクトリ統合を使用して作成されます。ディレクトリ統合は、SSO 統合に関連付けられている SSO アプリケーション、ユーザー、およびグループデータをプルします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。

      すでに Microsoft Entra ID ディレクトリ統合がある場合、SSO 統合は既存のディレクトリ統合を使用します。それ以外の場合は、 Microsoft Entra ID ディレクトリ統合が自動的に作成されます。

    3. [プロセスの構成] セクションで、必要なユーザーロールまたは API 権限を表示して、セキュリティリスクを最小限に抑え、 SaaS ライセンスを最適化します。
      注:
      必要なロールとスコープの詳細については、「 最小限のユーザー権限 」の表を参照してください。
      • [ アプリケーション、ユーザー、およびグループをダウンロードする ] チェックボックスはデフォルトでオンになっており、オフにすることはできません。

      • [ ダウンロードアクティビティ] チェックボックスはデフォルトでオンになっています。これをクリアすると、接続されているアプリケーションの最後のアクティビティはプルされません。
      • [ サブスクリプションを再利用] チェックボックスはデフォルトでオンになっています。サブスクリプションを再利用しない場合は、このチェックボックスをオフにします。これをクリアすると、削除候補は作成されますが、再利用サブスクリプションサブフローはトリガーされないか、再利用プロセスは開始されません。

    4. [送信] を選択します。
      [ 接続および資格情報 ] フィールドが表示されます。
    5. [新しい接続および資格情報の作成] 関連リンクを選択します。
      注:
      ソフトウェア資産ワークスペース がインストールされている場合は、接続と資格情報レコードを開き、[新しい接続および資格情報の作成] 関連リンクを選択します。
    6. フォームで、フィールドに入力します。
      表 : 2. 接続と資格情報フォームを作成
      フィールド
      認証 URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/authorize。ここで<directory-id> は、 Azure ポータルからのディレクトリー (テナント) ID です。
      トークン URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token<directory-id>Azure ポータルからのディレクトリー (テナント) ID です。
      トークン URL の取り消し (Revoke token URL) https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke。ここで<directory-id>Azure ポータルからのディレクトリー (テナント) ID です。
      OAuth クライアント ID Azureポータルで作成したアプリケーションのアプリケーション (クライアント) ID。
      OAuth クライアントシークレット Azureポータルで作成したアプリケーションのクライアントシークレット。
      OAuth リダイレクト URL https://<instance-name>.service-now.com/oauth_redirect.doここで <instance-name>ServiceNow インスタンスの名前です。この値は、自動的に入力されます。
    7. [OAuth トークンを作成して取得] を選択します。
      Azureポータルにリダイレクトされます。この手順を実行するために必要なロールについては、「 最小ユーザー権限 」の表を参照してください。
    8. ポップアップウィンドウで、アドミン認証情報を使用してアカウント Microsoft Entra ID サインインします。
    9. 統合プロファイルフォームで、[ 接続を検証 ] を選択して、この統合の接続と認証情報の詳細を確認します。
    10. 接続が確認されたら、[ 公開] を選択します。
    11. [公開の確認] ダイアログボックスで、[ OK] を選択します。
      統合プロファイルの公開後に [ダウンロードアクティビティ] チェックボックスをオフにした場合は、次のイベントが発生するため、接続を再検証する必要があります。
      • [ 接続を検証 ] ボタンがフォームに表示されます。
      • 接続されたアプリケーションのユーザーの最後のアクティビティはプルされなくなります。
      スケジュール済みジョブとディレクトリジョブは、すべてのアプリケーション、ユーザー、およびグループのリストをダウンロードします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。統合プロファイルの [スケジュール済みジョブの結果] 関連リストと [ディレクトリジョブ結果] 関連リストでジョブのステータスを表示します。サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリケーションに対して、ソフトウェアモデルが自動的に作成されます。

    タスクの結果

    統合プロファイルを公開し、アプリケーションをプロファイルに接続すると、現在の日付の最大 60 日前までに個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリを接続

    シングルサインオン (SSO) アプリを接続して、アプリにアクセスできるすべてのユーザーとグループを表示します。ユーザーのログインデータを追跡し、未使用のライセンスを再利用します。

    始める前に

    必要なロール:sam_integrator または admin

    このタスクについて

    注:
    Microsoft Entra ID、アプリケーション構成ページの [アサインが必要] トグルボタンは、ユーザーによるアプリケーションへのアクセスを制御します。
    • [ アサインが必要 ] トグルボタンが [はい] に設定されている場合は、このアプリケーションを Microsoft Entra ID ユーザーと関連するアプリケーションおよびサービスにアサインする必要があります。アプリケーションをアサインすると、 Microsoft Entra ID ユーザー、関連付けられたアプリケーション、およびサービスがそのアプリケーションにアクセスできるようになります。
    • [ アサインが必要 ] トグルボタンが [ いいえ] に設定されている場合、すべてのユーザーがアプリケーションにログインできます。関連するアプリケーションとサービスも、このサービスへのアクセストークンを取得できます。

    SaaS ライセンス管理 は、一部のアプリケーションとの直接統合を提供します。直接統合では、最も堅牢な使用状況データが提供されます。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。アプリの直接統合がある場合、SSO 統合で同じアプリを接続すると、 ServiceNow インスタンスに重複するサブスクリプションレコードが作成されます。SSO アプリを接続し、後でそのアプリの直接統合を作成する場合は、直接統合を作成する前にアプリを切断します。

    注:
    ソフトウェア資産ワークスペース を使用している場合、コア UIで SSO アプリケーションに移動するオプションは非アクティブです。

    手順

    1. アプリケーションに移動します。
      インターフェイスアクション
      コア UI 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO アプリケーション.
      ソフトウェア資産ワークスペース 移動先 ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル.
    2. 接続するアプリケーションを選択します。
      ソフトウェア資産ワークスペースの場合は、[SSO アプリケーション] タブを選択します。
    3. [ ソフトウェアモデル ] フィールドが空の場合は、アプリのソフトウェアモデルを追加します。
      接続するには、アプリにソフトウェアモデルが必要です。サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリに対して、ソフトウェアモデルが自動的に作成されます。他のすべてのアプリでは、ソフトウェアモデルを手動で作成できます。詳細については、「ソフトウェア資産管理クラシック版でのソフトウェアモデルの作成」を参照してください。
    4. [ 前回のアクティビティを分析] フィールドの日付を選択します。

      個々のユーザーとアプリケーションのログインデータの分析は、現在の日付から開始するか、過去最大 60 日から開始するかを選択できます。デフォルト値は 30 日です。過去の日付を選択すると、最近使用されていないサブスクリプションを表示できるため、リアルタイムで待機することなく古いサブスクリプションを検出できます。過去の日付を選択すると分析されるデータの量が増えるため、結果が表示されるまでに時間がかかる場合があります。

    5. [保存] をクリックします。
    6. [接続] を選択します。
      ヒント:
      SSO アプリケーションリストから複数のアプリを同時に接続することもできます。

      コア UIインターフェイスで、リストの横にあるチェックボックスを使用してアプリを選択します。リストの下部にある [選択した行のアクション] ドロップダウンメニューを選択し、[ 接続] を選択します。一部のアプリにソフトウェアモデルがない場合、 接続 アクションはすべてのアプリが接続されているわけではないことを示します。たとえば、[ コネクト (1/4 )] は、選択した 4 つのアプリのうち 1 つだけが接続されていることを示します。残りのアプリを接続するソフトウェアモデルを追加します。

    タスクの結果

    SSO アプリケーションが接続されると、 ServiceNow インスタンスは、毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールを自動的に作成します。

    次のタスク

    自動的に生成されたすべての再利用ルールを確認して、ユーザーサブスクリプションを再利用するための仕様を満たします。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成し、所有するソフトウェアに対して使用済みソフトウェアを追跡します。ソフトウェア資産管理 クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「クラシック版でエンタイトルメントを作成するソフトウェア資産管理」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでのエンタイトルメントの作成」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用したエンタイトルメントの作成」を参照してください。

    調整は、サブスクリプションでスケジュール済みジョブとして、またはオンデマンドで実行されます。調整結果は、 ライセンスワークベンチ (クラシックアプリケーションソフトウェア資産管理 ) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、非準拠を修正します。ソフトウェア資産管理 クラシックアプリケーションでの調整の実行の詳細については、「クラシック版でソフトウェア調整を実行するソフトウェア資産管理」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでのソフトウェア調整の実行」を参照してください。