Azure ADユーザのimmutableIdを取得し、CSVインポートでIIJ IDユーザのアプリケーション連携IDに設定する方法を説明します。
本手順は以下の場合に実施してください。

• すでにMicrosoft 365を利用しており、他社IDaaSを利用して認証連携をしていた（Azure ADユーザのimmutableId属性に値が設定されている）
• Microsoft 365へのID連携でActive Directoryを利用していない

移行の流れ

Microsoft 365を他社IDaaSと認証連携していた場合、Azure ADユーザにはimmutableId属性が設定されています。
immutableId属性はIIJ IDサービスから送信するSAMLレスポンスに含める必要があるため、IIJ IDサービスのユーザに設定する必要があります。

本手順ではCSVファイルを利用して、Azure ADユーザのimmutableId属性をIIJ IDユーザのアプリケーション連携IDに設定します。

移行手順

Azure ADユーザのimmutableIdの取得

Azure ADのimmutableId属性の値をPowerShellスクリプトで取得します。

1. Windows PowerShellをセットアップします。
   セットアップ方法については、「Windows PowerShellをセットアップする」をご覧ください。

2. スクリプトを作成します。
   以下のスクリプトをコピーし、「migrate.ps1」というファイル名で保存します。

   Install-Module -Name Microsoft.Graph
   Connect-MgGraph -Scopes 'User.Read.All' -ContextScope Process
   Get-MgUser -All -Property @("UserPrincipalName", "OnPremisesImmutableId") | Select-Object UserPrincipalName,OnPremisesImmutableID | ConvertTo-Csv -NoTypeInformation

3. Windows端末上でPowerShellを起動します。

4. PowerShellスクリプトを以下のコマンドを例に実行します。

   標準出力に実行結果が出力されます。

   実行例）
   

   PS> powershell -ExecutionPolicy bypass -File '.\migrate.ps1'

   【参考】

   実行時に以下の画面が表示される場合があります。
   この画面が表示された場合は「組織の代理として同意する」にチェックを入れずに「承認」をクリックしてください。

   

immutableIdをIIJ IDユーザのアプリケーション連携IDに設定

Azure ADユーザのimmutableId属性を、CSVインポートを利用してIIJ IDユーザのアプリケーション連携IDに設定します。

1. IIJ IDサービスにインポートさせるためにCSVファイルを準備します
   「Azure ADユーザのimmutableIdの取得」で取得したCSVデータのヘッダ行を、以下の通りに修正します。

   修正前	修正後
   userPrincipalName	login_id
   immutableId	downstream_id

2. IIJ IDサービスにCSVファイルをインポートします。
   CSVファイルのインポートについては、「ユーザのインポート（CSV）」をご覧ください。