automation-cloud

latest

false

重要 :

このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。新しいコンテンツの翻訳は、およそ 1 ～ 2 週間で公開されます。

Automation Cloud 管理ガイド

最終更新日時 2025年10月31日

Microsoft Entra ID 連携を設定する

このページでは、次の操作に関するガイドラインを示します。

連携用に Microsoft Entra ID を設定する方法
連携後にユーザーと権限を管理する方法

基本情報

メリット

Microsoft Entra ID 連携を Automation Cloud^TM と連携すると、次のメリットがあります。

シングルサインオン (SSO): ユーザーが Microsoft Entra ID の資格情報を使用して Automation Cloud^TM にアクセスできるようになります。
ユーザー管理の簡素化: Microsoft Entra ID の既存のユーザーとグループを使用してアクセス権を管理できます。
セキュリティの強化: Microsoft Entra ID の多要素認証、条件付きアクセス、特権 ID 管理などの機能を適用できます。
シームレスな移行: メールアドレスが一致する限り、中断なしにローカルアカウントから移行できます。

制限事項と考慮事項

Microsoft Entra ID 連携を使用する場合は、以下の制限事項に注意してください。

Unattended ロボットと個人用アクセストークン: Microsoft Entra ID では、ディレクトリアクセス中にユーザーが存在する必要があります。その結果、以下の制限が適用されます。
- Microsoft Entra ID のディレクトリユーザーアカウントは、無人オートメーションの実行時や個人用アクセストークンの使用時にグループ権限を継承できません。
- Microsoft Entra ID グループにアクセス制限を適用した場合、Unattended ロボットがユーザーの代わりに組織にアクセスすることはできません。
ユーザーアカウント管理: ディレクトリユーザーとディレクトリグループは Microsoft Entra ID でのみ管理できます。これらのアカウントは、検索時または権限の割り当て時にのみ Automation Cloud^TM に表示されます。
アプリケーションのカスタムキー: Microsoft Entra ID 連携では OIDC プロトコルが使用されますが、appid クエリパラメーターを介して渡されるアプリケーションのカスタムキーはサポートされていません。詳しくは、Microsoft のアクセストークンに関するドキュメントをご覧ください。

はじめる前に

Microsoft Entra ID 連携を設定する前に、以下があることを確認してください。

以下のライセンス要件のいずれかを満たす Automation Cloud^TM 組織。
- ユニファイドプライシング: Enterprise プランまたは Standard プランが必要です。
- フレックス: Enterprise プラン (Standard ティアまたは Enterprise ティアのいずれか) が必要です。
Automation Cloud^TM の管理者権限
次の Microsoft Entra ID ロールのいずれか。
- クラウドアプリケーション管理者
- アプリケーション管理者
- Microsoft Entra ID アプリケーションに対して管理者の同意を付与できる任意のロール
Automation Cloud^TM の管理者アカウントと同じメールアドレスを使用する Microsoft Entra ID アカウント (テスト用)
プロダクトライフサイクルのドキュメントに規定されている UiPath Studio および Assistant のサポート対象バージョン。

手順 1: アカウントのリンクのために組織を準備する

Microsoft Entra ID 連携を有効化すると、Automation Cloud^TM は一致するメールアドレスを持つアカウントを自動的にリンクします。ユーザーが Microsoft Entra ID を使用して初めてサインインすると、Automation Cloud^TM はディレクトリユーザーアカウントを作成し、一致するローカルアカウントと同じ権限を割り当てます。

重要: Microsoft Entra ID 連携を有効化する前に、非アクティブユーザーを Automation Cloud^TM から削除してください。これにより、これらのメールアドレスが組織内の別のユーザーに再割り当てされた場合に、権限のエスカレーションを防ぐことができます。

手順 2: Microsoft Entra ID 連携を設定する

この Microsoft Entra ID 連携では、Microsoft の ID プラットフォームと、ハイブリッド OAuth 2.0 認証コード付与フローに基づく委任アクセスモデルを使用します。

Microsoft Entra 連携を設定すると、Automation Cloud^TM で以下の操作を実行できます。

Microsoft Entra ID の資格情報を使用してユーザーをサインインさせます。
Microsoft Entra ID ディレクトリからユーザープロファイルとグループメンバーシップを読み取ります。
Microsoft Entra ID グループの割り当てに基づいてアクセス制御を適用します。

Microsoft Entra ID 連携を設定するには、以下の権限が必要です。

Microsoft Entra ID のアクセス許可	目的
`email`、`openid`、`profile`、`offline_access`、および `User.Read`	これにより、ユーザーは Microsoft Entra ID でサインインできます。また、Automation Cloud^TM で認可要求内のメールアドレス要求やプロファイル要求を取得できます。
`User.ReadBasic.All` または `User.Read.All`	これにより、Automation Cloud^TM の Microsoft Entra ID ディレクトリでユーザーを検索して、リソースの共有や権限の割り当てを行うことができます。また、Automation Cloud^TM でユーザー属性を最新の状態に保つことができます。 Automation Hub で `City`、`Job Title`、`Department` などのプロパティを使用するには、`User.Read.All` 権限が必要です。
`GroupMember.Read.All`	これにより、Automation Cloud^TM でグループメンバーシップを評価し、ディレクトリグループベースのアクセス制御を適用できます。

設定方法

Microsoft Entra ID と連携するには、Microsoft Entra ID テナントで Automation Cloud^TM を表す Microsoft Entra ID アプリケーションを設定する必要があります。

以下のいずれかの設定方法を選択できます。

(推奨) 自動セットアップ: UiPath で管理される Microsoft Entra ID アプリケーション (マルチテナントモデル) を使用すると、次のようなメリットがあります。
- 管理すべきシークレットや証明書はありません。
- 迅速かつ確実にセットアップできます。
- UiPath が Microsoft Entra ID アプリケーションを管理します。
カスタム Microsoft Entra ID アプリケーションの登録による手動セットアップ: 独自の Microsoft Entra ID アプリケーションを使用し、その構成を手動で管理します。以下の点にご注意ください。
- アプリケーションの資格情報を作成および管理する必要があります。
- 資格情報には有効期限があるため、定期的な更新が必要です。
- 有効期限が切れる前に資格情報が更新されない場合、ユーザーはサインインできません。

UiPath で管理される Microsoft Entra ID アプリケーションを使用した自動セットアップ (推奨)

設定を簡素化し、シークレットや証明書の管理を避けたい場合は、この方法を使用します。UiPath では、ほとんどの組織にこのアプローチを推奨しています。

Microsoft Entra ID 管理者と Automation Cloud^TM 管理者を兼任している場合

Microsoft Entra ID 管理者と Automation Cloud^TM 管理者を兼任している場合は、以下の手順に従って、UiPath で管理されるマルチテナントアプリケーションを使用して連携を設定します。

Automation Cloud^TM で、[管理] > [セキュリティ] > [認証設定] > [ディレクトリ連携とシングルサインオン (SSO)] に移動します。
[Microsoft Entra ID] を選択します。
[UiPath で管理されるマルチテナントアプリケーション (推奨)] を選択します。
[既存のユーザーと Microsoft Entra ID ユーザーのメールアドレスが一致する場合は、それぞれのアカウントがリンクされることを理解し、それに同意します。] をオンにします。
[同意する] を選択し、Microsoft Entra ID アカウントでサインインします。
Microsoft Entra ID の同意プロンプトで、[組織の代表として同意] を選択してから [承諾] を選択します。
[保存] を選択して連携をアクティブ化します。

専任の Automation Cloud^TM 管理者の場合

Microsoft Entra ID の管理者権限はないが、Automation Cloud^TM 管理者である場合は、以下の手順を実行して管理者の同意をリクエストし、連携を完了します。

Automation Cloud^TM で、[管理] > [セキュリティ] > [認証設定] > [ディレクトリ連携とシングルサインオン (SSO)] に移動します。
[Microsoft Entra ID] を選択します。
[UiPath で管理されるマルチテナントアプリケーション (推奨)] を選択します。
[既存のユーザーと Microsoft Entra ID ユーザーのメールアドレスが一致する場合は、それぞれのアカウントがリンクされることを理解し、それに同意します。] をオンにします。
[同意する] を選択し、Microsoft Entra ID アカウントでサインインします。

Microsoft Entra ID の管理者権限がないため、次のいずれかのプロンプトが表示されます。
- [承認をリクエスト] (Microsoft のドキュメント「管理者の承認を要求する」を参照)。Microsoft Entra ID 管理者がリクエストを承認したら、次の手順に進みます。
- Microsoft のドキュメントに記載されているように、管理者の承認が必要です。次の手順を実行するよう、Microsoft Entra ID 管理者に依頼してください。
  1. この URL に移動して、Microsoft Entra ID の同意プロンプトを開きます。
  2. [組織の代表として同意] を選択してから [承諾] を選択します。
管理者の同意が付与されたことを確認する通知を受け取ったら、Automation Cloud^TM に戻って手順 1 から 5 を繰り返します。
- サインインに成功すれば、連携は正しく設定されています。
- サインインに失敗した場合は、Microsoft Entra ID 管理者に問い合わせて、同意が正しく付与されたことを確認してもらってください。
[保存] を選択して連携をアクティブ化します。

注: Automation Hub を使用していて、Microsoft Entra ID から [市区町村]、[役職]、[部署] の各フィールドにデータを入力する場合は、追加の権限をリクエストしてください。必要なスコープを含む管理者特権の管理者同意 URL を使用して管理者の同意を付与するよう、Microsoft Entra ID 管理者に依頼してください。

カスタム Microsoft Entra ID アプリケーションの登録による手動セットアップ

UiPath で管理されるマルチテナントアプリケーションを使用する代わりに、独自の Microsoft Entra ID アプリケーションを設定する場合は、次の手順を実行します。このオプションでは、自身の資格情報を管理し、長期にわたって保持する必要があります。

大事な：手動設定で作成された資格情報は、定期的に期限切れになります。サービスの中断を避けるため、有効期限が切れる前に更新する必要があります。この運用オーバーヘッドを削減するには、 UiPath で管理される Entra ID アプリケーションを使用した自動セットアップの使用を検討してください。

Microsoft Entra ID を設定する

Microsoft Entra ID 管理者は、PowerShell スクリプトまたは Microsoft Entra 管理センターを使用してアプリケーションを設定できます。

オプション A: PowerShell スクリプトを使用する

手動設定を最小限に抑えてセットアッププロセスを自動化するには、次の手順を実行します。

Microsoft Entra ID の構成スクリプトをダウンロードします。
configAzureADconnection.ps1 を実行して Entra テナントを自動的にセットアップします。
testAzureADappRegistration.ps1 を実行して設定を確認します。

オプション B: Microsoft Entra 管理センターを使用する

ユーザーインターフェイスを使用して手動でアプリケーションの登録を設定する場合は、以下の手順を実行します。

アプリの登録を作成します。
1. Microsoft Entra 管理センター > [アプリの登録] > [新規登録] に移動します。
2. 名前を「Automation Cloud」または好きな名前に設定します。
3. [この組織ディレクトリのみに含まれるアカウント] を選択します。
4. [リダイレクト URI] を「https://cloud.uipath.com/identity_/signin-oidc」に設定します。
認証を設定します。
1. [認証] に移動します。
2. 次のリダイレクト URI を追加します。https://cloud.uipath.com/portal_/testconnection
3. [Implicit grant and hybrid flows] で [ID トークン] を選択します。この連携では、Microsoft ハイブリッドフローを活用します。
4. 変更を保存します。
トークン要求を追加します。
1. [トークン構成] > [省略可能な要求を追加] に移動します。
2. トークンの種類として [ID] を選択します。
3. [family_name]、[given_name]、[upn] の各要求を選択します。
  
  これらの要求は、サインイン時にユーザー情報を更新するために使用されます。
4. 変更を保存します。
API のアクセス許可を設定します。
1. [API のアクセス許可] > [権限を追加] に移動します。
2. [Microsoft Graph] を選択して、以下を追加します。
  - OpenID 権限: email、openid、offline_access、profile
  - ユーザー権限: User.Read、User.ReadBasic.All、User.Read.All
  - グループ権限: GroupMember.Read.All
3. [(組織) に管理者の同意を与えます] を選択します。この手順によって、アプリケーションは個別の同意プロンプトなしですべてのユーザーのデータにアクセスできるようになります。詳しくは、Microsoft のドキュメントをご覧ください。
認証情報を作成する:

クライアントシークレットまたは証明書を使用できます。
- クライアントシークレットを作成するには、以下の手順を実行します。
  1. [証明書とシークレット] に移動します。
  2. [新しいクライアントシークレット] を選択して、シークレット値を保存します。
- 証明書を作成するには、以下の手順を実行します。
  1. 新しいタブを開き、[Azure Key Vault] に移動します。
  2. 証明書を作成します。
    - サブジェクト: CN=uipath.com
    - コンテンツの種類: PEM
    - 最大サイズ: 10 KB 未満
  3. 証明書を .pem 形式でダウンロードします。
  4. テキストエディターで .pem ファイルを開き、BEGIN CERTIFICATE と END CERTIFICATE の間にあるセクションを見つけます。
  5. この証明書セクションのみを含む新しい .pem ファイルを作成します。
  6. Microsoft Entra 管理センターで [証明書とシークレット] に移動して、新しい .pem ファイルをアップロードします。
  7. .pem ファイルを保管します。Automation Cloud^TM での連携を完了するには、このファイルが必要です。
  注:
  ほとんどの資格情報の種類は最終的に期限切れになります。ユーザーサインインの問題を回避するには、資格情報の有効期限が切れる前に設定を更新してください。
  
  このオーバーヘッドを回避するには、 UiPath で管理される Microsoft Entra ID アプリケーションによる自動セットアップを使用します。
連携に関する以下の詳細情報を収集し、Automation Cloud^TM 管理者と共有します。
- アプリケーション (クライアント) ID
- ディレクトリ (テナント) ID
- クライアントシークレットまたは証明書

Automation Cloud^TM で連携をアクティブ化する

Automation Cloud^TM 管理者は、Microsoft Entra ID 管理者から提供された値を使用して以下の手順を実行し、Automation Cloud^TM での設定を完了します。

[管理] > [セキュリティ] > [認証設定] > [ディレクトリ連携とシングルサインオン (SSO)] に移動します。
[Microsoft Entra ID] を選択します。
[カスタムアプリケーション登録 ID とシークレット] を選択します。
Entra ID 管理者から提供された次の値を入力します。
- ディレクトリ (テナント) ID
- アプリケーション (クライアント) ID
- クライアントシークレットまたは証明書
[既存のユーザーと Microsoft Entra ID ユーザーのメールアドレスが一致する場合は、それぞれのアカウントがリンクされることを理解し、それに同意します。] をオンにします。
[テスト接続] を選択して、Microsoft Entra ID アカウントでサインインします。
- サインインに成功すれば、連携は正しく設定されています。
- サインインに失敗した場合は、Microsoft Entra ID 管理者に設定を確認してもらってから、もう一度試してください。
[保存] を選択して連携をアクティブ化します。

手順 3: 連携を使用および検証する

Microsoft Entra ID 連携をアクティブ化したら、ディレクトリユーザーアカウントでサインインし、Microsoft Entra ID のユーザーとグループへのアクセスを確認して、連携が機能することを確認します。このためには、以下の手順に従います。

ローカルアカウントからサインアウトします。
次のいずれかの方法を使用して、ディレクトリユーザーアカウントでサインインします。
- 組織固有の URL (https://cloud.uipath.com/{organizationName}/) に移動します。
- または、メインログインページ (https://cloud.uipath.com) に移動して、[Enterprise SSO で続行] を選択します。
注: ディレクトリアカウントでサインインしていることを確認するには、Automation Cloud^TM のホームページ (https://cloud.uipath.com{organizationName}/portal_/home) に移動します。ローカルユーザーアカウントでサインインしていることを示す警告が表示されない場合は、ディレクトリユーザーアカウントでサインインしています。
[アカウントとローカルグループ] に移動し、Microsoft Entra ID からローカルグループにディレクトリユーザーまたはグループを追加してみます。Microsoft Entra ID のユーザーとグループは、ローカルアカウントと区別するために異なるアイコンで表示されます。

注: Microsoft Entra ID のユーザーとグループは、既定では [ユーザーアカウント] ページまたは [ローカルグループ] ページに表示されません。これらを見つけるには、検索機能を使用する必要があります。

手順 4: 移行を完了する

手順 4.1: グループ権限を設定する

ディレクトリユーザーがグループメンバーシップに基づいて権限を継承できるようにするには、関連する Microsoft Entra ID グループを Automation Cloud^TM のローカルグループに追加します。

たとえば、UiPath Admins Entra ID グループを Automation Cloud^TM の Administrators グループに追加します。

組織の規模に応じて、個々のユーザー権限を削除し、ディレクトリグループのメンバーシップを利用して権限の管理を簡素化することをお勧めします。

手順 4.2: 既存のユーザーを移行する

Automation Cloud^TM、Studio、Assistant の Microsoft Entra ID グループメンバーシップを通じて割り当てられた権限をユーザーが確実に継承できるようにするには、次の手順を実行します。

Automation Cloud^TM の場合

次のいずれかの方法で、サインアウトしてからディレクトリアカウントでサインインするよう、ユーザーに依頼します。

組織固有の URL (https://cloud.uipath.com/{organizationName}/) に移動します。
または、メインログインページで [Enterprise SSO で続行] を選択します。

Studio および Assistant の場合

UiPath Assistant を開きます。
[設定] > [Orchestrator への接続] に移動します。
現在のセッションからサインアウトします。
接続の種類を [サービス URL] に設定します。
組織の URL (https://cloud.uipath.com/{organizationName}/) を入力します。
Microsoft Entra ID アカウントでサインインします。

手順 4.3: ローカルアカウントを段階的に廃止する

一貫性を確保し、ユーザーエクスペリエンスを簡素化するために、ローカルユーザーアカウントを削除することをお勧めします。

ディレクトリアカウントではなくローカルアカウントでのサインインを継続するユーザーには、次の制限があります。

ディレクトリグループの権限は継承されません。
Microsoft Entra ID ディレクトリからユーザーまたはグループを検索したり割り当てたりすることはできません。

次の表は、リンクされたローカルアカウントとディレクトリアカウントで期待される動作をまとめたものです。

機能	リンクされたローカルユーザーアカウント	リンクされたディレクトリユーザーアカウント
ユーザーに直接割り当てられた権限を継承する	はい	はい
ディレクトリグループに割り当てられた権限を継承する	いいえ	はい
Automation Cloud^TM でディレクトリユーザーおよびグループ、権限、またはリソースを検索して割り当てる	いいえ	はい

重要: Microsoft Entra ID 連携の手動セットアップを使用する場合、連携を管理するために、管理者権限を持つローカルユーザーアカウントを少なくとも 1 つ保持する必要があります。

高度な設定

特定のユーザーのみにアクセスを制限する

既定では、Microsoft Entra ID テナント内のすべてのユーザーが Automation Cloud^TM 組織にアクセスできます。アクセスを特定のユーザーまたはグループに制限するには、次の手順を実行します。

Microsoft Entra 管理センターで、「手順 2: Microsoft Entra ID 連携を設定する」で連携用に作成したアプリケーションに移動します。
[エンタープライズアプリケーション] > [プロパティ] に移動します。
[User assignment required?] を [はい] に設定します。
[ユーザーとグループ] で、アクセス権を必要とするユーザーまたはグループを割り当てます。

テナントのすべてのユーザーとグループを引き続き Automation Cloud^TM で検索できますが、サインインできるのはアプリケーションに割り当てられているユーザーのみです。詳細については、ユーザー割り当てに関する Microsoft のドキュメントをご覧ください。

ネットワーク制限を実装する

Microsoft Entra ID の条件付きアクセスポリシーを使用して、次の基準に基づいてアクセスを制限します。

ネットワークの場所 (例: 社内ネットワークのみ)
デバイスのコンプライアンス
リスクレベル

これらのポリシーの設定方法について詳しくは、条件付きアクセスに関する Microsoft のドキュメントをご覧ください。

特権アクセスを管理する

UiPath 管理者アクセスの管理に使用する Microsoft Entra ID グループに対しては、次のアクセス管理方法を実装します。

Microsoft Entra ID で Privileged Identity Management (PIM) を有効化します。
Just-In-Time アクセスと承認ワークフローを設定します。
定期的なアクセスレビューを設定して、メンバーシップと権限を検証します。

設定のガイダンスについては、Privileged Identity Management に関する Microsoft のドキュメントをご覧ください。

よくある質問

連携後、ユーザーにどのような変化がありますか?

連携後、ユーザーは Microsoft Entra ID アカウントでサインインして、既存の権限を保持できます。ローカルユーザーアカウントがまだアクティブな場合は、両方のサインイン方法を引き続き使用できます。

ディレクトリアカウントでサインインするために、ユーザーは次のいずれかの操作を行います。

組織固有の URL (https://cloud.uipath.com{organizationName}/) に移動します。
メインログインページで、[Enterprise SSO で続行] を選択します。

連携の設定後にユーザーやグループを検索できないのはなぜですか?

ディレクトリアカウントではなくローカルユーザーアカウントを使用してサインインした場合は、Automation Cloud^TM でユーザーやグループを検索できません。

ローカルアカウントとディレクトリアカウントの違いを理解するには、「ローカルアカウントを段階的に廃止する」をご覧ください。

この問題を解決するには、Microsoft Entra ID アカウントでサインインしていることを確認してください。

権限を再割り当てする必要がありますか?

いいえ、権限を再割り当てする必要はありません。アカウントがリンクされると、Automation Cloud^TM によって自動的に既存の権限が対応する Microsoft Entra ID アカウントに適用されます。ディレクトリユーザーアカウントは、直接割り当てとディレクトリグループメンバーシップの両方から権限を受け取ります。

Microsoft Entra ID のどの属性が Automation Cloud のディレクトリユーザーアカウントにマッピングされ、いつ更新されますか?

Automation Cloud™ は、限られた Microsoft Entra ID 属性のセットのみをディレクトリユーザーアカウントにマッピングします。次の表は、利用可能な属性をまとめたものです。

すべてのユーザー属性は、サインイン中、および Automation Cloud^TM でユーザーが検索されるか、ユーザーにリソースへのアクセス権が割り当てられたときに更新されます。

Automation Cloud の属性	Microsoft Entra ID の属性	目的
ユーザー名	`user.userPrincipalName`	一意の識別子。このプロパティは、ユーザーの作成時に必要であり、更新時にクリアすることはできません。
表示名	`user.displayName`	ユーザーのフルネーム (通常は、姓と名の組み合わせ)。このプロパティは、ユーザーの作成時に必要であり、更新時にクリアすることはできません。
名	`user.givenName`	ユーザーの名。
姓	`user.surName`	ユーザーの姓。
メール	`user.Mail`	ユーザーのメールアドレス。このプロパティは、ユーザーの作成時に必要であり、更新時にクリアすることはできません。
役職¹	`user.JobTitle`	ユーザーの役職です。
Department¹	`user.Department`	ユーザーの部署。
市町村¹	`user.City`	ユーザーの市区町村。
会社名¹	`user.CompanyName`	ユーザーの会社名。

¹Automation Hub は、Microsoft Entra ID の 市区町村、役職、部署、 会社名 の値を活用する唯一のサービスです。これらの属性が必要な場合は、「 Microsoft Entra ID 連携を設定する」に記載されているように、より高い特権の権限を要求する必要があります。

注: Microsoft Entra ID の属性については、Microsoft のドキュメントをご覧ください。

Microsoft Entra ID グループメンバーシップの変更が適用されるまでにどのくらいかかりますか?

Microsoft Entra ID グループメンバーシップの変更は、次回のサインイン時、またはすでにサインインしているユーザーの場合は 1 時間以内に有効になります。

連携後にローカルアカウントに戻すことはできますか?

はい、Microsoft Entra ID との連携後、ローカルアカウントに戻すことができます。Automation Cloud^TM の組織管理者が次の手順を完了する必要があります。

ローカルユーザーアカウントを再度招待します。
ディレクトリグループに基づくすべての権限を、対応するローカルアカウントへの直接割り当てに移行します。
サインアウトしてからローカルユーザーアカウントでサインインするよう、ユーザーに依頼します。

Microsoft Entra ID 連携から SAML 連携に移行できますか?

はい、Microsoft Entra ID 連携から SAML 連携に移行できます。Automation Cloud^TM の組織管理者は、両方の ID システムで各ユーザーに対して同じメールアドレスが使用されていることを確認する必要があります。また、管理者は、Microsoft Entra ID グループを通じて割り当てられたすべての権限を SAML プロビジョニングルールに移行する必要があります。