automation-suite
2023.10
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。 新しいコンテンツの翻訳は、およそ 1 ~ 2 週間で公開されます。
UiPath logo, featuring letters U and I in white

UiPath Automation Suite 管理ガイド

最終更新日時 2025年1月30日

Azure AD 連携を設定する

組織で Azure Active Directory (Azure AD) または Office 365 を使用している場合は、 Automation Suite 組織を Azure AD テナントに直接接続して、 Automation Suite 環境の既存のアカウントとグループを表示できます。

Azure AD との連携を使用すると、ローカル アカウント モデルを活用し続けながら、Azure AD モデルの使用によるメリットも活かして組織の能力を高めることができます。 Azure AD との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロール アウトを段階的に進めることができます。

組織で Azure AD のモデルを採用することにした場合は、このページに示した以下の手順を実行して、連携を設定してください。

前提条件

Azure AD との連携を設定するには、以下が必要です。

  • Automation Suiteと Azure AD の両方での管理者権限 (異なるユーザーでも構いません)
  • 連携を実行する組織管理者の UiPath ローカル アカウントと同じメール アドレスを持つ Azure AD アカウント この Azure AD アカウントは連携のテストのみを目的としており、Azure での管理者権限を持っている必要はありません。
  • UiPath Studio と UiPath Assistant バージョン 2020.10.3 以降。
  • UiPath Studio と UiPath Assistant が推奨されるデプロイを使用している。
  • 以前にローカル ユーザー アカウントを使用した場合は、すべての Azure AD ユーザーのメール アドレスが Mail フィールドにあることを確認してください。メール アドレスが User Principle Name (UPN) フィールドに入力されているだけでは不十分です。Azure AD との連携では、メール アドレスが一致する場合、ディレクトリ ユーザー アカウントをローカル ユーザー アカウントにリンクします。これにより、ユーザーはローカル ユーザー アカウントでのサインインから Azure AD ディレクトリ ユーザー アカウントに移行するときに、権限を保持できます。

注: UiPath は、Azure AD との連携において OIDC プロトコルに従います。ただし、この連携では、appid クエリ パラメーターを専用の URL で要求することによってアプリケーションのカスタム キーを使用することはできません。詳しくは、こちらで Microsoft のアクセス トークンに関するドキュメントをご覧ください。

連携が可能になるよう Azure を設定する

組織では、AD メンバーを参照してアカウント ID を確立できるようにするために、Azure AD のテナントでのアプリケーションの登録と、いくつかの設定を必要とします。後で組織を Azure AD のテナントに接続するために、アプリケーションの登録に関する詳細情報も必要になります。

権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の Azure 管理者ロールには、必要な権限が付与されています: 全体管理者、クラウド アプリケーション管理者、アプリケーション管理者

連携のために Azure テナントを設定する方法は 2 通りあります。

  • Take the following steps to manually configure an app registration for the integration.
  • この作業のために UiPath が作成した Azure AD のスクリプト (GitHub から入手可能) を使用します。このconfigAzureADconnection.ps1 スクリプトは、このセクションで説明するすべての操作を実行して、アプリケーションの登録に必要な詳細情報を返します。その後、testAzureADappRegistration.ps1 スクリプトを実行して、アプリケーションの登録が成功したことを確認できます。

To manually configure your Azure tenant, take the following steps in Azure Portal:

  1. Automation Suite のアプリケーションの登録を作成します。詳細については、 アプリケーションの登録に関する Microsoft のドキュメントをご覧ください。
    登録時には [この組織ディレクトリのみに含まれるアカウント] を選択し、[リダイレクト URI]https://{yourDomain}/{organizationName}/identity_/signin-oidc に設定します。
    Note: If you already have a registered application for your organization, there is no need to create a new one, but make sure that the app is set up as previously described.

  2. アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID][ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。


  3. アプリケーションの [認証] ページに移動します。
    1. Under Redirect URIs, select Add URI to add a new entry.
    2. [リダイレクト URI] のリストに https://{yourDomain}/portal_/testconnection を追加します。
    3. 下部の [ID トークン] チェック ボックスを選択します。
    4. [保存] を選択します。
    docs image
  4. [トークン構成] ページに移動します。
  5. [省略可能な要求を追加] を選択します。
  6. [トークンの種類] として [ID] を選択します。
  7. [family_name]、[ given_name]、[upn] のチェックボックスをオンにして、任意の要求として追加します。


  8. [API のアクセス許可] ページに移動します。
  9. Select Add permission and add the following delegated permissions from the Microsoft Graph category:
    • OpenId 権限 - emailopenidoffline_accessprofile
    • グループ メンバー権限 - GroupMember.Read.All
    • ユーザー権限 - User.ReadUser.ReadBasic.AllUser.Read.All (管理者の同意が必要)


    アクセス許可

    許可される操作

    ユーザーが実行する操作

    emailopenidprofileoffline_accessUser.ReadAAD がシステム アプリケーションにユーザー トークンを発行できるようにします。ユーザーが AAD ログインを使用してシステムにログインできるようにします。これにより、ユーザー オブジェクトを最新の状態に保ち、属性の一貫性を確保できます。
    User.ReadBasic.AllReads basic properties of all users in the directory that the logged in user is allowed to

    表示

    ユーザーがディレクトリ内の他のユーザーにリソースへのアクセス許可を割り当てると、ユーザーがリソースを検索できます。アクセス管理/承認の機能は、システムのユーザー エクスペリエンスにあります。
    User.Read.All (管理者の同意が必要) Reads all user properties in the directory that the logged in user is allowed to

    表示

    管理者は、これらの追加のユーザー プロパティをインポートして、アクセス許可を設定したり、システム サービス内のカスタム情報を表示したりできます。AAD から属性の完全なセットを取得しようとしている Automation Hub ユーザーは、アプリに User.Read.All の権限を付与する必要があります。
    GroupMember.Read.Allサインインしているユーザーがアクセスできるすべてのユーザーのグループ メンバーシップを読み取ります。組織がグループを使用してシステム内のアクセス許可を管理している場合、プラットフォームはすべてのグループを一覧表示し、グループのメンバーを検出できる必要があります。これにより、グループに割り当てられたアクセス許可の管理と適用の両方が可能になります。
  10. [管理者の同意を与えます] チェック ボックスを選択します。
    Note: The administrator consents on behalf of all users in the tenant active directory. This allows the application to access the data of all users, without users being prompted to consent. For more information about permissions and consent, refer to Microsoft's Azure AD documentation.
  11. Go to the Certificates & secrets page to create a new client secret or a new certificate.
    • Option 1. Client secret. For more information about client secrets, refer to Microsoft's documentation about Adding a new client secret.
      注: 作成したクライアント シークレットは永続的ではありません。有効期間を過ぎたら更新する必要があります。
    • オプション2.証書。 証明書を構成するための大まかな手順については、「証明書を設定する」をご覧ください。 証明書の詳細については、Microsoft ドキュメントの「 Setting and retrieving a certificate from Azure Key Vault 」をご覧ください。
  12. Provide your organization administrator with the Directory (tenant) ID, Application (client) ID values. If you chose the client secret option, also share the Client Secret value. If you chose the certificate option, share the certificate details. This information enables the administrator to proceed with the configuration.

Automation Suite との連携をデプロイする

Azure の設定が完了したら、連携の準備を行い、アクティブ化してから、古いアカウントをクリーンアップすることができます。 ユーザーの作業が中断することのないよう、プロセスはいくつかの段階に分けて実行されます。

注:

このセクションのタスクを実行するには、 Automation Suite の組織管理者である必要があります。

非アクティブ ユーザーをクリーンアップする

連携をアクティブ化して Automation Suite を Azure AD に接続すると、メール アドレスが一致するアカウント同士がリンクされ、Azure AD のアカウントに、対応する UiPath ローカル アカウントと同じ権限が付与されます。

組織でメール アドレスを再利用する習慣がある場合、つまり、過去に使用されていたメール アドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。

かつて、メール アドレスが john.doe@example.com である従業員がいたとします。この従業員はローカル アカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメール アドレスは非アクティブ化されました。しかし、Orchestrator からはユーザーが削除されませんでした。
同じジョン・ドウという名前の新しい従業員が入社した場合、同じメール アドレス john.doe@example.com が割り当てられます。このような場合、アカウントが Azure AD との連携の一部としてリンクされると、ジョン・ドウは Organization Administrator の権限を継承してしまいます。

このような状況を防ぐには、次の手順に進む前に、アクティブでなくなったすべてのユーザーを Automation Suite の組織から削除してください。 非アクティブなメール アドレスを組織で再利用しない場合は、この手順を省略できます。

Azure AD との連携をアクティブ化する

注:
はじめる前に
  • Azure の設定が完了していることを確認します。
  • Azure の管理者から、 Automation Suite アプリの登録に必要な、Azure の ディレクトリ (テナント) ID 、 アプリケーション (クライアント) ID 、 クライアント シークレット の値を入手します。
Azure AD 連携をアクティブ化するには、 Automation Suite で以下の手順を適用します。
  1. [管理] に移動し、選択されていない場合は、左側のペインの上部にある組織名を選択します。
  2. [セキュリティ] を選択して [セキュリティ設定] を開きます。
  3. [ 認証設定 ] タブで、[ SSO を構成] を選択します。
  4. SSO 構成パネルから [ Azure Active Directory ] を選択します。
  5. Azure 管理者から提供された情報をフィールドに入力します。
  6. [ I understand & accept added users] チェックボックスをオンにすると、メール アドレスが一致する Azure AD ユーザーのアカウントがリンクされます。 変更を保存すると、対応するアカウントが自動的にリンクされます。
  7. [ テスト接続 ] を選択して、連携が正しく設定されていることを確認します。
  8. プロンプトが表示されたら、Azure AD のアカウントでサインインします。
    サインインに成功すれば、連携は正しく設定されています。失敗した場合は、Azure の管理者に Azure が正しく設定されていることを確認してもらってから、再度試してください。
  9. [ 保存 ] を選択して、組織の連携をアクティブ化します。
  10. サインアウトします。
  11. 組織の URL (https://{yourDomain}/organizationID/) に移動し、Azure AD のアカウントを使用してサインインします。

これで、リンク先のテナントの Azure AD 内のユーザーとグループを操作できます。ディレクトリ アカウントとグループは [管理] > [アカウントとグループ][ユーザー] ページまたは [グループ] ページに表示されず、検索を通じてのみ確認できます。

Azure AD との連携をテストする

連携が機能していることを確認するには、Azure AD アカウントで組織管理者としてサインインし、 Automation Suite の[グループを編集] パネル ([管理] > [ アカウントとグループ] >> [ 編集] ) などの関連するページで Azure AD のユーザーやグループ を検索し てみてください。

Azure AD で作成されたユーザーやグループを検索できれば、連携が正しく機能しています。ユーザーまたはグループの種類は、アイコンによって見分けられます。

If you encounter an error while trying to search for users, as shown in the following example, this indicates that there is something wrong with the configuration in Azure. Reach out to your Azure administrator and ask them to check that Azure is set up as described earlier in the documentation on Configuring Azure for the Integration.

ヒント: Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。

Azure AD への移行を完了する

統合がアクティブ化されたら、このセクションの手順に従って、ユーザーの作成とグループの割り当てが Azure AD に確実に引き渡されるようにすることをお勧めします。 これにより、既存の ID およびアクセス管理インフラストラクチャを基盤として構築し、 Automation Suite の UiPath リソースに対するガバナンスとアクセス管理の制御を容易にできます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Azure AD のグループに必要なロールを割り当て済みであれば、Azure の管理者はこのグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Automation Suite の既存のユーザー グループを Azure AD の新規または既存のグループにマッピングできます。これは、Azure AD でのグループの使用方法に応じて、いくつかの方法で行うことができます。

  • Automation Suite で同じロールを持つユーザーが既に Azure AD の同じグループに属している場合、組織管理者はこれらの Azure AD グループを、これらのユーザーが属していたユーザー グループに追加できます。これにより、ユーザーは同じ権限とロボットの設定を維持できます。
  • それ以外の場合、Azure 管理者は Automation Suite のグループと一致する新しいグループを Azure AD で作成し、UiPath ユーザー グループと同じユーザーを追加できます。 その後、組織管理者は新しい Azure AD グループを既存のユーザー グループに追加して、同じユーザーが同じロールを持つようにすることができます。

すべての場合において、ユーザーに具体的に割り当てられているロールを確認してください。 可能な場合は、これらのロールの直接割り当てを削除し、これらのロールが既に割り当てられているグループにこれらのユーザーを追加します。

たとえば、 Automation Suite Administrators グループに、ユーザー Anna、Tom、John が属しているとします。これらの同じユーザーは、 admins という名前の Azure AD のグループにも属しています。 Organization Administrator は、Azure グループ admins を Automation Suite の Administrators グループに追加できます。そうすれば、Anna、Tom、John は、Azure AD グループ admins のメンバーとして Automation SuiteAdministrators グループのロールのすべての機能を利用できるようになります。

管理者が Administrators グループに含まれるようになったため、新しい管理者をオンボードする必要がある場合、Azure 管理者は新しいユーザーを Azure の admins グループに追加できます。これにより、 Automation Suite に変更を加えることなく、 Automation Suite での管理権限を付与できます。

注:

Azure AD のグループ割り当ての変更は、ユーザーが Azure AD のアカウントでログインしたときに Automation Suite に適用されます。既にログイン済みだった場合は、1 時間以内に適用されます。

既存のユーザーを移行する

Azure AD のユーザーとグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回サインインする必要があります。 連携の実行後は、すべてのユーザーにローカル アカウントからサインアウトし、Azure AD アカウントで再度サインインするよう連絡することをお勧めします。 次の方法で、Azure AD アカウントでサインインできます。

  • Automation Suite の組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://{yourDomain}/orgID/)。
  • メイン ログイン ページで [Enterprise SSO ] を選択する。 必ず Automation Suite 用の組織固有の URL をすべてのユーザーに提供してください。

移行されたユーザーは、Azure AD グループの権限とともに、 Automation Suite で直接割り当てられた権限の組み合わせを受け取ります。

Studio と Assistant が Azure AD アカウントに接続するよう設定するには、以下の手順を実行します。

  1. Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
  2. [ サインアウト] を選択します。
  3. 接続の種類として [サービス URL] を選択します。
  4. [ サービス URL ] フィールドに組織固有の URL を追加します。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://{yourDomain}/orgID/)。 そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。
  5. Azure AD のアカウントに再度サインインします。
重要: Azure AD のグループから継承された権限は、クラシック フォルダーからのオートメーションまたは、マシン キーを使用して接続されたロボットには影響しません。グループに基づく権限で動作させるには、オートメーションをモダン フォルダーで設定し、UiPath Assistant または Studio への接続にサービス URL を使用してください。

UiPath のローカル アカウントの使用を中止する (任意)

Automation Suite と Azure AD 間の完全な連携がもたらすコア コンプライアンスと効率のメリットを最大限に活かすために、ローカル アカウントの使用は中止することをお勧めします。

重要: 管理者以外のアカウントのみを削除します。後から認証設定を変更できるようにするには、少なくとも 1 つの組織管理者のローカル アカウントを保持しておくことをお勧めします。

すべてのユーザーの移行が完了したら、[ ユーザー ] タブより、非管理者ユーザーを削除し、今後ローカル アカウントではサインインできないようにします。 そのようなアカウントには、ユーザー アイコンが表示されています。

また、Orchestrator サービスなどの UiPath サービス内の個々の権限をクリーンアップし、グループから個々のユーザーを削除して、権限が Azure AD のグループ メンバーシップにのみ依存するようにすることもできます。

高度な機能

これで Azure AD 連携が設定されました。以下に、活用できる高度な機能について役に立つヒントをいくつか示します。

組織へのアクセスを制限する

Azure AD との連携は Azure テナントのレベルで実行されるため、既定ではすべての Azure AD ユーザーが Automation Suite にアクセスできます。 Azure AD ユーザーが UiPath 組織に初めてサインインすると、そのユーザーは UiPath グループ Everyone に自動的に属し、UiPath エコシステム内で基本レベルのアクセス権を提供する組織のユーザー ロールが付与されます。

If you want to only allow certain users to access your organization, you can activate user assignment for the UiPath app registration in Azure. This way, users need to be explicitly assigned to the app to be able to access it. For instructions, refer to how to restrict your app to a set of users in Microsoft's Azure AD documentation.

アクセスを信頼できるネットワークまたはデバイスのみに制限する

ユーザーが、信頼できるネットワークまたは信頼できるデバイスからのみ Automation Suite にアクセスできるようにする場合は、 Azure AD の条件付きアクセス 機能を使用できます。

Azure AD のグループのガバナンス

If you have created groups in Azure AD for easy UiPath onboarding directly from Azure AD, as described earlier in Configure groups for permissions and robots, you can use the advanced security options of privileged identity management (PIM) for these groups to govern access requests for UiPath groups. For details, refer to the Microsoft documentation on PIM.

よくある質問

連携をアクティブ化したことで、ユーザーにどのような変化がありますか。

ユーザーは Azure AD の既存のアカウントを使用してすぐにサインインでき、ローカル アカウントと同じ権限を付与されます。

ローカル アカウントをまだ削除していなければ、引き続きローカル アカウントによるサインインも可能です。どちらの方法も使用できます。

Azure AD のアカウントを使用するには、組織固有の URL (https://{yourDomain}/orgID/の形式) に移動するか、メイン ログイン ページで [ Enterprise SSO ] を選択する必要があります。

ユーザーが気づくもう 1 つの変更点は、他のアプリケーションから Azure AD のアカウントにサインイン済みだった場合、この URL に移動すると自動的にサインインされることです。

各アカウントには何のロールが割り当てられているか?

Azure AD アカウント: ユーザーが Azure AD アカウントでサインインした場合、ユーザーは自分のローカル アカウントで持つすべてのロールと、UiPath 内で Azure AD アカウントまたはユーザーが属する Azure AD グループに割り当てられたすべてのロールの機能をすぐに使用することができます。 これらのロールは、グループに属する Azure AD ユーザーまたは Azure AD グループ、あるいは Azure AD ユーザーまたは Azure AD グループにロールが割り当てられた他のサービスから継承されます。

ローカル アカウント: Azure AD との連携がアクティブな場合、ローカル アカウントに割り当てられるロールは以下の条件によって異なります。

  • ユーザーが自分の Azure AD アカウントで 1 度もサインインしていない場合、そのユーザーはローカル アカウントのロールのみを持ちます。
  • ユーザーが Azure AD のアカウントを使用してログインした場合、ローカル アカウントには、AAD ユーザーが UiPath 内で持つすべてのロール (明示的に割り当てられたロール、またはグループ メンバーシップから継承されたロール) が付与されます。

Azure AD のアカウントに対して権限を再適用する必要がありますか。

いいえ。対応するアカウントが自動的にリンクされるため、既存の権限は Azure AD のアカウントでログインした場合も適用されます。ただし、ローカル アカウントの使用を中止する場合は、あらかじめ Azure AD 側でユーザーとグループに対する適切な権限が設定されていることを確認してください。

トラブルシューティング

ユーザーがログインできない - 承認が必要です

説明: ユーザーがログインできません。 [ 承認が必要] ウィンドウが表示されます。 これは、要求された統合に対して管理者の同意が与えられておらず、現在のユーザー権限で独立した同意が許可されていない場合に発生します。
docs image
解決策: 連携用に Azure を設定する際に、アプリケーション設定で [ 管理者の同意 を与えます] チェックボックスをオンにします。

ユーザーがログインできない - ユーザー割り当てが必要です (AADSTS50105)

形容: ユーザーは、アプリケーションへのアクセス権を持つグループに割り当てられておらず、明示的にアクセス権を付与されていないため、ログインできません。 AADSTS50105エラーがスローされ、次の状態になります: "Your administrator has configured the application {appName} ('{appId}') は、アプリケーションへのアクセス権が明示的に許可されていない限り、ユーザーをブロックします。 サインインしているユーザー「{user}」は、アクセス権を持つグループの直接のメンバーではなく、管理者によって直接アクセス権が割り当てられていないため、ブロックされます。 管理者に連絡して、このアプリケーションへのアクセスを割り当ててください。

解決: Azure アプリケーション、またはアプリケーションへのアクセス権を持つグループにグループを割り当てます。 Microsoft の公式ドキュメントの「 ユーザーの割り当てを管理する 」をご覧ください。

Azure AD シークレットの有効期限が切れている (#230)

形容: ユーザーはログインできません。 「Your Azure AD Secret is expired or invalid (Azure AD シークレットが期限切れか無効です。)」というエラー メッセージがスローされます。 Please with your Azure AD admin create new secret in the Azure Portal and update the secret in the UiPath admin portal (#230)」 (Azure AD 管理者に Azure Portal で新しいシークレットを作成してもらい、UiPath 管理ポータルでシークレットを更新してください (#230)」

解決: Azure で新しいクライアント シークレットを作成し、[管理] セクションでシークレットを更新します。 資格情報の追加については、Microsoft の公式ドキュメントの「 資格情報の追加 」をご覧ください。

このページは役に立ちましたか?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
© 2005-2025 UiPath. All rights reserved.