automation-suite

2023.4

false

重要 :

このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。新しいコンテンツの翻訳は、およそ 1 ～ 2 週間で公開されます。

UiPath Automation Suite 管理ガイド

最終更新日時 2025年8月22日

Microsoft Entra ID 連携を設定する

組織で Microsoft Entra ID または Office 365 を使用している場合は、 Automation Suite の組織を Microsoft Entra ID のテナントに直接接続して、 Automation Suite 環境の既存のアカウントとグループを表示できます。

Microsoft Entra ID との連携を使用すると、ローカルアカウントモデルを活用し続けながら、Microsoft Entra ID モデルの使用によるメリットも活かして組織の能力を高めることができます。Microsoft Entra ID との連携では、既存ユーザーの運用環境が中断されないように、アクティブ化とロールアウトを段階的に進めることができます。

組織で Microsoft Entra ID モデルの使用を決定している場合は、このページの手順に従って連携を設定します。

前提条件

Microsoft Entra ID 連携を設定するには、以下が必要です。

Automation Suiteと Microsoft Entra ID の両方の管理者権限 (それぞれ別のユーザーであってもよい)。
連携を実行する組織管理者の UiPath ローカルアカウントと同じメールアドレスを持つ Microsoft Entra ID アカウント。この Microsoft Entra ID アカウントは連携のテスト専用であり、Azure での管理者権限は不要です
UiPath Studio および UiPath Assistant のバージョン 2020.10.3 以降
UiPath Studio と UiPath Assistant が推奨されるデプロイを使用している
以前にローカルユーザーアカウントを使用した場合は、すべての Microsoft Entra ID ユーザーのメールアドレスが Mail フィールドにあることを確認してください。メールアドレスが User Principle Name (UPN) フィールドに入力されているだけでは不十分です。Microsoft Entra ID との連携では、メールアドレスが一致する場合、ディレクトリユーザーアカウントをローカルユーザーアカウントにリンクします。これにより、ユーザーはローカルユーザーアカウントでのサインインから Microsoft Entra ID ディレクトリユーザーアカウントに移行するときに、権限を保持できます。

手記： UiPath は、Microsoft Entra ID との連携において OIDC プロトコルに従います。ただし、この連携では、 appid クエリパラメーターを専用の URL で要求することによってアプリケーションのカスタムキーを使用することはできません。詳しくは、こちらで Microsoft のアクセストークンに関するドキュメントをご覧ください。

連携が可能になるよう Azure を設定する

組織では、AD メンバーを参照してアカウント ID を確立できるようにするために、Microsoft Entra ID のテナントでのアプリケーションの登録と、いくつかの設定を必要とします。後で組織を Microsoft Entra ID テナントに接続するために、アプリケーションの登録に関する詳細情報も必要になります。

権限: このセクションの作業を実行するには、Azure の管理者である必要があります。次の Azure 管理者ロールには、必要な権限が付与されています: 全体管理者、クラウドアプリケーション管理者、アプリケーション管理者

連携のために Azure テナントを設定する方法は 2 通りあります。

以下の手順を実行して、連携のためにアプリケーションの登録を手動で設定します。
この作業のために UiPath が作成した UiPath Microsoft Entra ID スクリプト (GitHub から入手可能) を使用します。この configAzureADconnection.ps1 スクリプトは、このセクションで説明するすべての操作を実行して、アプリケーションの登録に必要な詳細情報を返します。その後、testAzureADappRegistration.ps1 スクリプトを実行して、アプリの登録が成功したことを確認できます。

Azure テナントを手動で設定するには、Azure Portal で以下の手順を実行します。

Automation Suite のアプリケーションの登録を作成します。詳しくは、アプリケーションの登録について Microsoft のドキュメントをご覧ください。

登録時には [この組織ディレクトリのみに含まれるアカウント] を選択し、[リダイレクト URI] を https://{yourDomain}/identity_/signin-oidc に設定します。

注: 組織の登録済みアプリケーションがある場合は、新しく作成する必要はありませんが、アプリが前述の説明のとおりに設定されていることを確認してください。
アプリケーションの [概要] ページを開き、[アプリケーション (クライアント) ID] と [ディレクトリ (テナント) ID] の値をコピーし、後で使用するために保存しておきます。
アプリケーションの [認証] ページに移動します。
1. [リダイレクト URI] 下部の [URI の追加] を選択して、新しいエントリを追加します。
2. [リダイレクト URI] のリストに https://{yourDomain}/portal_/testconnection を追加します。
3. 下部の [ID トークン] チェックボックスを選択します。
4. [保存] を選択します。
[トークン構成] ページに移動します。
[省略可能な要求を追加] を選択します。
[トークンの種類] として [ID] を選択します。
[family_name]、[ given_name]、[upn] のチェックボックスをオンにして、任意の要求として追加します。
[API のアクセス許可] ページに移動します。

[アクセス許可の追加] を選択して、[Microsoft Graph] カテゴリから以下の委任されたアクセス許可を追加します。

OpenId 権限 - email、 openid、 offline_access、 profile
グループメンバー権限 - GroupMember.Read.All
ユーザー権限 - User.Read、 User.ReadBasic.All、 User.Read.All (管理者の同意が必要)

次の表で、API のアクセス許可について説明します。

アクセス許可	許可される操作	ユーザーが実行する操作
`email`、`openid`、`profile`、`offline_access`、`User.Read`	Microsoft Entra ID がシステムアプリケーションにユーザートークンを発行できるようにします。	ユーザーが Microsoft Entra ID ログインを使用してシステムにログインできるようにします。これにより、ユーザーオブジェクトを最新の状態に保ち、属性の一貫性を確保できます。
`User.ReadBasic.All`	ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザーの基本プロパティを読み取れるようにします。表示	ユーザーがディレクトリ内の他のユーザーにリソースへのアクセス許可を割り当てると、ユーザーがリソースを検索できます。アクセス管理/承認の機能は、システムのユーザーエクスペリエンスにあります。
`User.Read.All` (管理者の同意が必要)	ログインしたユーザーが表示を許可されているディレクトリ内のすべてのユーザープロパティを読み取れるようにします。表示	管理者は、これらの追加のユーザープロパティをインポートして、アクセス許可を設定したり、システムサービス内のカスタム情報を表示したりできます。Microsoft Entra ID から属性の完全なセットを取得しようとしている Automation Hub ユーザーは、アプリに `User.Read.All` の権限を付与する必要があります。
`GroupMember.Read.All`	サインインしているユーザーがアクセスできるすべてのユーザーのグループメンバーシップを読み取ります。	組織がグループを使用してシステム内の権限を管理している場合、プラットフォームがすべてのグループをリストアップし、グループのメンバーを検出できる必要があります。これにより、グループに割り当てられた権限の管理と適用の両方が可能になります。

[管理者の同意を与えます] チェックボックスを選択します。

手記：テナントの Active Directory のすべてのユーザーに代わって管理者が同意します。これによって、アプリケーションがすべてのユーザーのデータにアクセスできるようになり、ユーザーが同意を求められることはありません。権限と同意について詳しくは、Microsoft の Microsoft Entra ID のドキュメントをご覧ください。
[証明書とシークレット] ページに移動して、新しいクライアントシークレットまたは新しい証明書を作成します。
- オプション 1. クライアントシークレットの場合。クライアントシークレットについて詳しくは、こちらで新しいクライアントシークレットの追加に関する Microsoft のドキュメントをご覧ください。
  注: 作成したクライアントシークレットは永続的ではありません。有効期間を過ぎたら更新する必要があります。
- オプション2.証書。証明書を構成するための大まかな手順については、「証明書を設定する」をご覧ください。証明書の詳細については、Microsoft ドキュメントの「 Setting and retrieving a certificate from Azure Key Vault 」をご覧ください。
組織管理者にディレクトリ (テナント) ID とアプリケーション (クライアント) ID の値を提供します。クライアントシークレットのオプションを選択した場合は、[クライアントシークレット] の値も共有します。証明書のオプションを選択した場合は、証明書の詳細を共有します。この情報により、管理者は設定を進めることができます。

Automation Suite との連携をデプロイする

Azure の設定が完了したら、連携の準備を行い、アクティブ化してから、古いアカウントをクリーンアップすることができます。ユーザーの作業が中断することのないよう、プロセスはいくつかの段階に分けて実行されます。

注:

このセクションのタスクを実行するには、 Automation Suite の組織管理者である必要があります。

非アクティブユーザーをクリーンアップする

連携をアクティブ化して Automation Suite を Microsoft Entra ID に接続すると、メールアドレスが一致するアカウントがリンクされ、Microsoft Entra ID のアカウントに、対応する UiPath ローカルアカウントと同じ権限が付与されます。

組織でメールアドレスを再利用する習慣がある場合、つまり、過去に使用されていたメールアドレスが将来新しいユーザーに割り当てられる可能性がある場合、アクセス権が昇格される危険性があります。

かつて、メールアドレスが john.doe@example.com である従業員がいたとします。この従業員はローカルアカウントを所有していて、組織管理者の権限を持っていましたが、その後退社したため、このメールアドレスは非アクティブ化されました。しかし、Orchestrator からはユーザーが削除されませんでした。

同じジョン・ドウという名前の新しい従業員が入社した場合、同じ john.doe@example.com メールアドレスが割り当てられます。このような場合、アカウントが Microsoft Entra ID との連携の一部としてリンクされると、ジョン・ドウは Organization Administrator の権限を継承してしまいます。

このような状況を防ぐには、次の手順に進む前に、アクティブでなくなったすべてのユーザーを Automation Suite 組織から削除してください。非アクティブなメールアドレスを組織で再利用しない場合は、以下の手順を省略できます。

Microsoft Entra ID 連携をアクティブ化する

注:

はじめる前に

Azure の設定が完了していることを確認します。
Azure の管理者から、 Automation Suite アプリケーションの登録に必要な、Azure のディレクトリ (テナント) ID 、アプリケーション (クライアント) ID 、クライアントシークレットの値を入手します。

Microsoft Entra ID との連携をアクティブ化するには、 Automation Suite で以下の手順を実行します。

[管理] に移動し、選択されていない場合は、左側のペインの上部にある組織名を選択します。
[セキュリティ] を選択して [セキュリティ設定] を開きます。
[認証設定] タブの [SSO のディレクトリ連携] で、[SSO を構成] を選択します。
SSO 構成パネルから [Microsoft Entra ID] を選択します。
Azure 管理者から提供された情報をフィールドに入力します。
[追加済みのユーザーと Microsoft Entra ID ユーザーのメールアドレスが一致する場合は、それぞれのアカウントがリンクされることを理解し、それに同意します。] のチェックボックスをオンにします。
[ テスト接続 ] を選択して、連携が正しく設定されていることを確認します。
プロンプトが表示されたら、Microsoft Entra ID アカウントでサインインします。
サインインに成功すれば、連携は正しく設定されています。失敗した場合は、Azure の管理者に Azure が正しく設定されていることを確認してもらってから、再度試してください。
[ 保存 ] を選択して、組織の連携をアクティブ化します。
変更を保存すると、対応するアカウントが自動的にリンクされます。
サインアウトします。
組織の URL (https://{yourDomain}/organizationID/) に移動し、Microsoft Entra ID のアカウントでサインインします。

これで、リンク先のテナントの Microsoft Entra ID 内のユーザーとグループを操作できます。ディレクトリアカウントとグループは[管理] & [ アカウントとグループ] の [ ユーザー] ページまたは[グループ] ページに表示されず、検索を通じてのみ確認できます。

Microsoft Entra ID 連携をテストする

連携が機能していることを確認するには、Microsoft Entra ID アカウントで組織管理者としてサインインし、 Automation Suite の[グループを編集] パネル ([管理] > [ アカウントとグループ] > [ グループを編集] >) などの関連するページで Microsoft Entra ID のユーザーやグループを検索してみてください。

Microsoft Entra ID で作成されたユーザーやグループを検索できれば、連携が正しく機能しています。ユーザーまたはグループの種類は、アイコンによって見分けられます。

ユーザーの検索を試して、下の図の例のようなエラーが発生した場合は、Azure での設定に何らかの問題があります。Azure の管理者に連絡して、「連携が可能になるよう Azure を設定する」のドキュメントで前述されているとおりに Azure が設定されているかどうかの確認を依頼してください。

ヒント: Azure 管理者に、Azure の設定中に [管理者の同意を与えます] チェックボックスを選択したことを確かめてもらいます。連携が失敗する一般的な原因の 1 つは、このチェックボックスが選択されていないことです。

Microsoft Entra ID への移行を完了する

統合がアクティブ化されたら、このセクションの手順に従って、ユーザーの作成とグループの割り当てが Microsoft Entra ID に確実に引き渡されるようにすることをお勧めします。これにより、既存の ID およびアクセス管理インフラストラクチャを基盤として構築し、 Automation Suite 内の UiPath リソースに対するガバナンスとアクセス管理の制御を容易にできます。

権限とロボット用にグループを設定する (オプション)

グループを設定すると、Azure の管理者も、連携前に設定済みだったものと同じ権限とロボットの設定を使用して、新規ユーザーのオンボーディングを確実に行えるようになります。Microsoft Entra ID グループに必要なロールを割り当て済みであれば、このグループに新規ユーザーを追加するだけでオンボーディングを完了できます。

Automation Suite の既存のユーザーグループを Microsoft Entra ID の新規または既存のグループにマッピングできます。これは、Microsoft Entra ID でのグループの使用方法に応じて、いくつかの方法で行うことができます。

Automation Suite で同じロールを持つユーザーがすでに Microsoft Entra ID の同じグループに属している場合、組織管理者はこれらの Microsoft Entra ID グループを、これらのユーザーが属していたユーザーグループに追加できます。これにより、ユーザーは同じ権限とロボットの設定を維持できます。
それ以外の場合、Azure 管理者は Automation Suite のグループと一致する新しいグループを Microsoft Entra ID 内に作成し、UiPath ユーザーグループと同じユーザーを追加できます。その後、組織管理者は新しい Microsoft Entra ID グループを既存のユーザーグループに追加して、同じユーザーが同じロールを持つようにすることができます。

すべての場合において、ユーザーに具体的に割り当てられているロールを確認してください。可能な場合は、これらのロールの直接割り当てを削除し、これらのロールが既に割り当てられているグループにこれらのユーザーを追加します。

たとえば、 Automation Suite の Administrators グループに、Anna、Tom、John というユーザーが属しているとします。これらのユーザーは admins という名前の Microsoft Entra ID のグループにも属 しています。組織管理者は、Azure グループ admins を Automation Suite の Administrators グループに追加できます。これにより、Anna、Tom、John は、Microsoft Entra ID グループ admins のメンバーとして、 Automation Suite の Administrators グループのロールのメリットを享受できます。

admins が Administrators グループに含まれるようになったため、新しい管理者をオンボードする必要がある場合、Azure 管理者は新しいユーザーを Azure の admins グループに追加できます。これにより、 Automation Suite で変更を加える必要なく、 Automation Suite での管理者権限を付与できます。

注:

Microsoft Entra ID のグループ割り当ての変更は、ユーザーが Microsoft Entra ID のアカウントでログインしたときに Automation Suite に適用されます。すでにログイン済みだった場合は、1 時間以内に適用されます。

既存のユーザーを移行する

Microsoft Entra ID のユーザーやグループに割り当てられた権限を適用するには、ユーザーが少なくとも 1 回はサインインする必要があります。連携が開始された後に、ローカルアカウントからサインアウトして Microsoft Entra ID アカウントでサインインし直すよう、すべてのユーザーに指示することをお勧めします。Microsoft Entra ID のアカウントでのサインインは、次の手順で実行できます。

Automation Suite 組織固有の URL に移動します。その場合、サインインの種類はあらかじめ選択されています。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://{yourDomain}/orgID/)。
メインログインページで [ Enterprise SSO ] を選択します。必ず Automation Suite 用の組織固有の URL をすべてのユーザーに提供してください。

移行したユーザーは、Microsoft Entra ID グループの権限とともに、Automation Suite で直接割り当てられた結合された権限を受け取ります。

Studio と Assistant が Microsoft Entra ID アカウントに接続するように設定するには、以下の手順を実行します。

Assistant で [設定] を開き、[Orchestrator への接続] タブを選択します。
[ サインアウト] を選択します。
接続の種類として [サービス URL] を選択します。
[ サービス URL ] フィールドに組織固有の URL を追加します。URL は組織 ID を含み、スラッシュで終る必要があります (例: https://{yourDomain}/orgID/)。そうでないと、ユーザーが組織に属していないというメッセージが表示され、接続が失敗します。
Microsoft Entra ID アカウントでサインインし直します。

大事な： Microsoft Entra ID グループの権限は、クラシックフォルダーのオートメーションや、マシンキーを使用して接続されたロボットには影響しません。グループに基づく権限で動作させるには、オートメーションをモダンフォルダーで設定し、[ サービス URL ] オプションを使用して UiPath Assistant または Studio に接続します。

UiPath のローカルアカウントの使用を中止する (任意)

Automation Suite と Microsoft Entra ID 間の完全な連携がもたらすコアコンプライアンスと効率のメリットを最大限に活かすために、ローカルアカウントの使用は中止することをお勧めします。

重要: 管理者以外のアカウントのみを削除します。後から認証設定を変更できるようにするには、少なくとも 1 つの組織管理者のローカルアカウントを保持しておくことをお勧めします。

すべてのユーザーの移行が完了したら、[ ユーザー ] タブより、非管理者ユーザーを削除し、今後ローカルアカウントではサインインできないようにします。そのようなアカウントには、ユーザーアイコンが表示されています。

Orchestrator サービスなどの UiPath サービス内の権限を個別にクリーンアップしたり、グループからユーザーを個別に削除したりして、権限が Microsoft Entra ID のグループメンバーシップだけに基づいて付与されるようにすることもできます。

高度な機能

これで Microsoft Entra ID 連携が設定されました。以下のセクションでは、活用できる高度な機能について役に立つヒントをいくつか説明します。

組織へのアクセスを制限する

Microsoft Entra ID との連携は Azure テナントのレベルで実行されるため、既定ではすべての Microsoft Entra ID ユーザーが Automation Suite にアクセスできます。Microsoft Entra ID ユーザーが UiPath 組織に初めてサインインすると、そのユーザーは UiPath グループ Everyone に自動的に属し、UiPath エコシステム内で基本レベルのアクセス権を提供する組織のユーザーロールが付与されます。

特定のユーザーにのみ組織へのアクセスを許可する場合、Azure での UiPath アプリの登録時のユーザーの割り当てをアクティブ化できます。これによって、ユーザーはアプリに明示的に割り当てられないと、そのアプリにアクセスできなくなります。手順については、こちらで、アプリを一連のユーザーに制限する方法に関する Microsoft の Microsoft Entra ID のドキュメントをご覧ください。

アクセスを信頼できるネットワークまたはデバイスのみに制限する

ユーザーが、信頼できるネットワークまたは信頼できるデバイスからのみ Automation Suite にアクセスできるようにする場合は、 Microsoft Entra ID の条件付きアクセス機能を使用できます。

Microsoft Entra ID のグループのガバナンス

「権限とロボット用にグループを設定する」で前述したように、Microsoft Entra ID にグループを作成して、Microsoft Entra ID から直接簡単に UiPath のオンボードを行えるようにした場合、これらのグループに対する Privileged Identity Management (PIM) の高度なセキュリティオプションを使用して、UiPath グループへのアクセス要求を制御できます。詳細については、こちらで PIM に関する Microsoft のドキュメントをご覧ください。

よくある質問

連携をアクティブ化したことで、ユーザーにどのような変化がありますか。

ユーザーは既存の Microsoft Entra ID アカウントを使用してすぐにサインインでき、ローカルアカウントと同じ権限を活用できます。

ローカルアカウントをまだ削除していなければ、引き続きローカルアカウントによるサインインも可能です。どちらの方法も使用できます。

Microsoft Entra ID のアカウントを使用するには、組織固有の URL (https://{yourDomain}/orgID/の形式) に移動するか、メインログインページで [ Enterprise SSO ] を選択する必要があります。

もう 1 つの変更点として、別のアプリケーションを使用して Microsoft Entra ID アカウントに既にサインインしている場合、この URL に移動すると自動的にサインインされます。

各アカウントには何のロールが割り当てられているか?

Microsoft Entra ID アカウント: ユーザーが Microsoft Entra ID アカウントでサインインすると、ローカルアカウントで持っていたすべてのロールに加えて、UiPath 内で Microsoft Entra ID アカウント、またはユーザーが属する Microsoft Entra ID グループに割り当てられたロールのメリットがすぐに得られます。これらのロールは、グループに含まれている Microsoft Entra ID ユーザーまたは Microsoft Entra ID グループ、または Microsoft Entra ID ユーザーまたは Microsoft Entra ID グループにロールが割り当てられている他のサービスから取得できます。

ローカルアカウント: Microsoft Entra ID との連携がアクティブな場合、ローカルアカウントの場合は、以下の場合によって異なります。

ユーザーが Microsoft Entra ID アカウントで一度もサインインしていない場合は、ローカルアカウントのロールのみが付与されます。
ユーザーが Microsoft Entra ID のアカウントを使用してログインする場合、ローカルアカウントには、Microsoft Entra ID のユーザーが UiPath 内で持つすべてのロールが付与されます。明示的に割り当てられたロールか、グループメンバーシップから継承したロールは問いません。

Microsoft Entra ID アカウントの権限を再適用する必要がありますか?

いいえ。一致するアカウントは自動的にリンクされるため、Microsoft Entra ID アカウントでログインした場合にも既存の権限が適用されます。ただし、ローカルアカウントの使用を中止する場合は、事前に Microsoft Entra ID からユーザーとグループに適切な権限が設定されていることを確認してください。

トラブルシューティング

ユーザーがログインできない - 承認が必要です

説明: ユーザーがログインできません。 [ 承認が必要] ウィンドウが表示されます。これは、要求された統合に対して管理者の同意が与えられておらず、現在のユーザー権限で独立した同意が許可されていない場合に発生します。

解決策: 連携用に Azure を設定する際に、アプリケーション設定で [ 管理者の同意 を与えます] チェックボックスをオンにします。

ユーザーがログインできない - ユーザー割り当てが必要です (AADSTS50105)

形容： ユーザーは、アプリケーションへのアクセス権を持つグループに割り当てられておらず、明示的にアクセス権を付与されていないため、ログインできません。 AADSTS50105エラーがスローされ、次の状態になります: "Your administrator has configured the application {appName} ('{appId}') は、アプリケーションへのアクセス権が明示的に許可されていない限り、ユーザーをブロックします。サインインしているユーザー「{user}」は、アクセス権を持つグループの直接のメンバーではなく、管理者によって直接アクセス権が割り当てられていないため、ブロックされます。管理者に連絡して、このアプリケーションへのアクセスを割り当ててください。

解決： Azure アプリケーション、またはアプリケーションへのアクセス権を持つグループにグループを割り当てます。 Microsoft の公式ドキュメントの「ユーザーの割り当てを管理する」をご覧ください。

Microsoft Entra ID シークレットの有効期限が切れている (#230)

形容： ユーザーがログインできません。「Microsoft Entra ID シークレットの有効期限が切れているか無効です。Please to your Microsoft Entra ID admin to create new secret in the Azure Portal and update the secret in the UiPath admin portal (#230)". (Microsoft Entra ID 管理者に Azure Portal で新しいシークレットを作成していただき、UiPath 管理ポータル (#230)) でそのシークレットを更新してください。

解決： Azure で新しいクライアントシークレットを作成し、[管理] セクションでシークレットを更新します。資格情報の追加については、Microsoft の公式ドキュメントの「資格情報の追加」をご覧ください。