TeamViewerシングルサインオン(SSO)は、TeamViewerをアイデンティティプロバイダおよびユーザーディレクトリに接続することによって、大企業のユーザー管理作業の効率を向上させることを目的としています。

📌注意:

  • TeamViewer のシングルサインオンは、設定したドメインに基づきます。つまり、企業内または企業外に存在するすべての TeamViewer アカウントが、アイデンティティ プロバイダに転送されます。
  • Microsoft Entra ID (旧Azure AD) ユーザーのメールアドレスは、対応する TeamViewer アカウントのメールアドレスと一致する必要があります。
  • TXTエントリーは公開される必要があります。 DNS TXTルックアップツールを使用して確認することができます。

この記事は、TeamViewer Tensor (Classic)を利用するEnterprise/Tensorライセンスをお持ちのお客様に適用されます。

必要条件

TeamViewerシングルサインオンを使用するには、次のものが必要です。

  • TeamViewerバージョン13.2.1080 以降
  • SAML 2.0互換IDプロバイダー(IdP)*
  • Management Console にアクセスしてドメインを追加するためのTeamViewerアカウント
  • ドメインの所有権を確認するためのドメインのDNS管理へのアクセス
  • TeamViewer Tensorライセンス

1.カスタム識別子の作成

このカスタム識別子は TeamViewer によって保存されませんが、シングルサインオン(SSO) の初期設定に使用されます。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でも変更しないでください。

任意のランダムな文字列を顧客識別子として使用できます。カスタム識別子には特殊文字を使用しないことを推奨します。

📌注意:

  • 例えば、オンラインパスワードジェネレーターや、社内にパスワードジェネレーターがある場 合、それを使用することができます。
  • この文字列は、後で IdP の構成に必要です。

2. Microsoft Entra IDアイデンティティプロバイダの設定

TeamViewerをアイデンティティプロバイダとしてMicrosoft Entra ID に接続するには、 Microsoft Entra ID 用のアプリケーションを作成する必要があります。エンタープライズアプリケーションの作成と設定の手順は、以下のとおりです。

1.) ブラウザを開き、グローバル管理者権限を持つアカウントで "portal.azure.com "にログインします。

2.) ホーム画面が表示されます。そこで、Azure Service "Azure Active Directory" を選択します。

3.) Azure Service Azure Active Directory を選択すると、概要が表示されます。左側の Manage セクションで Enterprise applications オプションを選択します。

4.) Azure AD にあるすべてのEnterprise applications の概要が表示されます。

5.) All applications(すべてのアプリケーション )①をクリックし、次に

6.) 新規New application(アプリケーション)をクリックします。 ②

7.) 次のウィンドウで、Create your own application(独自のアプリケーションを作成する)をクリックしてください。

8.) これで、独自のアプリケーションを作成することができます。

  1. アプリケーションの名前を入力します。
  2. ギャラリーにない他のアプリケーションを統合する(ギャラリー以外)を選択します。
  3. 📌注意: Azureから提案されたTeamViewer Appは選択しないでください。
  4. 作成をクリックします。

9.) アプリケーションを作成すると、このアプリケーションの概要が表示されます。

10.) 管理セクションの下にあるオプションシングルサインオンをクリックし、SAML方式を選択します。

11.) これで、SAML 構成を編集することができます。

  1. エンティティIDを入力します➜ https://sso.teamviewer.com/saml/metadata
    • 📌 注意:マイクロソフトの定義済み URL を削除します。
  2. 返信先URLを入力します➜ https://sso.teamviewer.com/saml/acs
  3. 保存をクリックします。

12.) 最初のステップを保存すると、シングルサインオンをテストするかどうかの質問が表示されます。No, I'll test laterをクリックします。

13.) 次のセクションでは、属性とクレーム編集する必要があります。

14.) Add new claim をクリックし、新しい請求を追加します。

  1. Nameにcustomeridentifierという値を入力します。
  2. 名前空間には、http://sso.teamviewer.com/saml/claims という値を指定します。
  3. Source属性に、冒頭で作成したカスタム識別子を入力します。
  4. 保存をクリックします。

15.) 新たに追加された請求は、「概要」に表示されます。

16.) 次のステップでは、メタデータ XML ファイルをダウンロードするか、メタデータ URL をコピーします。

  • TeamViewer Management Consoleの次の手順で、どちらかが必要です。

17.) TeamViewer Management Consoleのセットアップを完了する前に、アプリケーションにグループ/ユーザーを追加してください。

📌注意: これは、ユーザーがTeamViewerアカウントに正常にサインインできるように、また グループ/ユーザが後のAD SCIM Syncに使用されるようにするために必要です。

  1. アプリケーションのユーザーとグループをクリックします。
  2. ユーザー/グループの追加をクリックします。

3.TeamViewer Management Console(MCO)の構成

1.) ウェブブラウザを開き、ライセンスと紐づいているTeamViewerアカウントで TeamViewer Management Consoleにサインインします。

📌注意: TeamViewerアカウントのユーザ権限は、会社の管理者である必要があります。

  1. 会社の管理をクリックします。
  2. シングルサインオンをクリックします。
  3. 最初のドメインを追加 をクリックします。

2.) 次のウィンドウでは、シングルサインオンに使用するドメインを入力できます。

📌注意: TeamViewerのシングルサインオンに複数のドメインを使用する場合は、この手順を繰り 返します。異なるドメインに同じXMLファイルまたはXML URLを使用します。ここでの唯一の条件は、ドメインが同じ Azure テナントにリンクされていることです。

  1. ドメインを入力します。
  2. 構成の種類を選択します。
  3. メタデータXMLファイルをアップロードします。
  4. 追加オプションを有効にします。
  5. 次へ をクリックします。

📌 サブドメインに関する注意: この機能により、SSO ログインにドメイン (example.com) を含めるだけでなく、すべてのサブドメイン (sub.example.com など) を含めることができます。

📌 有効化メールの無効化に関する注意: このドメインの下で作成された SSO アカウントは、このオプションによって有効化メールを受信するかしないかを決定します。このオプションを有効にすると、新規に作成されたアカウントは有効化メールを受信しません。

3.) 次のセクションでは、シングルサインオンの除外リストにアカウントを追加することができます。追加するものがない場合は、次へをクリックします。

🚨重要な注意事項:SSOに新しい設定が必要な場合でもログインできるように、すべてのドメイン所有者を除外リストに追加することを強く推奨します。SSOログインのテストは、2番目のアカウントで実行する必要があります。

📌 電子メールの除外に関する注意事: アイデンティティ プロバイダ接続から除外する電子メールアドレスを指定することができます。これらのアカウントは、アイデンティティ プロバイダ認証なしで通常どおり TeamViewer にサインインすることができます。設定が正しくない場合やアイデンティティ プロバイダが利用できない場合の代替手段として、ドメインの 所有者を除外することをお勧めします。

4.) このステップ(シングルサインオン カスタム識別名)は、最初にカスタム識別名(Custom Identifier)を作成したため、次へをクリックすることで省略できます。

4. ドメインの検証

📌注意1: この画面では、DNSサーバーの管理情報が表示されます。Name / Host フィールドの情報と 値/データフィールドの情報が必要です。

📌注意2: 値/データのフィールドをコピーします。後でこの情報が必要になります。

1.) ドメイン検証ウィンドウで、以下を実行します。

  1. 検証開始をクリックすることができます。
  2. スキップをクリックすることができます。

📌 注意

  • このガイドに最初から最後まで従った場合、このウィンドウでスキップをクリックします。
  • いつでも検証ページに戻って、ドメインが検証されていないときの値を見ることができます。

2.) TeamViewer Management Consoleに戻ります。

📌注意: TeamViewerアカウントのユーザ権限は、会社の管理者 である必要があります。

  1. 会社の管理をクリックします。
  2. シングルサインオンをクリックします。
  3. ペンをクリックして、ドメインを編集します。

3.) ドメイン検証をクリックします。

4.) 値のコピーをクリックします。

5.) DNSサーバー管理の手順が完了したら、検証開始をクリックします。

📌 注意

  • TXTエントリーは公開されている必要があります。DNS TXT Lookup Toolを使用して確認することができます。この場合、Googleが役に立ちます。
  • TeamViewerは、検証を開始してから24時間、TXT検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、それに応じてステータスが更新されます。この場合、このダイアログから検証を再開する必要があります。

📌 注意:以下は、Cloudflareが管理するドメインのDNSサーバー管理を示しています。DNSサーバーの管理方法の表示が異なる場合があります。

Cloudflare Dashboardにサインインした後、ドメインを選択します。

  1. DNSをクリックし、Add recordをクリックします。
  2. タイプとしてTXTを選択します。
  3. 名前@を入力します。
  4. コンテンツに、上記の手順で入力したTeamViewer SSO検証の値を入力します。
  5. 保存をクリックします。

TeamViewerクライアントの設定

TeamViewerは、バージョン13.2.1080からシングルサインオンと互換性があります。

以前のバージョンでは、シングルサインオンをサポートしておらず、ログイン中にユーザーをアイデンティティ プロバイダにリダイレクトすることができません。クライアント構成はオプションですが、IdP のシングルサインオン( SSO) ログインに使用するブラウザを変更することができます。

TeamViewerクライアントは、デフォルトでアイデンティティ プロバイダの認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトのブラウザを使用したい場合は、以下のレジストリキーを使用してこの動作を変更することができます:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌 注意: この特定のキーを設定した後、TeamViewerクライアントを再起動する必要がありま す。