ナレッジベース

Back to support overview

TeamViewerシングルサインオン(SSO)は、TeamViewerをIDプロバイダーやユーザーディレクトリと結び付けることで、大企業のユーザー管理の負担を軽減することを目的としています。

📌注意 :

  • TeamViewer シングルサインオンは、設定したドメインに基づいています。つまり、社内外のすべての TeamViewer アカウントが ID プロバイダに転送されます。
  • Microsoft Entra ID (旧 Azure AD) ユーザーのメールアドレスは、対応するTeamViewer アカウントのメールアドレスと一致する必要があります。
  • TXTエントリーは公開されていなければなりません。DNS TXTルックアップツールを使用して確認することができます。

この記事は、TeamViewer Enterprise/Tensor ライセンスお持ちのお客様に適用さ れます

必要条件

TeamViewer シングルサインオンを使用するには、以下が必要です。

  • TeamViewer バージョン 13.2.1080 またはそれ以降
  • SAML 2.0対応のIDプロバイダ(IdP)*。
  • Management Console にアクセスし、ドメインを追加するためのTeamViewer アカウント
  • ドメインの所有権を確認するための、ドメインのDNS管理へのアクセス権
  • TeamViewer Tensor ライセンス。

1.カスタム識別子を作成する

このカスタム識別子は TeamViewer には保存されませんが、SSO の初期設定に使用します。シングルサインオンが解除され、新しい設定が必要になるため、いかなる時点でもこの識別子を変更しないでください。

任意のランダムな文字列を顧客識別子として使用できます。カスタム識別子には特殊文字を使用しないことをお勧めします。

📌注意 :

  • 例えば、オンラインパスワードジェネレーターや、社内にパスワードジェネレーターがある場合はそれを利用することができます。
  • この文字列は、後にIdPの設定に必要となります。

2.ID プロバイダの設定Microsoft Entra ID

TeamViewer をアイデンティティプロバイダとして Microsoft Entra ID に設定するには、 Microsoft Entra ID 用のアプリケーションを作成する必要があります。エンタープライズアプリケーションを作成および設定する手順は、以下を参照してください:

1) ブラウザを開き、グローバル管理者権限を持つアカウントで portal.azure.com にログインします。

2) ホーム画面が表示されます。そこでAzureサービス "Azure Active Directory "を選択します。

3) Azure ServiceAzure Active Directoryを選択すると、概要が表示されます。左側の Manage セクションでEnterprise applicationsを選択します。

4) これで、Azure AD にあるすべてのエンタープライズアプリケーションの概要が開きます。

5)すべてのアプリケーション(1) をクリックします。

6)新規アプリケーション(New Application) をクリックします。

7) 次のウィンドウで、自分のアプリケーションを作成するをクリックします。

8) これで自分のアプリケーションを作成することができます:

  1. アプリケーションの名前を入力します。
  2. ギャラリーにない他のアプリケーションを統合する(非ギャラリー)を選択します。
  3. 📌注意:Azureから提示されたTeamViewer Appを選択しないでください。
  4. 作成をクリックします。

9)アプリケーションを作成すると、このアプリケーションの概要が表示されます。

10) 管理セクションのシングルサインオンオプションをクリックし、SAML 方式を選択します。

11) これで、SAML 構成を編集することができます。

  1. エンティティIDを入力します。➜  https://sso.teamviewer.com/saml/metadata
  2. 📌注意: Microsoftから定義済みURLを削除してください。
  3. 返信URLを入力します。 ➜ https://sso.teamviewer.com/saml/acs
  4. 保存をクリックします。

12)最初のステップを保存すると、シングルサインオンをテストするかどうかの質問が表示されます。「いいえ、後でテストします」をクリックします。

13) 次のセクションでは、属性とクレームを 編集する必要があります。

14)新規クレームを追加する場合は、新規クレームを追加(Add new claim)をクリックしてください。

  1. 名前customeridentifier と入力します。
  2. Namespaceには 、値 http://sso.teamviewer.com/saml/claims を入力します。
  3. Source属性には、最初に作成したカスタム識別子を入力します。
  4. 保存をクリックします。

15) 「概要」に新しく追加されたクレームが表示されます。

16) 次のステップで、メタデータ XML ファイルをダウンロードするか、またはメタデータ URLをコピーします。

  1. TeamViewer Management Consoleで次の手順を実行するには、どちらかが必要です。

17)TeamViewer Management Console設定を完了する前に、アプリケーションにグループ /ユーザーを追加してください。

📌注意: これは、ユーザがTeamViewerアカウントに正常にサインインできるようにするため、 および後でAD SCIM同期にグループ/ユーザーを使用するために必要です。

  1.  アプリケーションのユーザーとグループをクリックします。
  2. ユーザー/グループの追加をクリックします。

3.TeamViewerの構成

1) ウェブブラウザを開き、ライセンスが付与された TeamViewer アカウントで Web アプリ ケーション(https://web.teamviewer.com/)にサインインします。

📌注意:TeamViewer アカウントのユーザー権限は、会社の管理者である必要があります。

  1. 管理者設定をクリックします。
  2. シングルサインオンをクリックします。
  3. ドメインの追加をクリックします。

2) 次のウィンドウで、シングルサインオンに使用するドメインを入力します。

📌注意:TeamViewer シングルサインオンに複数のドメインを使用する場合は、この手順を繰り返し行います。異なるドメインに同じ XML ファイルまたは XML URLを使用します。ここでの唯一の要件は、ドメインが同じMicrosoft Entra IDテナントにリンクされていることです。

(1)ドメインを入力します。

(2)設定タイプを選択します。

(3)メタデータXMLファイルをアップロードします。

(4) 追加オプションを有効にします。

📌サブドメインに関する注意:この機能により、SSOログインにドメイン(example.com)だけでなく、全てのサブドメイン(sub.example.comなど)を含めることができます。

📌有効化メールに関する注意事項:このドメインで作成されたSSOアカウントは、このオプションに応じて有効化メールを受け取るか受け取らないか決まります。このオプションが有効な場合 は、新しく作成されたアカウントに有効化メールが送信されます。

(5)続行をクリックします。

3) 次のセクションで、シングルサインオン除外リストにアカウントを追加できます。追加するものがない場合は、ドメインの追加をクリックします。

🚨重要な注意: SSOが新しい設定を必要とする場合でもログインできるように、すべてのドメイン所有者を除外リストに追加することを強く推奨します。SSOログインのテストはセカンドアカウントで実行する必要があります。

📌電子メールの除外に関する注意:ID プロバイダ接続から除外する電子メールアドレスを指定できます。これらのアカウントは、ID プロバイダ認証なしで通常どおりTeamViewer にサインインすることができます。構成が正しくない場合や ID プロバイダが利用できない場合に備えて、フォールバックとしてドメ インの所有者を除外することを推奨します。

4)  最初にカスタム識別子を作成済みであるため、このステップ(シングルサインオン・カスタム識別子)は、続行 をクリックしてスキップすることができます。

4.ドメイン検証

📌 注意 1: この画面には、DNSサーバー管理の情報が表示されます。Name /Hostフィールドの情報とValue / Dataフィールドの情報を入力してください。

📌 注意 2Value / Dataフィールドの情報をコピーします。

1) ドメイン検証ウィンドウで以下の操作を行います。

  1. 検証を開始をクリックします。
  2. スキップをクリックします。

📌注意書き

  • このガイドに最初から最後まで従う場合は、このウィンドウでスキップをクリックします。
  • いつでも検証ページに戻り、ドメインが検証されていないときの値を確認することができます。

2)https://web.teamviewer.com/. のweb appに戻ります。

📌注意:TeamViewer アカウントのユーザー権限は、"会社の管理者 "である必要があります。

  1. 管理者設定をクリックします。
  2. シングルサインオンをクリックします。
  3. ドメインを編集するには、3つの点のアイコン(⋮) クリックします。
  4. 編集をクリックします。

3)ドメイン検証をクリックします。

4)値のコピーをクリックします。

5) DNSサーバー管理の手順を完了したら、検証開始をクリックします。

📌注意

  • TXTエントリーは公開されていなければなりません。DNS TXTルックアップツールを使って確認することができます。この場合、Googleが参考になります。
  • TeamViewer は、検証を開始してから 24 時間、TXT 検証レコードを検索します。24時間以内にTXTレコードが見つからない場合、検証は失敗し、ステータスがそれに応じて更新されます。この場合、このダイアログから検証を再開する必要があります。

📌 注意:  以下はCloudflareが管理するドメインのDNSサーバー管理を示しています。DNSサーバー管理は異なる場合があります!

Cloudflare Dashboardにサインイン後、ドメインを選択します。

  1. DNSをクリックし、レコードの追加をクリックします。
  2. タイプとして選択します。➜TXT
  3. 名前➜@を入力します。
  4. コンテンツに ➜ 上記のステップで入力したTeamViewer SSO検証値を入力します。
  5. 保存をクリックします。

TeamViewer クライアント設定

TeamViewer は、バージョン13.2.1080からシングルサインオンと互換性があります。

以前のバージョンはシングルサインオンをサポートしておらず、ログイン中にユーザーをIDプロバイダに誘導することはできませんでした。クライアント設定はオプションですが、IdPのSSOログインに使用するブラウザを変更することができます。

TeamViewer クライアントは、デフォルトで ID プロバイダ認証に組み込みブラウザを使用します。オペレーティングシステムのデフォルトブラウザを使用したい場合は、この動作を変更できます:

Windows:

HKEY_CURRENT_USER\Software\TeamViewer\SsoUseEmbeddedBrowser = 0 (DWORD)

macOS:

defaults write com.teamviewer.teamviewer.preferences SsoUseEmbeddedBrowser -int 0

📌注意: レジストリを作成または変更した後、TeamViewer クライアントを再起動する必要があります。