Enterprise で Organization の Team 同期を管理する

Microsoft Entra ID (旧称 Azure AD) と GitHub の間で Team の同期を有効にして、Enterprise アカウントによって所有される organization で IdP グループを介してチームのメンバーシップを管理できるようにすることができます。

この機能を使用できるユーザーについて

Enterprise owners can manage team synchronization for an enterprise account.

この記事の内容

Note

Enterprise で Enterprise Managed Users を使う場合は、チーム同期を使う必要はありません。 代わりに、Enterprise のセットアップ中に作成した SCIM 構成を使って、Team のメンバーシップを管理できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」をご覧ください。

Enterprise アカウントのチーム同期について

Entra ID を IdP として Enterprise レベルで SAML を使用すると、Enterprise アカウントで Team 同期を有効にすることで、Organization の所有者と Team のメンテナンス担当者が、Enterprise アカウントによって所有される Organization のチームを IdP のグループと同期できるようにすることができます。

Organization または Enterprise アカウントでチームの同期が有効になっている場合は、GitHub チームを IdP グループと同期できます。 これを行うと、IdP グループに対するメンバーシップ変更が GitHub に自動的に反映され、手動更新とカスタム スクリプトの必要性が軽減されます。

チーム同期はユーザー プロビジョニング サービスではなく、ほとんどの場合、組織に参加するようメンバー以外を招待することはありません。 つまり、ユーザーをチームに追加できるのは、ユーザーが既に組織のメンバーである場合のみです。 ただし、チーム同期では必要に応じて、以前に組織のメンバーだったがそれ以降削除されているユーザーを再び招待することができます。

Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 詳細については、「Team をアイデンティティプロバイダグループと同期する」および「チームの REST API エンドポイント」を参照してください。

Warning

チームの同期を無効にしても、IdP グループを通じて GitHub チームに割り当てられていたチーム メンバーはチームから削除されず、リポジトリへのアクセスは保持されます。

Organization ごとの Team 同期の設定と管理も可能です。 詳しくは、「Organization の Team 同期を管理する」をご覧ください。

Usage limits (使用状況の制限)

チームの同期機能には使用制限があります。 これらの制限を超えると、パフォーマンスが低下し、同期エラーが発生する可能性があります。

  • GitHub Team のメンバーの最大数: 5,000
  • GitHub Organization のメンバーの最大数: 10,000
  • GitHub Organization の Team の最大数: 1,500

前提条件

  • Gov Cloud ではなく、Entra ID の商用テナントを使う必要があります。
  • ユーザーまたは Entra ID 管理者は、Entra ID のグローバル管理者または特権ロール管理者である必要があります。
  • サポート対象の IdP を使用して、Enterprise アカウントの Organization に対して SAML シングルサインオンを適用にする必要があります。 詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
  • SAML SSO とサポートされる IdP を使用して Enterprise アカウントに認証される必要があります。 詳しくは、「SAMLシングルサインオンで認証する」をご覧ください。

Entra ID で Team の同期を管理する

Entra ID に対して Team の同期を有効にするには、Entra ID のインストールに次のアクセス許可が必要です。

  1. GitHub の右上隅にあるプロフィール写真をクリックします。

  2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. [設定] で、 [認証セキュリティ] をクリックします。

  5. エンタープライズで SAML SSO が有効になっていることを確認します。

  6. [Team synchronization] (Team 同期) で、[Enable for Entra ID] (Entra ID での有効化) をクリックします。

  7. Teamの同期を確認してください。

    • IdP にアクセスできる場合は、 [Enable team synchronization] (Team 同期を有効にする) をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。

  8. Enterprise アカウントに接続する IdP テナントの詳細を確認し、 [承認] をクリックします。

  9. Team の同期を無効にするには、[Team 同期] の下にある [Team の同期を無効にする] をクリックします。

チームの同期でメンバー以外を組織に再び招待できるかどうかの管理

この設定を変更しても、保留中の招待には影響しません。 チーム同期で過去のメンバーを組織に再招待することが許可されている間に生成された招待は、その後再招待が許可されなくなった場合でも、メンバーが組織に再追加される可能性があります。

  1. GitHub の右上隅にあるプロフィール写真をクリックします。

  2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. [設定] で、 [認証セキュリティ] をクリックします。

  5. [チームの同期] で、 [チームの同期で組織の所有者によって削除された過去のメンバーを組織に再び招待することを許可しない] を選択または選択解除します。