Enterprise で Organization の Team 同期を管理する

Microsoft Entra ID (旧称 Azure AD) と GitHub Enterprise Cloud の間で Team の同期を有効にして、Enterprise アカウントによって所有される Organization で IdP グループを介して Team のメンバーシップを管理できるようにすることができます。

この機能を使用できるユーザーについて

Enterprise owners can manage team synchronization for an enterprise account.

この記事の内容

メモ: Enterprise で Enterprise Managed Users を使う場合は、Team 同期を使う必要はありません。 代わりに、Enterprise のセットアップ中に作成した SCIM 構成を使って、Team のメンバーシップを管理できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

Enterprise アカウントのチーム同期について

Entra ID を IdP として Enterprise レベルで SAML を使用すると、Enterprise アカウントで Team 同期を有効にすることで、Organization の所有者と Team のメンテナンス担当者が、Enterprise アカウントによって所有される Organization のチームを IdP のグループと同期できるようにすることができます。

Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。

チーム同期はユーザー プロビジョニング サービスではなく、ほとんどの場合、組織に参加するようメンバー以外を招待することはありません。 つまり、ユーザーをチームに追加できるのは、ユーザーが既に組織のメンバーである場合のみです。 ただし、チーム同期では必要に応じて、以前に組織のメンバーだったがそれ以降削除されているユーザーを再び招待することができます。

Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 詳細については、「Team をアイデンティティプロバイダグループと同期する」および「チームの REST API エンドポイント」を参照してください。

警告: Team の同期を無効化すると、IdP グループを通じて GitHub Team に割り当てられた Team メンバーは、すべてその Team から削除され、リポジトリへのアクセスを失う場合もあります。

Organization ごとの Team 同期の設定と管理も可能です。 詳しくは、「Organization の Team 同期を管理する」を参照してください。

Usage limits (使用状況の制限)

チームの同期機能には使用制限があります。 これらの制限を超えると、パフォーマンスが低下し、同期エラーが発生する可能性があります。

  • GitHub Team のメンバーの最大数: 5,000
  • GitHub Organization のメンバーの最大数: 10,000
  • GitHub Organization の Team の最大数: 1,500

前提条件

  • Gov Cloud ではなく、Entra ID の商用テナントを使う必要があります。
  • ユーザーまたは Entra ID 管理者は、Entra ID のグローバル管理者または特権ロール管理者である必要があります。
  • サポート対象の IdP を使用して、Enterprise アカウントの Organization に対して SAML シングルサインオンを適用にする必要があります。 詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。
  • SAML SSO とサポートされる IdP を使用して Enterprise アカウントに認証される必要があります。 詳しくは、「SAMLシングルサインオンで認証する」を参照してください。

Entra ID で Team の同期を管理する

Entra ID に対して Team の同期を有効にするには、Entra ID のインストールに次のアクセス許可が必要です。

  • すべてのユーザーの完全なプロファイルの読み取り
  • サインインしてユーザー プロファイルを読み取る
  • ディレクトリ データの読み取り

  1. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. [設定] で、 [認証セキュリティ] をクリックします。

  5. エンタープライズで SAML SSO が有効になっていることを確認します。

  6. [Team synchronization] (Team 同期) で、[Enable for Entra ID] (Entra ID での有効化) をクリックします。

  7. Teamの同期を確認してください。

    • IdP にアクセスできる場合は、 [Enable team synchronization] (Team 同期を有効にする) をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。

  8. Enterprise アカウントに接続する IdP テナントの詳細を確認し、 [承認] をクリックします。

  9. Team の同期を無効にするには、[Team 同期] の下にある [Team の同期を無効にする] をクリックします。

チームの同期でメンバー以外を組織に再び招待できるかどうかの管理

この設定を変更しても、保留中の招待には影響しません。 チーム同期で過去のメンバーを組織に再招待することが許可されている間に生成された招待は、その後再招待が許可されなくなった場合でも、メンバーが組織に再追加される可能性があります。

  1. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. [設定] で、 [認証セキュリティ] をクリックします。

  5. [チームの同期] で、 [チームの同期で組織の所有者によって削除された過去のメンバーを組織に再び招待することを許可しない] を選択または選択解除します。