Contents
前提とライセンス要件
このセクションでは、Miro と Microsoft Teams を連携させるために最低限必要となるサブスクリプションやエディションを整理します。組織規模やガバナンス要件に応じて適切なプランを選択することが、導入後の運用負荷軽減につながります。
Microsoft 365 の必須プラン
Microsoft 365 では アプリ許可ポリシー と Azure AD の認証機能 が利用できるエディションが対象です。以下に主要プランと管理機能の対応状況をまとめました。
| プラン | 主な管理機能 | Teams アプリ許可ポリシーの可否 |
|---|---|---|
| Business Standard / Premium | Exchange、SharePoint、Teams 基本管理 | ✅(標準ポリシー) |
| Enterprise E3 / E5 | 高度なコンプライアンス・情報保護機能 | ✅(カスタムポリシー作成可) |
| Azure AD Premium P1/P2 (付随) | 条件付きアクセスポリシー、SCIM 同期等 | ⬆️(SSO 設定が簡素化) |
ポイント: 無料プランや Essentials では Teams 管理センターからアプリ許可ポリシーを操作できません。必ず上記のいずれかの有料プランをご用意ください。
Miro のエディションと SSO 対応
Miro は Business と Enterprise の二つの主要エディションで提供され、SSO の方式が異なります。認証方式と対象プランを正確に把握しておくことが重要です。
| プラン | SSO 方式 | SCIM 同期 | 主な利用シーン |
|---|---|---|---|
| Business | SAML(Azure AD / Okta 等) のみ | ❌ | 小規模チーム、手動ユーザー割り当てが許容できる組織 |
| Enterprise | SAML と OAuth 2.0 (OpenID Connect) 両方に対応 | ✅(自動ユーザー・属性同期) | 大規模企業・厳格なガバナンスが必要な環境 |
補足: Enterprise エディションでは SAML と OAuth のどちらを選択しても利用可能です。Azure AD での設定手順は両方式共通ですが、認証フローやトークン取得先が異なる点に留意してください。
Teams 管理センターでのアプリ許可ポリシー設定
この章では、管理者が Miro アプリ を組織全体または特定ユーザーに対して有効化する手順を詳述します。デフォルトの「グローバル(組織全体)ポリシー」は上書きできないという誤解を防ぐため、カスタムポリシーでのオーバーライド方法も併せて説明します。
ポリシー作成手順(概要)
- Microsoft 365 管理センター に管理者アカウントでサインイン
- 左メニュー → 「Teams」 > 「組織全体設定」 > 「アプリ」 を選択
- 「アプリ許可ポリシー」 タブを開き、「新規作成」 ボタンをクリック
ポイント: ここまでが画面遷移の概要です。次に実際の入力項目と注意点を示します。
ポリシー詳細設定
| 項目 | 設定例 | 注意事項 |
|---|---|---|
| ポリシー名 | Miro_Allow(わかりやすい名称) |
同一組織内で重複しないように |
| 説明 | 「全社向け Miro アプリ許可」 | 監査ログ検索時のヒントになる |
| アプリの許可リスト | Miro を「許可」へ追加 |
必ず 「すべてのサードパーティアプリをブロック」 がオフであること |
| 対象ユーザー | Azure AD グループ(例: Miro_Users)を割り当て |
後述の SCIM 同期と合わせると自動管理が可能 |
重要: カスタムポリシーは 「グローバル」ポリシーを上書き できませんが、対象ユーザーに対してカスタムポリシーを割り当てれば実質的に上書きした状態になります(Microsoft Docs[^1])。
ポリシーの適用範囲とテスト手順
- 全員に適用: カスタムポリシーを 「既定 (Default)」 の代わりに設定し、組織全体のユーザーが自動的に継承するようにします。
- 限定的に適用: Azure AD グループやダイナミックメンバーシップを利用して、IT 部門やパイロットチームだけにポリシーを付与し、実装前に動作確認を行います。
テスト後は Teams 管理センター > 「監査ログ」 で AppPermissionPolicyAssignment イベントが記録されているか確認してください。
エンドユーザー側設定と認証フロー(SSO / OAuth)
エンドユーザーは Teams のアプリストアから Miro アプリをインストールし、Azure AD と連携した SSO によりシームレスにサインインします。ここでは SAML と OAuth の両認証方式の設定ポイントと、属性マッピング時の注意点を解説します。
Teams アプリストアから Miro を追加する手順
- Teams 左側メニューの 「アプリ」 アイコンをクリック
- 検索バーに 「Miro」 と入力し、表示されたカードの 「追加」 を選択
- 初回利用時に出る 「サインイン」 ボタンをクリックすると Azure AD の認証画面へリダイレクトされます
ポイント: ユーザーは自分の Microsoft アカウントでログインすれば、Miro 用パスワード入力は不要です(SSO が有効な場合)。
Azure AD での SSO 設定(SAML と OAuth の共通手順)
| 手順 | 操作画面(例) | 補足 |
|---|---|---|
| 1. エンタープライズ アプリケーションに Miro を登録 | Azure ポータル → 「Azure AD」→「エンタープライズ アプリケーション」→「新規アプリ」→「Miro」検索 | 事前に Microsoft の公式テンプレートがあるので選択 |
| 2. シングルサインオン方式を選択 | 「シングルサインオン」 → 「SAML」または「OpenID Connect (OAuth)」 | Enterprise エディションではどちらも利用可能 |
| 3. メタデータの入力 | Entity ID、Reply URL(ACS)、Logout URL を Miro 管理画面から取得し貼り付け | SAML: XML メタデータをインポート、OAuth: クライアント ID/シークレットを生成 |
| 4. 属性マッピング | 「属性 & クレーム」 → 必要属性(userPrincipalName, mail, displayName)を追加 |
SCIM 同期と併用する場合は employeeId など組織独自属性も設定 |
| 5. アプリの割り当て | 「ユーザーとグループ」 → 対象 Azure AD グループ(例: Miro_Users)を追加 |
動的メンバーシップで自動付与が可能 |
SAML と OAuth の違い
- SAML はブラウザリダイレクト方式で、主に Web アプリケーション向け。属性は SAML アサーション内に含めるため、細かい権限情報を渡しやすいです。
- OAuth (OpenID Connect) はトークンベースの認可フローで、モバイルアプリや API 連携に適しています。アクセストークンの有効期限が短いため、セキュリティ面でも優れています。
属性マッピング時の注意点
- 必須属性:
userPrincipalName(メールアドレス)とdisplayNameは Miro のユーザー作成に必須です。 - カスタム属性: 組織が社員番号や部署コードで権限分岐を行う場合、Azure AD の「拡張属性」(
extensionAttributeX) を SCIM 同期でマッピングしてください。 - 文字列長制限: Miro 側は 256 バイトまでの文字列しか受け付けません。長すぎる属性は Azure AD 側でトリミングするか、短縮形を使用します。
SCIM 同期と属性マッピングの詳細手順
SCIM(System for Cross-domain Identity Management)を有効にすると、Azure AD のユーザー情報が自動的に Miro に同期され、追加・削除・属性変更がリアルタイムで反映されます。以下では 設定画面の位置 と 実装上のベストプラクティス を具体的に示します。
1. Azure AD 側で SCIM エンドポイントを登録
| 手順 | 操作画面 | 設定項目 |
|---|---|---|
| (a) エンタープライズ アプリの選択 | 「Azure AD」→「エンタープライズ アプリケーション」→対象 Miro アプリ | - |
| (b) プロビジョニングタブへ移動 | 左メニュー → 「プロビジョニング」 → 「自動化されたユーザー プロビジョニング」 | オン に切替 |
| (c) SCIM エンドポイント URL とシークレットキーを入力 | SCIM ベースURL(例: https://api.miro.com/v1/scim/)と 認証トークン を入力 |
トークンは Miro 管理コンソールの 「API & SCIM」 から取得 |
ポイント: URL の末尾にスラッシュ (
/) が必要です。誤って省くと同期エラー (400) が発生します。
2. 属性マッピング設定
- 「属性マッピング」画面で 「+ 追加」 をクリック
- Azure AD のソース属性(例:
userPrincipalName)を左側、Miro のターゲット属性(例:emails[primary].value)を右側に選択 - 必須マッピングは以下の通りです
| Azure AD 属性 | Miro SCIM フィールド | コメント |
|---|---|---|
userPrincipalName |
userName |
メールアドレスがそのままユーザー名になる |
displayName |
name |
ボード上の表示名に使用 |
mail (オプション) |
emails[primary].value |
2 次メールアドレスがある場合は追加 |
extensionAttribute1(部署コード) |
department |
部署別権限付与に利用 |
- 「保存」 → 「同期の開始」をクリックし、手動で最初のフルシンクロを実行
3. 同期結果とトラブルシューティング
- 成功ログ: Azure ポータルの「プロビジョニング」→「操作履歴」に
Provisioning succeededが記録されます。 - 失敗例: 属性値が空文字または長すぎる場合、エラーコード
400 – Bad Requestが出力されます。属性マッピングを見直し、必須フィールドにデフォルト値を設定してください。
サポートリンク
- Microsoft Teams 管理センターのトラブルシューティングページ: https://learn.microsoft.com/teams/troubleshoot
- Miro ステータスページ(障害情報): https://status.miro.com
Miro ボードを Teams タブとして埋め込む方法と権限管理
Miro アプリが組織内で有効化されたら、任意のチャンネルにボードをタブ形式で貼り付けることができます。ここでは 操作手順 と 自動権限付与設定 を細かく解説します。
ボード選択とタブ作成の具体的な流れ
- Teams の対象チャンネルを開き、上部メニューの 「+」(タブ追加)ボタンをクリック
- アプリ一覧から 「Miro」 を選択し、表示されるウィザードで 「既存ボードを使用」 または 「新規作成」 を選ぶ
- ボード検索ウィンドウに名前または ID(例:
PRJ01_Design)を入力し、目的のボードをクリックして選択 - タブ名(例:
デザインレビュー)と表示サイズ(標準/大)を設定した後 「保存」 を押す
ポイント: 保存直後にタブが生成されますが、初回ロード時に Azure AD の認証トークンが自動的に取得されるため、ユーザーは追加ログインなしでボードを閲覧できます。
自動閲覧権限付与の設定手順
| 手順 | 操作画面 | 設定項目 |
|---|---|---|
| 1. Miro 側で共有オプションを有効化 | ボード上部 → 「共有」 → 「チームと組織」 | Microsoft Teams のメンバー全員に閲覧権限を自動付与 にチェック |
| 2. 権限レベルの選択 | 同じ画面で「閲覧」「コメント」「編集」のラジオボタン | 必要に応じて「閲覧のみ」か「編集可」を選択 |
| 3. SCIM 同期が有効な場合は属性マッピングを確認 | Azure AD → Miro の department 属性と Teams チャンネルの所属情報を突合 |
権限変更がリアルタイムで反映されるかテスト |
注意点: 権限付与オプションはボードごとに設定が必要です。大量のボードを一括管理したい場合は、Miro の API でスクリプト化すると効率的です(API ドキュメント: https://developers.miro.com/reference)。
権限変更時のベストプラクティス
- 定期レビュー: SCIM 同期レポートと Teams メンバーリストを最低半年に一回照合し、不要権限は即削除。
- MFA の強制: Azure AD 条件付きアクセスポリシーで MFA を必須化すると、認証情報漏洩リスクが低減します。
- 監査ログの活用: Teams 管理センター > 「監査ログ」および Miro 管理コンソール > 「アクティビティログ」で権限付与・解除イベントを追跡。
通知連携・エラー対応チェックリスト & ベストプラクティス
統合後は 通知設定 と 障害時の迅速な対処 が運用の鍵になります。以下に実務で役立つチェックリストと、代表的エラーコードへの具体的リンクを掲載します。
Teams へ Miro アクティビティをプッシュする Webhook 設定
- Miro ボード右上メニュー → 「設定」 → 「統合」 を開く
- 「Microsoft Teams」 セクションで 「Webhook を作成」 をクリック
- 表示されたダイアログに Teams のチャンネル URL(例:
https://outlook.office.com/webhook/...)を貼り付け、「保存」
ポイント: Webhook はチャンネル単位で一意です。複数チャンネルへ同じボードの更新を送信したい場合は、それぞれ個別に作成してください。
代表的エラーコードと公式サポートリンク
| エラーコード | 発生シーン | 主な原因 | 推奨対策(公式リンク) |
|---|---|---|---|
| 401 – Unauthorized | ユーザーが Miro にサインインできない | Azure AD トークン期限切れ、SSO 未設定 | 1. Azure AD → エンタープライズ アプリで「ユーザー割り当て」確認 2. 再サインインを促す Microsoft サポート – 401 エラー |
| 403 – Forbidden | Teams が Miro アプリをブロック | カスタムアプリ許可ポリシー未割当 | ポリシー Miro_Allow を対象ユーザーへ再割り当て Teams 管理センター – アプリ許可ポリシー |
| 404 – Not Found | ボードリンクが無効 | ボード削除または共有期限切れ | Miro 管理画面でボードの有効性確認、必要なら新規作成しタブ更新 Miro ヘルプ – ボード共有 |
| 500 – Internal Server Error | サービス障害 | Miro 側のインフラ障害 | Miro ステータスページで障害情報を確認し、復旧まで待機 Miro Status Page |
| 429 – Too Many Requests | 短時間に多数 API 呼び出し | レートリミット超過(Webhook) | 呼び出し頻度を抑えるか、バッチ処理へ切り替え Microsoft Teams 開発者ドキュメント – Rate limits |
運用ベストプラクティスまとめ
| 項目 | 推奨頻度・手順 |
|---|---|
| ボード命名規則 | [プロジェクトコード]_[チーム]_[用途](例: PRJ01_Marketing_Ideas)で統一し検索性確保 |
| アクセスレビュー | SCIM 同期レポートと Teams メンバーリストを半年に1回突合、不要ユーザーは削除 |
| MFA と条件付きアクセスポリシー | Azure AD で MFA を必須化し、外部ネットワークからのアクセスはブロック |
| Webhook のセキュリティ | エンドポイント URL は社内 IP 制限や Azure API Management で保護 |
| 障害時のエスカレーションフロー | 1. Teams 管理センター → 「サポート」からチケット作成 2. Miro 障害はステータスページ確認後、必要なら公式サポートへ問い合わせ( support@miro.com) |
| ドキュメントのバージョン管理 | 本ガイドは Git リポジトリで README.md として管理し、変更時に更新日と変更履歴を追記 |
参考情報・出典
- Microsoft Docs – Teams アプリ許可ポリシー: https://learn.microsoft.com/microsoftteams/app-permission-policies
- Miro ヘルプセンター – Enterprise プランの SSO と SCIM: https://help.miro.com/hc/en-us/articles/360017730459-Enterprise-features
- Microsoft Teams サービスステータス: https://status.office365.com/
- Miro ステータスページ: https://status.miro.com
以上の手順とチェック項目を実施すれば、Microsoft Teams と Miro の統合が安全かつ円滑に運用できる環境が整います。導入後は定期的なレビューとログ監査を忘れずに行い、組織全体のコラボレーション効果を最大化してください。