Microsoft 365 とのシングルサインオン、ID 同期の設定を⾏います。
事前にMicrosoft 365側で設定を実施し、「シングルサインオン」-「クラウドサービス」 から「Microsoft 365」を選択して下さい。
項目名 | 説明 | |
シングルサインオンの設定 | 有効にした場合、Microsoft 365とのシングルサインオンを行います。 | |
ID同期 | 有効にした場合、Microsoft 365とのID同期を行います。 | |
Microsoft 365 ドメイン | Microsoft 365のドメインを選択します。 ※onmicrosoft.com ドメインは利用できません。 ※example.com、sub.example.comのようにルートドメインとルートドメインにサブドメインを付加したドメインを同時に登録することはできません。その場合、ルートドメインのみ登録して下さい。ユーザーやグループのメールアドレスには、設定したルートドメインに対してサブドメインを付加したメールアドレスも使用することができます。 |
|
ユーザー名の属性(※1) |
Microsoft 365のユーザープリンシパル名に同期する属性を選択します。 |
|
メールエイリアスの属性 | Microsoft 365のユーザープリンシパル名に同期する属性を選択します。 ・メールアドレス:ユーザーに設定されているメールアドレスが同期されます。 ・ユーザーID:"<ユーザーID>@<「Microsoft 365 ドメイン」の先頭のドメイン>"がユーザープリンシパル名となります。 ※当項目を変更した場合、変更前の設定で同期されたユーザーは、Microsoft 365 へのシングルサインオンや同期ができなくなる場合があります。 |
|
Microsoft 365 管理アカウント名 |
Microsoft 365側の管理アカウント(onmicrosoft.com ドメインのアカウントの使用を推奨しています)を入力します。 ※Microsoft 365でのシングルサインオン連携の対象ではなく、全体管理者の役割を持つユーザーである必要があります。 ※ID同期のみを有効とし、シングルサインオンを無効とした状態では、「Microsoft ドメイン」に設定したドメインが設定されているアカウントを設定することが可能です。 |
|
OAuth 認証 | ||
Microsoft 365の接続方式 | Microsoft 365へ接続する際の方式を選択します。 ・証明書:プライベート証明書を使用して接続します。 ・クライアントシークレット:Microsoft Entra ID側で作成したアプリケーションで発行したクライアントを使用して接続します。 |
|
Exchangeの接続方式(※2) | Exchangeへ接続する際の方式を選択します。 ・証明書:プライベート証明書を使用して接続します。 ・パスワード:管理者アカウントのパスワードを使用して接続します |
|
アプリケーションID | Microsoft Entra ID側で作成したアプリケーションの「アプリケーション (クライアント) ID」を入力します。 | |
ディレクトリID | Microsoft Entra ID側で作成したアプリケーションの「ディレクトリ (テナント) ID」を入力します。 | |
クライアントシークレット(※3) | Microsoft Entra ID側で取得したクライアントシークレットの"値"を入力します。 | |
証明書(PKCS#12形式) | 「Microsoft 365の接続方式」、「Exchangeの接続方式」で"証明書"を指定している場合は、プライベート証明書発行時に発行された.pfx形式の証明書をアップロードします。 | |
証明書のパスフレーズ | プライベート証明書を発行した際に設定したパスワードを入力します。 | |
接続用パスワード | 「Exchangeの接続方式」に「パスワード」を選択した場合に、管理者アカウントのパスワードを入力します。 |
OAuth認証を設定した際には、毎週月曜日の4:00にSeciossLinkからMicrosoft 365に対して接続用アクセストークンの再取得の処理を実行しております。
※1
「ユーザー名の属性」で「メールアドレス」を指定した場合、下記の通りとなります。
(例1)
Immutable ID(seciossSystemId:x-syx-ad): user001@test.net
UPN:test.user001@test.net
「ユーザー名の属性」で「ユーザーID」を指定した場合、下記の通りとなります。
(例2)
Immutable ID(seciossSystemId:x-syx-ad): user001@test.net
UPN:user001@exam.com
※UPNは{uid}@{一番上に設定したドメイン}で自動設定されます。
※2
"グループの種類"が"Microsoft 365″のグループを登録する場合は、Microsoftの仕様によって現状パスワードでの接続のみが対応しているため、「パスワード」を選択してください。"Microsoft 365″のグループの登録を実施しない場合は、「証明書」での接続を推奨いたします。
※3
クライアントシークレットや証明書の有効期限が切れた際には、Microsoft Entra IDの管理画面上で再発行して、当項目で更新する必要があります。
また、また、期限切れ発生時や期限が近づいた際には、SeciossLink側の システム > テナント情報 の項目"システムからの通知先メールアドレス"で設定したメールアドレス宛に通知が実行されます。
送信のタイミングは以下のとおりです。
期限切れ当日~7日前まで毎日、14日前、21日前、30日前
項目名 | 説明 | |
管理者ロールの制御 | 有効にした場合、ユーザー情報やプロファイル情報の設定項目「Microsoft 365のロール」に「管理者ロール」※の項目が表示され、無効の場合は非表示となります。 |
※当設定項目が有効の場合、以下のように表示されます。
Exchange Onlineの設定 | Exchange Onlineライセンスを使用している際のメールに関する設定項目 | |
設定 | 有効にした場合、ユーザーのメールボックスの設定を行います。 ※無効の場合は以降の設定は不可能となります。 ※当設定を変更しても、既存ユーザーのメールボックスの設定には影響ありません。 ※「電子メール機能のデフォルト設定」、「予定表のデフォルト設定」は、新規ユーザー登録時のみ設定を行います。 |
|
メールボックスの削除済み アイテムの保存期間 |
メールを削除した場合、メールボックスを保存しておく日数を指定します。 | |
メールボックスの 監査ログの出⼒ |
メールボックスの監査ログの出⼒の有効、無効を選択します。 | |
メールボックスの アーカイブ |
メールボックスのアーカイブの有効、無効を選択します。 | |
電子メール機能の デフォルト設定 |
POP、IMAP、MAPI、Outlook Web App、ActiveSync、デバイス用OWA の有効、無効を選択します。 ※SeciossLinkを経由してユーザー作成(メールボックス作成)の同期を行う場合、クラウドサービス>Microsoft365 で Exchange の設定が有効の場合に動作するオプションになります。ユーザー更新時には動作しません。 |
|
予定表のデフォルト設定 | 予定表の公開有無を選択します。 | |
階層型アドレス帳 | Outlook の階層型アドレス帳の有効、無効を選択します。 ※"最上位グループ"には、階層型アドレス帳の最上位のグループとなるSeciossLik のユーザーグループのグループ名を設定して下さい。 ※設定保存後、最上位グループに設定したユーザーグループはグループ情報の"階層化アドレス帳表示"を"表示"に設定して下さい。 |
|
リフレッシュトークンの有効期間 | "0"以外の値を指定した場合、リフレッシュトークンが指定した時間を経過すると、リフレッシュトークンを無効にして、Microsoft 365のユーザーに再認証を要求します。
※"0″の場合は当設定は無効となります。 |
Microsoft 365側の事前設定
※「シングルサインオン連携ガイド Microsoft 365」で詳細に扱っているため、そちらもご参考ください。
- Microsoft Entra ID側でのアプリケーション登録
-
Microsoft Azure にログインし、Microsoft Entra IDを開きます
- 「アプリの登録」メニューを開いて、「新規登録」を選択します。
-
以下の項目を入力してアプリケーションを登録してください
・名前:※任意のアプリケーション名を入力
・サポートされているアカウントの種類:この組織ディレクトリのみに含まれるアカウント(デフォルト値) - 作成されたことが確認できたら、「概要」から以下の項目の値を確認して控えてください。
※SeciossLink側での設定で使用します。
・アプリケーション (クライアント) ID
・ディレクトリ (テナント) ID
-
Microsoft Azure にログインし、Microsoft Entra IDを開きます
- 証明書/クライアントシークレットの登録
- 事前にLinux上で、プライベート証明書を作成します。
※発行方法についてはアプリケーションの登録をご参考ください - 「証明書とシークレット」メニューを開き、「証明書のアップロード」より、先ほど生成した「oauth.crt」をアップロードします。
- 「新しいクライアントシークレット」より、クライアントシークレットを追加します。
※追加したクライアントシークレットの「値」はSeciossLinkでの設定に使用するため、控えてください。
- 事前にLinux上で、プライベート証明書を作成します。
- Microsoft Graph の追加
- 「アクセス許可の追加」から、「Microsoft Graph」を選択します。
- 「委任されたアクセス許可」を選択し、以下の必要なアクセス許可を追加して「アクセス許可の追加」を選択します。
- Application.ReadWrite.All
- Directory.AccessAsUser.All
- Directory.ReadWrite.All
- Domain.ReadWrite.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- Member.Read.Hidden
- Organization.ReadWrite.All
- Policy.Read.All
- RoleManagement.ReadWrite.Directory
- User.ReadWrite.All
- 追加したアクセス許可が一覧に表示されたことが確認できたら、管理者の同意を与えてください。
- Office 365 Exchange Online の 追加 ※ExchangeOnlineライセンスを付与する場合
- 左メニュー「マニフェスト」を選択し、エディター内に以下の構文を追記して保存してください。
"requiredResourceAccess": [
{
"resourceAppId": "00000002-0000-0ff1-ce00-000000000000",
"resourceAccess": [
{
"id": "dc50a0fb-09a3-484d-be87-e023b12c6440",
"type": "Role"
}
]
}, - アクセス許可の一覧に「Office 365 Exchange Online」ー「Exchange.ManageAsApp」が表示されたことが確認できたら、管理者の同意を与えてください。
- 左メニュー「マニフェスト」を選択し、エディター内に以下の構文を追記して保存してください。
- 全体管理者ロールの割り当て
- 左メニューの「すべてのサービス」から「Microsoft Entra IDのロールと管理者」を開きます。
※「ID」を選択するとサービスを絞り込みを行うことができます。 - 「すべてのロール」の一覧から、「グローバル管理者」を選択します
- 「割り当ての追加」から、作成したアプリの「アプリケーション(クライアント)ID」を入力して検索し、表示されたら追加します。
- 左メニューの「すべてのサービス」から「Microsoft Entra IDのロールと管理者」を開きます。