本マニュアルには、弊社SaaS 型「認証・ID 統合サービス」SeciossLink にMicrosoft 365 を接続する手順を記載しております。
すべての設定が完了するとシングルサインオン、およびID の同期(自動プロビジョニング)が可能となり、SeciossLink 側でMicrosoft 365 のアカウント管理が可能となります。
なお、SeciossLink では、Microsoft 365 に対してグループや連絡先の同期も可能ですが、本マニュアルでの説明は割愛しています。別途、管理者ガイドの下記ページをご覧ください。
参考にする記事:
機能追加(2024/11/18)
Microsoft 365 へのフェデレーション時にSeciossLinkで行った多要素認証の情報を引き渡す機能
Microsoft社は Azure Portalの多要素認証(以下、MFA)の必須化を順次開始しています。
https://aka.ms/mfaforazure
https://aka.ms/mfaforazure
Microsoft社の機能変更に伴い、SeciossLinkでは下記2点の変更を行いました。
- Microsoft 365へのシングルサインオンを行うとき、認証情報を渡す際にMFAを行ったことを示す情報(claims)を渡すよう変更
- SeciossLinkでMFA未実施の場合にMicrosoft 365のMFAを要求するよう変更
※SeciossLinkと初回連携設定時、プロパティ「FederatedIdpMfaBehavior」を「acceptIfMfaDoneByFederatedIdp」に設定します。
SeciossLinkを使用した認証におけるMFAの定義
認証ルールまたはアクセス権限に以下の認証方式を1つ以上含める必要があります。
- ワンタイムパスワード
- ワンタイムパスワード(トークン)
- ワンタイムパスワード(メール認証)
- ワンタイムパスワード(PIN確認)
- 証明書認証
- 証明書認証(メールアドレス)
- 証明書認証(UPN)
- SMS認証
- FIDO認証
- QRコード認証
設定例
- 認証ルール
認証方式:ID/パスワード認証
- アクセス権限
アクセス先:Microsoft 365
認証方式:ワンタイムパスワード
プロパティ「FederatedIdpMfaBehavior」
値 | 動作概要 | MFA 要求のタイミング |
acceptIfMfaDoneByFederatedIdp | ユーザーがフェデレーション IDP で MFA を完了している場合、そのままログインを許可します。 未実施の場合、Microsoft の MFA を要求します。 |
IDP で MFA 未実施の場合のみ Microsoft の MFA を要求 |
rejectMfaByFederatedIdp | ユーザーがフェデレーション IDP で MFA を完了していても、必ず Microsoft の MFA を要求します。 | 常に Microsoft の MFA を要求 |
enforceMfaByFederatedId | ユーザーがフェデレーション IDP で MFA を完了していない場合、ログインを許可しません。 | IDP で MFA 実施が必須 |
プロパティ「FederatedIdpMfaBehavior」を確認し、「acceptIfMfaDoneByFederatedIdp」に変更する方法
Azure ADへ接続するため、PowerShellにて下記コマンドを実行します。
ポップアップが表示されるため、Azure AD管理者アカウントでサインインします。
Connect-MgGraph
プロパティ「FederatedIdpMfaBehavior」の値を確認します。
Get-MgDomainFederationConfiguration -DomainId <ドメイン> | Select -Property FederatedIdpMfaBehavior
「acceptlfMfaDoneByFederatedIdp」に変更するコマンドを実行します。
Update-MgDomainFederationConfiguration -DomainId <ドメイン> -federatedIdpMfaBehavior acceptIfMfaDoneByFederatedIdp
■参考
Microsoft Graph PowerShell を使用して Microsoft 365 に接続する
恐れ入りますが、弊社製品以外に関するお問い合わせにつきましては、該当のサービスまたは製品の提供元へご連絡いただきますようお願い申し上げます。