SeciossLink側の設定に関する説明となります。
任意で、Exchange Onlineの設定やユーザーのリフレッシュトークンの有効期間もカスタマイズ可能です。
設定時間は約5分です。
※Microsoft 365に複数の契約テナントがある場合、「Microsoft365 2」などとして、それぞれのテナントとSeciossLinkを連携できます。
登録方法
- SeciossLink の管理コンソールにログインしてください。
管理コンソールへのログイン
・直接アクセスの場合
https://slink.secioss.com/seciossadmin/
・シングルサインオン経由の場合
https://slink.secioss.com/tenantadmin/
※注意点
旧URL(https://slink-idm.secioss.com/seciossadmin/)から管理画面にログインしている場合は、設定保存時にエラーが発生します。
以下のURLからログインして、設定を実施してください。
https://slink.secioss.com/seciossadmin/
※ドメイン“slink-idm.secioss.com”は廃止を予定しています。(時期未定)
- 管理コンソールTOPページより、「シングルサインオン」→「クラウドサービス」を選択してください。
- 次の画面から、「登録」を選択してください。
- SeciossLink と接続できるクラウドサービスの一覧が表示されるので、「Microsoft 365」の編集ボタン(鉛筆のアイコン)を選択してください。
- まずは「シングルサインオンの設定」~「クライアントシークレット」までを、下記のように項目を入力してください。
設定項目
項目名 設定内容 シングルサインオンの設定 Microsoft 365へのログインに、SeciossLinkの認証画面を使用する場合に「有効」にしてください。 ID同期 SeciossLink側に登録したユーザーを、Microsoft 365にも同期したい場合には「有効」を選択してください。 Microsoft 365 ドメイン 使用しているMicrosoft 365のドメインを入力します。
※同一テナントで複数のドメインを使用している場合は、「ドメインを追加」からすべてのドメインを設定してください。
※この項目にサブドメインを設定したい場合は、先にこちらをご確認ください。ユーザー名の属性 メールアドレス メールエイリアスの属性 メールエイリアスとして同期する属性 Microsoft 365 管理アカウント名 Microsoft 365の管理者アカウント
※onmicrosoft.comのドメインを推奨しています。Microsoft 365の接続方式 証明書/クライアントシークレットのどちらかを選択。 Exchangeの接続方式 証明書/パスワードのどちらかを選択。
- 次に「アプリケーションID」~「接続用パスワード」までの設定を行います。
どの接続方式を選んだかによって設定内容が変わりますので、下記を参考にご希望の設定へお進みください。
【A】Microsoft365・Exchangeの接続方式が「証明書」の場合
設定項目は「証明書(PKCS#12形式)」「証明書のパスワード」の2つです。それ以外の項目は未設定のままで構いません。
設定項目
項目名 | 設定内容 |
証明書(PKCS#12形式) | アプリケーションの作成/証明書またはクライアントシークレットの登録で登録した「oauth.pfx」 |
証明書のパスフレーズ | 証明書を発行した際に設定したパスワード |
【B】Microsoft365の接続方式が「クライアントシークレット」の場合
設定項目は「アプリケーションID」~「クライアントシークレット」です。それ以外の項目は未設定のままで構いません。
設定項目
項目名 | 設定内容 |
アプリケーションID※ | 「Microsoft Entra ID」で登録したアプリケーションの「アプリケーション(クライアント)ID」 ※メモを忘れた場合はこちらをご確認ください。 |
ディレクトリID※ | 「Microsoft Entra ID」で登録したアプリケーションの「ディレクトリ (テナント) ID」 ※メモを忘れた場合はこちらをご確認ください。 |
クライアントシークレット※ | 「Microsoft Entra ID」で設定したクライアントシークレットの「値」 ※メモを忘れた場合はこちらをご確認ください。 |
【C】Exchangeの接続方式が「パスワード」の場合
設定項目は「接続用パスワード」のみです。それ以外の項目は未設定のままで構いません。
「接続用パスワード」に、Microsoft 365 管理アカウントのパスワードを入力してください。
-
各項目の設定が完了したら、画面一番下の「保存」を選択してください。
その他、「Exchange Online」や「リフレッシュトークン」の設定も行う場合は、こちらのページにお進みの上、設定を保存してください。
※保存が完了するまでに、時間がかかる場合があります。
※ここで画面遷移やブラウザーの終了などを行うと、設定項目が保存されずに消えてしまうのでご注意ください。 -
保存が完了したら、SeciossLink側の接続設定は完了です。
次の「ユーザー作成」「認証ルール/アクセス権限の設定」へお進みください。
Microsoft 365 ドメインについて
「Microsoft 365 ドメイン」では、onmicrosoft.com ドメインは利用できません。
「onmicrosoft.com」は Microsoft365 の初期ドメインであり、Microsoft365 の仕様によりフェデレーション(シングルサインオン)できないドメインとなります。SeciossLink 側に設定するとエラーが表示されます。
「既定のドメイン」は Microsoft365 に最初に追加されたドメインが自動的に「既定のドメイン」となります。「既定のドメイン」はフェデレーション(シングルサインオン)できないため、SeciossLink 側に設定するとエラーが表示されます。
「既定のドメイン」の変更は一覧から対象となるドメインの「︙」をクリックして表示されるメニューより、「既定に設定」を選択してください。
また、「example.com」「sub.example.com」のように、ルートドメインとルートドメインにサブドメインを付加したドメインを同時に登録することはできません。その場合は、ルートドメインのみ登録してください。
ユーザーやグループのメールアドレスには、設定したルートドメインに対してサブドメインを付加したメールアドレスも使用することができます。
「サブドメイン」(例:demo.secioss.info)を使用する場合、Microsoft365 の仕様上、下記の2つを満たす場合はサブドメインでのフェデレーションが行えず、SeciossLink 側に設定するとエラーが表示されます。
- ベースドメイン(例:secioss.info)がすでにドメイン登録された状態
- フェデレーション(シングルサインオン)を行っていない状態
ベースドメインでシングルサインオンの設定を行うと、サブドメインが利用可能になります。
サブドメインを使用したい場合は、この設定の前にベースドメインでシングルサインオンの設定を行ってください。(2022年3月時点)
クライアントシークレットや証明書の有効期限が切れた際には
クライアントシークレットや証明書の有効期限が切れると、ユーザーがMicrosoft 365にアクセスできなくなります。
引き続きMicrosoft 365へアクセスしたい場合は、「Microsoft Entra ID」の管理画面上でクライアントシークレット・証明書を再発行し、SeciossLinkの接続設定を更新する必要があります。
クライアントシークレット・証明書の有効期限が近づいた際には、「システム」>「テナント情報」で設定した通知用メールアドレスにお知らせメールをお送りします。有効期限が切れる前に更新を行ってください。
またクライアントシークレット・証明書の切り替え中も、Microsoft 365へのログインができなくなります。更新のタイミングにはご注意の上、あらかじめユーザーへ告知するなどの対応をおすすめします。