対象
Microsoft 365 にて HENNGE Access Control によるフェデレーションを実施しているお客様が対象です。
目的
Microsoft 365 (Azure Active Directory) のモダン認証 (先進認証) のセッションを管理者より切断し、ユーザーへ Microsoft 365 の再認証を要求します。
よくある使い方としては、フェデレーション実行後に HENNGE Access Control を経由した Microsoft 365 へのログインを強制する際に実行します。
注意事項
1. 本記事の内容は 2019 年 7 月時点での Microsoft 社の製品内容をもとにしたものです。以後アップデートや仕様変更により、予告なく変更される場合があります。
2. 本手順は、onmicrosoft.com ドメインユーザーを使用して実行します。
3. 必要に応じて事前にユーザーへのアナウンスをおすすめします。
詳細手順説明
事前確認事項
1. AzureAD PowerShell V2.0 の実行端末の準備
次のいずれかの OS がインストールされた PC を用意します。
・Windows 10
・Windows 8.1
・Windows 7 SP1
・Windows Server 2019
・Windows Server 2016
・Windows Server 2012 R2
・Windows Server 2012
・Windows Server 2008 R2 SP1
2. .NET Framework 4.5 以上のインストール
.NET Framework 4.5 以上がインストールされていない場合は、以下のMSサイトよりインストールします。
※ Windows 10 及び Windows Server 2016 は対応不要です。
Install the .NET Framework for developers
3. Windows Management Framework 5.0 のインストール
以下のサイトより Windows Management Framework 5.0 をインストールします。
※ Windows 10 及び Windows Server 2016 は対応不要です。
また、Windows Server 2008 SP1 および Windows 7 SP1 では、事前に Windows Management Framework 4.0 のインストールが必要になります。
4. PowerShell Azure AD v2.0 のインストール
管理者より Windows PowerShell を起動し、次のコマンドを入力し、実行します。
Install-Module AzureAD
以降に表示される質問には全て "Y" で回答し、インストールを完了させます。
1. Azure Active Directory への接続
管理者権限で起動した Windows PowerShell で次のコマンドを入力し、お客様Azure Active Directory環境の管理者IDとパスワードを入力します。
※ Microsoft 365 の管理者 ID とパスワードと同じです。
Connect-AzureAD
次に、個別ユーザーでのモダン認証セッションを切断したい場合はステップ 2 を、
全ユーザーでのモダン認証セッションを切断したい場合は以下ステップ 3 を実行してください。
2. 個別ユーザーのモダン認証セッションの切断
個別ユーザーのモダン認証セッションの切断を行うためには、次のコマンドを実行します。
※ コマンド実行後、実際に切断されるまでに暫く時間がかかる事があります。
Revoke-AzureADUserAllRefreshToken -ObjectId (Get-AzureADUser -SearchString <ユーザー名など>).objectId
実行例 :
対象ユーザーが "user@example.com" の場合、コマンドは以下となります。
Revoke-AzureADUserAllRefreshToken -ObjectId (Get-AzureADUser -SearchString user@example.com).objectId
3. 全ユーザーのモダン認証セッションの切断
全ユーザーのモダン認証セッションの切断を行うためには、次のコマンドを実行します。
※ コマンド実行後、実際に切断されるまでに暫く時間がかかる事があります。
Get-AzureADUser -All $true| Revoke-AzureADUserAllRefreshToken