対象
Microsoft365と HENNGE Access Control をフェデレーションしているお客様が対象です。
目的
HENNGE Access Control と Microsoft 365 のフェデレーションを解除し、Microsoft 365 へのログインに HENNGE Access Control が介入しないようにします。
注意事項
1. コマンドを実行後フェデレーション解除には時間がかかります。
※ フェデレーション解除の目安時間は、30分~1時間程度です。
2. フェデレーション解除後に Microsoft 365 のパスワードリセットを実施してください。
( Microsoft 社の同期ツールで Active Directory >> Microsoft 365 間でパスワード同期している場合は不要です。)
3. フェデレーション解除後は、https://login.microsoftonline.com/ から Microsoft 365 にログインしてください。
4. HENNGE Secure Browser アプリ・HENNGE Device Certificate は各ユーザーの端末からアンインストールを行なってください。
(残っていても端末に影響はありませんが、継続して利用することはできません。)
詳細手順説明
事前確認事項
Microsoft Graph PowerShell SDK モジュールが PowerShell にインストールされている必要があります。あらかじめ以下の内容が完了していることを確認ください。
Microsoft Graph PowerShell SDK のインストール
1. シングルサインオンの解除
1.1. Microsoft Graph に接続
作業用 PC で PowerShell を起動し、次のコマンドを実行してください。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つアカウントでログイン処理を続行してください。
1.2. ドメイン情報の確認
次のコマンドを実行して、ドメイン情報を確認ください。
Get-MgDomain
表示された利用ドメインの「 AuthenticationType 」が「 Federated 」となっていることを確認ください。
1.3. シングルサインオン設定解除
次のコマンドを実行することで設定を解除することが可能です。
Update-MgDomain -DomainId [お客様ドメイン] -AuthenticationType “Managed”
※解除後すぐは、Microsoft 365 内部での設定反映に時間がかかるためシングルサインオン動作となる場合があります。しばらく時間をおいて確認ください。
1.4. ドメイン情報の確認
次のコマンドを実行し、ドメイン情報を確認ください。
Get-MgDomain
手順1.3.で解除したドメインドメインの「 AuthenticationType 」が「 Managed」となっていることを確認ください。
1.5. Microsoft Graph から切断する
次のコマンドを実行し、Microsoft Graph から切断します。
Disconnect-MgGraph
2. 同期サービスの削除
※同期サービス(HENNGE One Directory Sync)を利用していないお客様は必要ありません。
[ HDE One 同期サービスのアンインストール手順 ]
HDE One 同期サービスがインストールされた Windows サーバーにて以下の手順を実施いただきます。
2.1. HDE One Directory Sync をアンインストール
[ コントロールパネル ] > [ プログラムと機能 ]一覧より、以下のプログラムをアンインストールします。
HDE One Directory Sync x.x.x
2.2. HDE One Directory Sync 関連ファイルの削除
「 C:\Program Files\HDE One Directory Sync 」フォルダと、当該フォルダ直下のファイルを全て手動削除します。
2.3. HDEOne フォルダ配下のファイルの削除
「 C:\HDEOne 」フォルダが存在している場合には、当該フォルダと、当該フォルダ直下のファイルを全て手動削除します。
3. Microsoft 365 パスワードリセット
Microsoft 365 の一括パスワードリセットの方法を以下に示します。
※ Active Directory >> Microsoft 365 間でパスワード同期している場合は本作業は不要です。
※各コマンドは必ず1行で実行してください。
3.1. Cドライブ直下に「 temp 」フォルダを作成
作業用PCにて、Cドライブ直下に、「 temp 」フォルダを作成してください。
3.2. Microsoft Graph Powershell でログイン
PowerShell で次のコマンドを実行してください。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
※ ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つ「 onmicrosoft.com 」のアカウントでログイン処理を続行してください。
3.3. ユーザの一覧を取得
次のコマンドを実行し、ユーザの一覧を出力してください。
※ User Principal Name が「*.onmicrosoft.com」以外のユーザを出力します。
Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation
3.4. ユーザの一覧の CSV から会議室等のアカウント情報を手動削除
「 c:\temp 」フォルダ内の CSV ファイルに記載されているユーザ一覧( volunteers.csv )から、パスワードの変更対象ではない会議室等のアカウント情報を手動削除します。
3.5. パスワード一括変更
次のコマンドを 1 行づつ実行し、パスワードを一括変更します。
$params = @{ PasswordProfile = @{ ForceChangePasswordNextSignIn = $True Password = "XXXXXXXX" } } Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params }
※ 各ユーザーは Microsoft 365 ログイン後、パスワードの変更が必要になります。
※ 全ユーザが同一のパスワードになります。
上記のコマンド文内の"XXXXXXXX" を初期ログインパスワード文字列に変更します。
▼ パスワードの設定要件
Azure AD パスワード ポリシー
※ Outlook 等の各種クライアントアプリによっては、Microsoft 365 の認証キャッシュの保持仕様により、認証ダイアログが即時表示されない場合があります。
3.6. Microsoft Graph から切断する
次のコマンドを実行し、Microsoft Graph から切断します。
Disconnect-MgGraph
※ [ Connect-MgGraph ] コマンドでは、次回に起動した際にはサインインを求められずに、前回の認証済みの資格情報が保持されます。そのため、サインインを確実に切断するためには [ Disconnect-MgGraph ] を実施する必要がございます。
4. その他の SSO サービス解除
HENNGE Access Control と シングルサインオン(SSO)しているサービス(Microsoft 365 以外)がある場合は SSO の解除作業を行ってください。
対象は HENNGE Access Control 管理画面の「サービスプロバイダー設定」をご確認ください。
また、SSO の解除作業は接続先のサービスプロバイダー(SP)にて実施頂く必要があります。 詳細な解除方法は、各 SP のサポート窓口へご確認ください。
設定は以上となります。
お手数ですが、作業が完了しましたら Customer Success Guide までご連絡ください。