対象
Microsoft 365 の認証を HENNGE Access Control にフェデレーションするお客様が対象です。
目的
HENNGE Access Control と Microsoft 365 のフェデレーションを構成し、Microsoft 365 へのログインを HENNGE Access Control から行うようにします。
注意事項
1. 本記事の手順を実施した時点で Microsoft 365 のログイン画面が HENNGE Access Control に変更されます。
2. 複数のドメインに対してフェデレーションの有効化を行う場合はすべてのドメインに対してコマンドを実施します。
3. Microsoft 365 テナントの全体管理者アカウントの情報 (ユーザー名・パスワード) が必要です。
4. 本記事の手順は Microsoft 365 の初期ドメイン ( .onmicrosoft.com が含まれるドメイン ) を持つ Microsoft 365 の全体管理者アカウントでの作業を推奨いたします。
5. HENNGE Access Control でユーザーを管理する運用の場合、ユーザーの Microsoft 365 へのログインには当作業および、Microsoft 365 と HENNGE Access Control 間のユーザー同期設定を行う必要があります。
6. 本記事の内容は 2024 年 7 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
詳細手順・説明
1. Microsoft Graph PowerShell から Microsoft 365 に接続できる環境の準備
以下の記事をご参考いただき、Microsoft Graph PowerShell から Microsoft 365 への接続ができる状態とします。
Microsoft Graph PowerShell から Microsoft365 に接続する
2. Microsoft 365 の既定のドメイン設定の確認
2.1. Microsoft 365 の管理画面にアクセスし、画面左側のメニュー内 [ すべてを表示 ] をクリックします。
2.2. 画面左側のメニュー内 [ 設定 ] → [ ドメイン ] をクリックします。
2.3. Microsoft 365 の初期ドメイン [ xxxx.onmicrosoft.com ] の右側に " (既定) " と表示されていることを確認します。
Microsoft 365 の制限により、 既定のドメインに対してはフェデレーションを有効にできません。
Microsoft 365 の初期ドメイン以外に " (既定) " と表示されている場合、こちら の手順で既定のドメインを Microsoft 365 の初期ドメインに変更してください。
3. フェデレーション構成のコマンドの確認
通常 Microsoft 365 と HENNGE Access Control のフェデレーションを構成するコマンドは、
予め HENNGE One 導入担当者 / サポート窓口から提供する資料 HENNGE One 接続設定シート.pdf に記載しています。
なお、HENNGE One 接続設定シート.pdf がお手元にない場合は、HENNGE One 導入担当者 / サポート窓口までお問い合わせください。
4. フェデレーション構成のコマンド実行
4.1. Windows の [ スタート ] を開き、[ Windows PowerShell ] を管理者権限で開きます。
※ 開いた PowerShell の左上に [ 管理者 ] と表示されていることを確認します。
4.2. 以下のコマンドを実行します。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
4.3. Microsoft 365 の資格情報を求められるので、Microsoft 365 テナントの全体管理アカウントの情報を入力します。
4.4. 以下のコマンドを実行し、フェデレーション対象のドメインの [ Authentication ] 列が " Managed " であることを確認します。
※ フェデレーション対象のドメインの [ Authentication ] 列が " Managed " 以外の場合は HENNGE One 導入担当者 / サポート窓口までお知らせください。
Get-MgDomain
4.5. フェデレーションを実施するコマンドを 1 行ずつ実行します。
コマンドの一例を以下に示します。
赤字部分 はお客様の環境ごとに異なります。
詳細は HENNGE One 接続設定シート.pdf を参照してください。
コマンドの実行時にエラーが発生した場合は HENNGE One 導入担当者 / サポート窓口までお知らせください。
$dom = "sampledomain.com"
$puri = "https://ap.ssso.hdems.com/portal/sampledomain.com/login/"
$issuer = "https://ap.ssso.hdems.com/sso/sampledomain.com"
$auri = "https://ap.ssso.hdems.com/active/sampledomain.com"
$mex = "https://ap.ssso.hdems.com/mex/sampledomain.com"
$logoffuri = "https://ap.ssso.hdems.com/portal/sampledomain.com/logout/"
$cert = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
New-MgDomainFederationConfiguration -DomainId $dom -DisplayName $dom -IssuerUri $issuer -PreferredAuthenticationProtocol "wsFed" -ActiveSignInUri $auri -FederatedIdpMfaBehavior "acceptIfMfaDoneByFederatedIdp" -MetadataExchangeUri $mex -SigningCertificate $cert -PassiveSignInUri $puri -SignOutUri $logoffuri
4.6. 以下のコマンドを実行し、コマンドを実行した対象ドメインの [ Authentication ] 列が "Federated" であることを確認します。
※ フェデレーション対象のドメインの [ Authentication ] 列が "Federated" 以外の場合は HENNGE One 導入担当者 / サポート窓口までお知らせください。
Get-MgDomain
4.7. 実際にフェデレーションが正常に完了しているかどうかを確認します。
以下の記事の内容に従い、フェデレーションが正常に完了しているかどうかを確認します。
※ コマンドの実行からフェデレーションの完了まで、数時間を要する場合があります。
HENNGE Access Control と Microsoft 365 のフェデレーション確認
4.8. フェデレーションが完了した旨を HENNGE One 導入担当者 / サポート窓口まで連絡します。
フェデレーションを構成するコマンドを実行し、正常に完了していることを確認した時点で、必ず HENNGE One 導入担当者 / サポート窓口までご連絡ください。
4.9. Microsoft Graph から切断する
次のコマンドを実行し、Microsoft Graph から切断します。
Disconnect-MgGraph
※ [ Connect-MgGraph ] コマンドでは、次回に起動した際にはサインインを求められずに、前回の認証済みの資格情報が保持されます。そのため、サインインを確実に切断するためには [ Disconnect-MgGraph ] を実施する必要がございます。