Azure Active Directory のベースラインの保護(管理者に MFA を要求する)機能有効化による影響につきまして

for Office 365

Q.

Azure Active Directory のベースラインの保護(管理者に MFA を要求する)機能が有効化されるとアナウンスされています(※)
この機能の有効化による影響があるか教えてください。また影響がある場合、実施すべき対応方法も教えてください。

(※)参考URL
https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/baseline-protection

 

 

A.

Office 365 管理者アカウントでの「シングルサインオン」につきましては影響ございません。Office 365(Azure AD)の MFA(多要素認証)は HDE One ログイン後に求められますので、シングルサインオンの動作には影響いたしません。

「アカウント同期」が下記の確認で対応が必要な方式だった場合 および、「PowerShell などのスクリプト実行」に Office 365 管理者アカウントをご利用されている場合 につきましては対応が必要になります。

[アカウント同期方式確認方法]
お客様環境にて HDE 同期ツール(HDE One Drectory Sync)を実行し HDE One から Office 365(Azure AD)へアカウント同期している場合は対応が必要になります。

 1. HDE アクセスコントロール管理画面に管理者でログインし [同期ログ] を開きます

 2. ログに "HDE Access Control >> Windows Azure Active Directory" と表示されている場合は対応が必要です

・参考画像(要対応)
HACtoWAAD.png

※お客様オンプレミスの Active Directory から HDE アカウント同期ツール(HDE One Directory Sync)を利用してアカウント同期を実施されている場合は影響ございませんので対応は不要です。
 同様にお客様環境ではなく弊社クラウド上で同期サービスが実行されている場合も影響はございません。

・参考画像(対応不要)
ADtoHAC.png

Reflector.png

 

 

【対応方法】

Case1. 該当機能(ベースラインの保護)を有効化しない設定(=無効化)にする

Case2. 使用している管理者アカウントを該当機能の対象外にする

 

[設定手順]

1. Azure Portal に Office 365 全体管理者でアクセスします
 https://portal.azure.com/

2. 左側のメニューから [Azure Active Directory] を選択します

3. [条件付きアクセス] > [ポリシー] > [Baseline policy: Require MFA for admins] を選択します

1.png

4. [ポリシーの有効化] にて適用する項目を選択します
 無効化する場合は "ポリシーを使用しない" を選択しそのまま保存ボタンをクリックしてください。
 "将来、ポリシーを自動的に有効化" または "ポリシーをすぐに使用する" を選択した場合は以下5 の設定も行います

5. [ユーザーとグループの除外] > [対象外とするユーザーの選択] の順に選択し 除外する管理者ユーザーを検索して候補から選択(クリック)します
 選択したら画面下のボタンを [選択] > [完了] > [保存] の順にクリックしていきます

2.png

以上で設定は終了です。

 

          
この記事は役に立ちましたか?

よくあるご質問