対象
以下のいずれも該当するお客様を対象とします。
- 個別の導入支援体制をご案内したお客様
- Access Control を利用するお客様
- Microsoft 365 とのフェデレーションをご希望で Active Directory (AD) 同期を行わないお客様
目的
- Access Control のご利用開始までに必要な作業の一覧を説明します。
注意事項
- 本記事は、弊社より個別に連絡をさせていただいた導入体制での導入を実施するお客様向けの導入コンテンツです。
- 本記事の内容は 2025 年 6 月時点での製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
- Microsoft 365 とのフェデレーションをご希望で、かつ Active Directory (AD) 同期を行うお客様は、こちらの記事を参照してください。
- Google Workspace とのシングルサインオンをご希望のお客様はこちらの記事を参照してください。
- Microsoft 365 と Google Workspace のいずれも使用されていないお客様はこちらの記事を参照してください。
目次
事前確認
ここでは、Access Control の導入作業を開始するにあたり、事前の確認事項をまとめています。
ご利用にあたっての注意事項の確認
導入作業を開始する前に、PDF で配布している「HENNGE One ご利用にあたって」に記載の注意事項を確認してください。
動作環境およびエンドユーザーへのアナウンス
1. HENNGE One 動作環境
導入作業を開始する前に、 HENNGE One の動作環境を確認してください。
2. HENNGE One 利用開始時にエンド ユーザーに通知する内容
運用開始に向けて「Access Control」の項目を確認し、エンドユーザーに事前に周知すべき事項を検討してください。
管理画面へのログイン
1. 管理画面へのログイン
導入作業を開始する前に、Access Control 管理画面にログインが可能か確認してください。
導入作業
ここでは、Access Control を導入し運用開始するまでに必要な導入作業をまとめています。
項番に沿って作業を行ってください。
Microsoft 365 での設定
1. Microsoft 365 の既定のドメイン設定の変更
Microsoft 365 の認証を Access Control で行える状態 (フェデレーション可能な状態) にするために、Microsoft 365 の既定のドメインを "onmicrosoft.com" に変更する作業です。
2. Outlook on the Web 上での「Outlook に常に接続する」機能の無効化
本機能が有効化されていると、フェデレーション後も許可されていない環境からのアクセスが継続して可能となってしまうおそれがあるため、無効化します。
3. Exchange Online モダン認証有効化状況の確認
アクセス制御を正常に機能させるためのモダン認証有効化状況の確認作業です。
4. ユーザー以外のオブジェクト UPN を onmicrosoft.com ドメインへ変更
会議室や備品、共有メールボックスなど、Microsoft 365 テナントに存在するユーザー以外のオブジェクトが Access Control 上で管理されないようにするための作業です。
アクセスポリシーグループとアクセスポリシーテンプレートの定義
1. アクセスポリシーグループとアクセスポリシーテンプレートの定義
Microsoft 365 や 他社製のクラウドサービスにログインする際にアクセスを許可する条件を定義する設定です。
2. 管理者への OTP(ワンタイムパスワード) 設定
外部から不正に管理画面にアクセスされることを防止するため、Access Control の初期管理者ユーザーに OTP(ワンタイムパスワード) を設定する作業です。
リンク先ページの手順 2.では「管理者用のアクセスポリシーグループが存在しない場合」を実施してください。
ドメイン設定
1. パスワード関連の設定
Access Control ログイン画面にてユーザーが入力するパスワードに関する設定を行います。
ユーザー登録と同期
1. ユーザーの一括登録
ユーザーを Access Control に登録するための作業です。
Access Control を利用するためには、Microsoft 365 上のユーザーと一対一で紐づくユーザーが Access Control 上に登録されている必要があります。
2. ユーザー同期設定 (Access Control → Microsoft 365)
Access Control から Microsoft 365 へのユーザーの初回同期および定期同期の設定を行います。
この作業以降、カスタムドメインを用いるユーザーについては、Access Control でユーザーを追加することで、自動的に Microsoft 365 にユーザーが追加されるようになります。
これによって、Microsoft 365 側でユーザーを手動追加する必要がなくなります。
※ Microsoft 365 側のユーザーが意図せず削除されたり、ユーザー情報が書き換えられてしまうことを防止するため、同期を実行する前に必ず注意事項を確認してください。
注意事項の内容を把握しないまま実行したユーザー同期に起因する不慮の事故の発生について、HENNGE は責任を負いかねます。
デバイス証明書の設定
本設定はデバイス証明書を利用した端末制御を実施する場合にのみ、実施してください。
1. デバイス情報の収集
デバイス証明書の配布対象となるデバイスのデバイス ID (端末ごとに異なる固有の値)を収集します。
MAC アドレスや IMEI といったデバイス ID を事前収集し、デバイス証明書の発行時に管理者が入力できるよう準備を行います。
2. デバイス証明書の発行
デバイス証明書をエンドユーザーの端末に配布する作業です。
管理者がデバイス証明書を発行すると、証明書のインストールを促す案内がエンドユーザーにメールで送信されます。
3. デバイス証明書のインストール
デバイス証明書をエンドユーザーの端末にてインストールする作業です。
この作業はエンドユーザーの端末上で行う必要があります。
アクセスポリシーグループの割り当て
1. ユーザーへのアクセスポリシーグループ割り当て
アクセスポリシーグループとアクセスポリシーテンプレートの定義で作成したアクセスポリシーグループへユーザーを割り当てる作業です。
2. アクセスポリシーグループの動作テスト
適切にアクセス制御が機能しているかを確認する作業です。
Microsoft 365 とのフェデレーション (シングルサインオン)
1. Microsoft 365 とのフェデレーション接続作業
Microsoft 365 と Access Control 間でフェデレーションを構成する作業です。
※ この作業を実施すると、Microsoft 365 の認証先が Access Control に切り替わるため、実施時間帯など、業務影響に注意して実施してください。
2. Microsoft 365 のフェデレーション確認
Microsoft 365 と Access Control 間でのフェデレーション構成が正常に実施されたことを確認する作業です。
3. Microsoft Entra ID モダン認証の切断
フェデレーション開始前のセッションを切断し、全ての端末で Access Control による Microsoft 365 へのサインインを強制するための作業です。
他社製クラウドサービスとのシングルサインオン (Microsoft 365 以外のクラウドサービスと接続する場合のみ)
1. シングル サインオン (SSO) を行うサービスとの接続作業
クラウドサービスとのシングルサインオンを行う作業です。
HENNGE で検証実績のあるサービスはマニュアルを掲載しているため、マニュアルに沿って作業を行ってください。
よくあるご質問 (FAQ)
1. 運用開始後に特によく寄せられるご質問
運用開始後に特によく寄せられるご質問に対する回答をまとめています。