メインコンテンツへスキップ
English (US) 简体中文 繁體中文

[Access Control] クイックスタートガイド (Microsoft 365 / AD 同期あり)

対象

以下のいずれも該当するお客様を対象とします。

  • 個別の導入支援体制をご案内したお客様
  • Access Control を利用するお客様
  • Microsoft 365 とのフェデレーションをご希望で Active Directory (AD) 同期を行うお客様

目的

  • Access Control のご利用開始までに必要な作業の一覧を説明します。

注意事項

  1. 本記事は、弊社より個別に連絡をさせていただいた導入体制での導入を実施するお客様向けの導入コンテンツです。
  2. 本記事の内容は 2025 年 6 月時点での製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
  3. Microsoft 365 とのフェデレーションをご希望で、かつ Active Directory (AD) 同期を行わないお客様は、こちらの記事を参照してください。
  4. Google Workspace とのシングルサインオンをご希望のお客様はこちらの記事を参照してください。
  5. Microsoft 365 と Google Workspace のいずれも使用されていないお客様はこちらの記事を参照してください。

目次

事前確認

導入作業

よくあるご質問 (FAQ)

事前確認

ここでは、Access Control の導入作業を開始するにあたり、事前に確認する必要がある事項をまとめています。

ご利用にあたっての注意事項の確認

導入作業を開始する前に、PDF で配布している「HENGE One ご利用にあたって」に記載の注意事項を確認してください。

動作環境およびエンドユーザーへのアナウンス

1. HENNGE One 動作環境
導入作業を開始する前に、 HENNGE One の動作環境を確認してください。

2. HENNGE One 利用開始時にエンド ユーザーに通知する内容
運用開始に向けて「HENNGE Access Control」欄の項目を確認し、エンドユーザーに事前に周知すべき事項を検討してください。

管理画面へのログイン

1. 管理画面へのログイン
導入作業を開始する前に、Access Control 管理画面にログインが可能か確認してください。

導入作業

ここでは、Access Control を導入し運用開始するまでに必要な導入作業をまとめています。項番に沿って作業を行ってください。

Microsoft 365 での設定

1. Microsoft 365 の既定のドメイン設定の変更
Microsoft 365 の認証を Access Control で行える状態 (フェデレーション可能な状態) にするために、Microsoft 365 の既定のドメインを "onmicrosoft.com" に変更する作業です。

2. Outlook on the Web 上での「Outlook に常に接続する」機能の無効化
本機能が有効化されていると、フェデレーション後も許可されていない環境からのアクセスが継続して可能となってしまうおそれがあるため、無効化します。

3. Exchange Online モダン認証有効化状況の確認
アクセス制御を正常に機能させるためのモダン認証有効化状況の確認作業です。

アクセスポリシーグループとアクセスポリシーテンプレートの定義

1. アクセスポリシーグループとアクセスポリシーテンプレートの定義
Microsoft 365 や 他社製のクラウドサービスにログインする際にアクセスを許可する条件を定義します。

2. 管理者への OTP(ワンタイムパスワード) 設定
外部から不正に管理画面にアクセスされることを防止するため、Access Control の初期管理者ユーザーに OTP (ワンタイムパスワード)を追加設定する作業です。
リンク先のヘルプページの手順 2.では「管理者用のアクセスポリシーグループが存在しない場合」を実施してください。

ユーザー登録と同期 (HENNGE Directory Sync Tool)

1. 同期設定ファイルの定義と受取
AD 同期に利用する HENNGE Directory Sync Tool 同期設定ファイルの設定値を定義し、HENNGE から設定ファイルの受取を行います。

2. Active Directory 上のユーザー整理
1. 同期設定ファイルの定義と受取で、Access Control に同期するユーザーを定義しますが、その定義にしたがって、同期対象とするユーザーをセキュリティグループや OU に格納するなど、同期するAD 上のユーザーの整理を行う作業です。

3. Microsoft Entra Connect のインストール (外部リンク)
AD 同期を行う場合、AD と Access Control 間は、HENNGE Directory Sync Tool を用いて同期を行います。
一方で AD と Microsoft 365 (Microsoft Entra ID)間は、Microsoft 社の Microsoft Entra Connect を利用します。
Microsoft 社のマニュアルに沿って、Microsoft Entra Connect のインストールを行ってください。

なお、Microsoft Entra Connect のインストールおよび構成に関するご質問は弊社では承っておりませんので、Microsoft 社へのお問い合わせをお願いいたします。

4. ドメイン コントローラー全台への HDEPasswordFilter.dll インストール (WS 2016 以降)
ドメインコントローラー全台に AD 同期を行うための設定ファイルの一つである DLL ファイルをインストールする作業です。

※ この作業ではドメインコントローラーの再起動が必要です。
実施時間帯など業務影響に注意して実施してください。
※この作業の実施後は、項番 5. から項番 9. の進捗状況を問わず、10. 同期対象ユーザーのパスワードの設定をエンドユーザーに依頼して問題ありません。

5. HENNGE Directory Sync Tool のインストール 
AD 同期を行うための設定ファイルの一つである HENNGE Directory Sync Tool をインストールする作業です。

6. HENNGE Directory Sync Tool 動作用ルート証明書のインストール
HENNGE Directory Sync Tool の動作に必要なルート証明書をインストールする作業です。

7. HENNGE Directory Sync Tool 実行のための API クライアントの作成 
HENNGE Directory Sync Tool と通信を行うため、Access Control 管理画面で API クライアントの値を生成する作業です。

8. HENNGE Directory Sync Tool 設定ファイル (config.ini) の初回配置
AD 同期を行うための設定ファイルの一つである ini ファイルを指定のパスに配置する作業です。

9. Assign-HDEOnePasswrdSyncGroup.bat の実行
AD 同期を行うための設定ファイルの一つである bat ファイルを実行する作業です。

10. 同期対象ユーザーのパスワードの設定
AD 同期を行うためには、AD 上の同期対象ユーザーのパスワードを一度変更する必要があります。
エンドユーザー自身または、管理者にてパスワードを一度変更してください。
※ この項目に手順はありません。

11. 同期対象ユーザー パスワードの設定確認
同期対象ユーザーのパスワード変更が AD 上の同期対象ユーザーのすべてで行われたか確認する作業です。

12. HENNGE Directory Sync Tool の実行
HENNGE Directory Sync Tool を用いて初回同期、定期同期設定を行い、AD 上のユーザーを定期的に Access Control に同期する作業です。
この作業を実施後、ユーザーオブジェクト情報は 2 時間に 1 回、パスワードは 3 分に 1 回の頻度で定期的に AD から Access Control に同期されるようになります。

デバイス証明書の設定

1. デバイス情報の収集
デバイス証明書の配布対象となるデバイスのデバイス ID (端末ごとに異なる固有の値)を収集します。
MAC アドレスや IMEI といったデバイス ID を事前収集し、Device Certificate 発行時に管理者が入力できるよう、準備を行います。

2. デバイス証明書の発行
デバイス証明書をエンドユーザーの端末に配布する作業です。管理者がデバイス証明書を発行すると、証明書のインストールを促す案内がエンドユーザーにメールで送信されます。

3. デバイス証明書のインストール
デバイス証明書をエンドユーザーの端末にてインストールする作業です。この作業はエンドユーザーの端末上で行う必要があります。

アクセスポリシーグループの割り当て

1. ユーザーへのアクセスポリシーグループ割り当て
アクセスポリシーグループとアクセスポリシーテンプレートの定義で作成したアクセスポリシーグループへユーザーを割り当てる作業です。

2. アクセスポリシーグループの動作テスト
適切にアクセス制御が機能しているかを確認する作業です。

Microsoft 365 とのフェデレーション (シングルサインオン)

1. Microsoft 365 とのフェデレーション接続作業
Microsoft 365 と Access Control 間でフェデレーションを構成する作業です。

※ この作業を実施すると、Microsoft 365 の認証先が Access Control に切り替わるため、実施時間帯など、業務影響に注意して実施してください。

2. Microsoft 365 のフェデレーション確認
Microsoft 365 と Access Control 間でのフェデレーション構成が正常に実施されたことを確認する作業です。

3. Microsoft Entra ID モダン認証の切断
フェデレーション開始前のセッションを切断し、全ての端末で Access Control による Microsoft 365 へのサインインを強制するための作業です。

他社製クラウドサービスとのシングルサインオン (Microsoft 365 以外のクラウドサービスと接続する場合のみ)

1. シングル サインオン (SSO) を行うサービスとの接続作業
クラウドサービスとのシングルサインオンを行う作業です。HENNGE で検証実績のあるサービスはマニュアルを掲載しているため、マニュアルに沿って作業を行ってください。

よくあるご質問 (FAQ)

1. 運用開始後に特によく寄せられるご質問
運用開始後に特によく寄せられるご質問に対する回答をまとめています。