対象
以下のいずれも該当するお客様が対象です。
- 個別の導入支援体制をご案内したお客様
- Access Control を利用するお客様
目的
- Access Control の運用開始後に特によく寄せられる質問をまとめます。
注意事項
- 本記事は、弊社より個別に連絡をさせていただいた導入体制での導入を実施するお客様向けの導入コンテンツです。
- 本記事の内容は 2025 年 5 月時点での製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
目次
1. シングルサインオン(SSO) とフェデレーションについて
2. Microsoft 365 と Google Workspace のアクセス制御について
3. Device Certificate (デバイス証明書)について
4. その他について
1. シングルサインオン(SSO) とフェデレーションについて
Access Control でシングルサインオンできるサービスは何ですか?
・基本的に SAML 2.0 または Open ID Connect (OIDC) の規格に対応したクラウドサービスであれば、シングルサインオンが可能です。弊社でシングルサインオンの実績があるサービスや、マニュアルをご用意しているサービスが多数ありますので、詳細は以下のリンクをご確認ください。
HENNGE Access Control とシングルサインオンできるサービス
Access Control でシングルサインオンするユーザーと、従来通り連携サービス側で直接サインインするユーザーの両立は可能ですか?
・サービスによっては両立可能です。ただし、可否や対応方法は各サービスの SSO の仕様に依存します。弊社ではすべてのサービスにおける両立可否の網羅的な情報は有していないため、対応状況の詳細は各サービス提供元にご確認ください。
Access Control とシングルサインオンする先のサービス両方でユーザーを作成する必要がありますか?
・Microsoft 365 および Google Workspace についてはユーザー同期機能があるため、Access Control 側でユーザーを作成すれば、サービス側でも別途ユーザーを作成する必要はありません。一方で、ユーザー同期機能に対応していないサービスについては、原則当該サービス側でもユーザーを個別に作成・管理する必要があります。
※Microsoft 365 を利用かつ、AD 同期を行う場合、Microsoft 365 へのユーザーの自動作成は、Access Control ではなく、Microsoft Entra Connect によって行われます。
※Salesforce および Cybozu については、HENNGE One Pro または HENNGE One IdP Pro プランをご契約の場合に限り、ユーザープロビジョニング機能を利用することで、Access Control 側のユーザー作成・更新・削除を Salesforce および Cybozu 側に同期することが可能です。
詳細は以下のリンクをご確認ください。
HENNGE Access Control ユーザープロビジョニング機能とは
2. Microsoft 365 と Google Workspace のアクセス制御について
Microsoft 365 や Google Workspace の各アプリやサービスでは、毎回 Access Control でのログインが求められますか?
・Microsoft 365 および Google Workspace では、各社の製品仕様により、一定期間セッションが維持されるため、毎回 Access Control でのログインが求められるとは限りません。
例として、Microsoft 365 関連のアプリケーションを利用している場合、最後のサインインから 90 日間有効なセッションが発行され、定期的にユーザーが利用を続ける限り、長期間ログイン状態が維持されることがあります。これらのセッション管理の挙動は、Microsoft 社や Google 社の仕様に基づくものであり、Access Control 側で制御することはできません。そのため、セッションがどの程度保持されるかは、利用するサービス側の仕様をご確認ください。
詳細は以下のリンクをご確認ください。
クラウドサービスの認証セッションとHENNGE Access Controlとの関係について
前回のセッションが維持される場合、アクセス許可された範囲外からアクセスしてもアクセスが許可される可能性があるということですか?
・ご認識の通りです。例えば、Microsoft 365 関連のアプリケーションを既に利用中でセッションが維持されている場合、その端末が管理者が許可していない IP アドレス範囲から接続したとしても、Microsoft 365 側で再認証が発生しない限り、Access Control によるアクセス制御が適用されず、アクセスが許可される可能性があります。
一方で、新規に Microsoft 365 にサインインしようとした場合は、Access Control による認証が実行され、管理者がアクセス許可している範囲外からのアクセスの場合はブロックされるため、第三者の不正アクセスは防止できます。
Microsoft 365 と Google Workspace でアクセス制御の対象外となるアカウントはありますか?
・以下のアカウントは Access Control のアクセス制御の対象外となりますのでご注意ください。
・onmicrosoft.com (初期ドメイン)を用いるユーザー (Microsoft 365)
・特権管理者ユーザー (Google Workspace)
・POP / IMAP / SMTP プロトコルでの基本認証を行うユーザー (Google Workspace)
3. Device Certificate (デバイス証明書)について
デバイス証明書の有効期限はありますか?
・デバイス証明書は、発行から 5 年間の有効期限があります。
デバイス証明書の更新はどのように行いますか?
・デバイス証明書の更新については以下のリンクをご確認ください。新しい証明書を新たにエンドユーザーにインストールしてもらう手順となります。
[Device Certificate] 有効期限が 30 日以内になったデバイス証明書の更新
端末の入れ替えなどに伴い、一時的に新旧両方の端末でデバイス証明書を利用することは可能ですか?
・可能です。この場合、一時的に契約中のライセンスに基づくデバイス証明書の発行可能上限数を上回る可能性がありますが、入れ替え機能を利用することで、発行可能上限数の最大 150 %までデバイス証明書を発行することが時限的に可能となります。
詳細は以下のリンクをご確認ください。
[Device Certificate] 端末入れ替え時のデバイス証明書移行手順
4. その他について
その他によく寄せられるご質問については、以下のリンクをご確認ください。
【Access Control 全般について】よくあるご質問(FAQ)
【Device Certificate (デバイス証明書)について】よくあるご質問(FAQ)