ご質問
Microsoft 365 / Google Workspace などのクラウドサービスに、ブラウザ/アプリで Access Control 経由でログインしました。
その後、認証クッキーの有効期限後や、アクセス条件外の環境からも再認証なしにブラウザ / アプリが使えてしまっています。原因と対処方法を教えてください。
回答
Access Control 認証後にサービスのアクセス時に再認証が求められないといった場合、Access Control側の設定ではなく、Microsoft 365やGoogle Workspaceなどのクラウドサービス側のセッションが維持されていることが原因である場合があります。
連携サービスと Access Control の SSO 設定時の関係は次の図のようになっており、連携サービス側が必要に応じて Access Control を呼び出しております。
その為、連携サービス側のセッションがブラウザやアプリに残っていると、下図のように Access Control が呼び出されず(=ログイン条件の判定がされず)、そのままサービスへアクセスが可能となります。
Access Control が呼び出されない期間は、Access Control 側での認証処理が発生しないため、アクセスログにも記録されません。
例えば、Microsoft 365 の各サービスのセッションがどの程度の期間保持されるかについて、Microsoft 社から次の記事が公開されております。
- Microsoft 365 のセッションタイムアウト: https://docs.microsoft.com/ja-jp/office365/enterprise/session-timeouts
また、Google 社からは次の記事が公開されております。
- Google サービスのセッション継続時間を設定する: https://support.google.com/a/answer/7576830?hl=ja
各サービスのセッションを強制的に切断したい場合は、以下の方法がございます。
【Microsoft 365 その①】Microsoft 365 側のユーザーパスワードを変更する。管理画面上よりパスワードのリセットを行う、PowerShell を使用して変更する、Azure AD Connect を使用し AD からパスワード変更を行う作業のいずれかを実施する必要があります。
【Microsoft 365 その②】PowerShell を用いてセッションを強制切断する。詳細は次の弊社記事をご参照ください。ユーザー単位または全体での操作が可能です。
Azure AD モダン認証の切断:
https://support.hdeone.com/hc/ja/articles/14838140824729
【Google Workspace その①】Google Workspace 側のユーザーパスワードを変更する。詳細は次の弊社記事をご参照ください。ユーザー単位または一括での操作が可能です。
Google Workspace 認証の切断: https://support.hdeone.com/hc/ja/articles/360000349222
【Google Workspace その②】ユーザーのログイン Cookie をリセットする。こちらはユーザー単位のみでの操作が可能です。詳細は次の Google 社記事をご参照ください。
紛失した端末からの Google サービスへのアクセスをブロックする: https://support.google.com/a/answer/178854?hl=ja
以上の動作はクラウドサービス側の仕様変更により、今後変わる可能性があります。