Microsoft Entra ID側での連携設定
Microsoft Entra管理センターでユーザー同期と認証連携の設定を行います。
Microsoft Entra管理センターでアプリを登録する
Microsoft Entra管理センターにサインインし、新規にアプリを登録します。
ポイント
必要なアクセス権限が異なるため、新規アプリケーションの登録を推奨しています。
-
-
Microsoft Entra管理センター(https://entra.microsoft.com/)に管理者としてサインインする
-
-
-
メニューから「アプリケーション」>「アプリの登録」を順に選択し、[新規登録]をクリックする
-
-
-
「名前」に任意の名前を入力し、その他の項目はデフォルトのまま[登録]をクリックする
-
-
-
アプリケーション概要の内容を確認し、「アプリケーション(クライアント)ID」をメモ帳などにコピーして控える
-
ポイント
「アプリケーション(クライアント)ID」は、OneGateの「Microsoft Entra ID登録」でMicrosoft Entra ID連携設定を行う際に使用します。
-
Microsoft Entra管理センターでAPIのアクセス許可を設定する
登録したアプリに対し、APIのアクセス許可(GroupMember、User)を設定します。
-
-
Microsoft Entra管理センターの「アプリケーション概要」画面で、「APIのアクセス許可」を選択し、[アクセス許可の追加]をクリックする
-
-
-
「APIアクセス許可の要求」の[Microsoft Graph]をクリックする
-
-
-
[アプリケーションの許可]をクリックする
-
-
-
「アクセス許可を選択する」に「GroupMember」と入力し、「GroupMember」内の[GroupMember.Read.All Read all group memberships]をチェックする
-
-
-
「アクセス許可を選択する」に「User」を入力し、「User」内の[User.Read.All Read all users' full profiles]をチェックして[アクセス許可の追加]をクリックする
-
-
-
[○○に管理者の同意を与えます]をクリックする
-
-
-
[はい]をクリックする
-
Microsoft Entra管理センターでクライアントシークレットを作成する
「APIアクセス許可」画面から続けて、Microsoft Entra ID連携に必要なクライアントシークレットを取得します。
注意
クライアントシークレットは必ず有効期限内に再設定してください。
ポイント
「クライアントシークレット」は、OneGateの「Microsoft Entra ID登録」でMicrosoft Entra ID連携設定を行う際に使用します。
-
-
「APIアクセス許可」画面で「証明書とシークレット」を選択し、[新しいクライアントシークレット]をクリックする
-
-
-
以下の項目を設定し、[追加]をクリックする
-
-
-
「クライアントシークレット」の値をメモ帳などにコピーして控える
-
セキュリティの既定値群を無効にする
Microsoft Entra IDテナント全体のMFA(多要素認証)を有効にする「セキュリティの既定値群」が有効になっていると、Entra IDから同期したユーザーのOneGate認証を行うことができません。
Microsoft Entra ID連携ユーザーがOneGate認証を利用する場合、セキュリティの既定値群を無効にし、OneGate認証を除いた条件付きアクセスでのMFA設定などを行う必要があります。
-
-
Microsoft Entra管理センターのトップ画面のメニューから「概要」を選択し、[プロパティ]タブの[セキュリティの既定値の管理]をクリックする
-
-
-
「セキュリティの既定値群」で「無効」を選択し、「無効にする理由」で[組織では、条件付きアクセスの使用を計画しています]をクリックして[保存]をクリックする
-
-
-
[無効化]をクリックする
-
「組織では、条件付きアクセスの使用を計画しています」を選択したため、「条件付きアクセス」画面が表示されます。
続けて、条件付きアクセスの設定を行います。
-
条件付きアクセス設定を行う
セキュリティの既定値群を無効にしたことで、Microsoft Entra ID の認証設定は、パスワードのみでログイン可能な状態になっています。
OneGateを除く認証に対し、MFAを有効にする条件付きアクセスを設定します。
注意
-
条件付きアクセスを利用するためには、Microsoft Entra ID P1以上のライセンスが必要です。
-
管理者をロックアウトしないために、条件付きアクセスの動作は必ず最小ユーザーで確認してから、他のユーザーへ割り当ててください。
-
-
「条件付きアクセス」画面で、[概要]の[新しいポリシーを作成する]をクリックする
-
-
-
「名前」に任意の名称(例:OneGateを除いたMFA)を入力し、「割り当て」の[ユーザー]をクリックする
-
-
-
[対象]の[ユーザーとグループの選択]をクリックし、表示された選択肢の[ユーザーとグループ]をチェックする
-
-
-
「検索」に対象のユーザー名(例:ソリトン)を入力し、検索結果で対象のユーザーをチェックする
-
-
-
画面下部の[選択]をクリックする
-
-
-
「ターゲットリソース」の[ターゲットリソースが選択されていません]をクリックし、[対象]の[すべてのクラウドアプリ]をクリックする
-
-
-
[対象外]をクリックし、「除外されたクラウドアプリの選択」の[なし]をクリックする
-
-
-
「Microsoft Entra管理センターでアプリを登録する」で作成したアプリをチェックし、[選択]をクリックする
-
-
-
「アクセス制御」の[0個のコントロールが選択されました]をクリックする
-
-
-
[アクセス権の付与]をクリックし、[多要素認証を要求する]をチェックして[選択]をクリックする
-
-
-
「ポリシーの有効化」で[オン]をクリックし、[作成]をクリックする
-
-
-
メッセージをクリックする
-



































