Soliton OneGate 管理ガイド
Microsoft Entra ID側での連携設定

Microsoft Entra ID側での連携設定

Microsoft Entra管理センターでユーザー同期と認証連携の設定を行います。

Microsoft Entra管理センターでアプリを登録する

Microsoft Entra管理センターにサインインし、新規にアプリを登録します。

ポイント

必要なアクセス権限が異なるため、新規アプリケーションの登録を推奨しています。

  1. Microsoft Entra管理センター(https://entra.microsoft.com/)に管理者としてサインインする

  2. メニューから「アプリケーション」>「アプリの登録」を順に選択し、[新規登録]をクリックする

  3. 「名前」に任意の名前を入力し、その他の項目はデフォルトのまま[登録]をクリックする

      

    「アプリケーション○○が正常に作成されました。」のメッセージが表示されたら、アプリの登録は完了です。

  4. アプリケーション概要の内容を確認し、「アプリケーション(クライアント)ID」をメモ帳などにコピーして控える

      

    ポイント

    「アプリケーション(クライアント)ID」は、OneGateの「Microsoft Entra ID登録」でMicrosoft Entra ID連携設定を行う際に使用します。

Microsoft Entra管理センターでAPIのアクセス許可を設定する

登録したアプリに対し、APIのアクセス許可(GroupMember、User)を設定します。

  1. Microsoft Entra管理センターの「アプリケーション概要」画面で、「APIのアクセス許可」を選択し、[アクセス許可の追加]をクリックする

  2. 「APIアクセス許可の要求」の[Microsoft Graph]をクリックする

  3. [アプリケーションの許可]をクリックする

    「アクセス許可を選択する」が表示されます。

  4. 「アクセス許可を選択する」に「GroupMember」と入力し、「GroupMember」内の[GroupMember.Read.All Read all group memberships]をチェックする

  5. 「アクセス許可を選択する」に「User」を入力し、「User」内の[User.Read.All Read all users' full profiles]をチェックして[アクセス許可の追加]をクリックする

    検索欄に「User」を入力して検索すると、簡単に選択できます。

      

    「アクセス許可を更新中」のメッセージが表示されます。

  6. [○○に管理者の同意を与えます]をクリックする

  7. [はい]をクリックする

      

    「同意する」のメッセージが表示されたら、APIアクセス許可の設定は完了です。

Microsoft Entra管理センターでクライアントシークレットを作成する

「APIアクセス許可」画面から続けて、Microsoft Entra ID連携に必要なクライアントシークレットを取得します。

注意

クライアントシークレットは必ず有効期限内に再設定してください。

ポイント

「クライアントシークレット」は、OneGateの「Microsoft Entra ID登録」でMicrosoft Entra ID連携設定を行う際に使用します。

  1. 「APIアクセス許可」画面で「証明書とシークレット」を選択し、[新しいクライアントシークレット]をクリックする

  2. 以下の項目を設定し、[追加]をクリックする

      

    説明 

    任意の説明(例:Microsoft Entra ID連携)を入力します。

    有効期限 

    任意の期限を入力します。

      

    注意

    クライアントシークレットの有効期限は最長2年です

    1. 定期的な運用として、有効期限内の再設定が必要です。

    1. OneGate側でも有効期限内に差し替えが必要になります。

      

    「アプリケーション○○の資格情報が正常に更新されました」のメッセージが表示されたら、クライアントシークレットの取得は完了です。

  3. 「クライアントシークレット」の値をメモ帳などにコピーして控える

      

    注意

    クライアントシークレットの値は作成時しか画面に表示されません

    クライアントシークレットの値を忘れた場合、クライアントシークレットの作成操作を繰り返し、再取得する必要があります。

    必ず、このタイミングでメモ帳にコピーするなどして控えてください。

セキュリティの既定値群を無効にする

Microsoft Entra IDテナント全体のMFA(多要素認証)を有効にする「セキュリティの既定値群」が有効になっていると、Entra IDから同期したユーザーのOneGate認証を行うことができません。

Microsoft Entra ID連携ユーザーがOneGate認証を利用する場合、セキュリティの既定値群を無効にし、OneGate認証を除いた条件付きアクセスでのMFA設定などを行う必要があります。

  1. Microsoft Entra管理センターのトップ画面のメニューから「概要」を選択し、[プロパティ]タブの[セキュリティの既定値の管理]をクリックする

  2. 「セキュリティの既定値群」で「無効」を選択し、「無効にする理由」で[組織では、条件付きアクセスの使用を計画しています]をクリックして[保存]をクリックする

      

    ポイント

    セキュリティの既定値群を利用しユーザー単位の多要素認証を利用している環境の場合

    多要素認証を使用しない設定(disabled)にする必要があります。

      

    「セキュリティの既定値群の無効化」画面が表示されます。

  3. [無効化]をクリックする

    「組織では、条件付きアクセスの使用を計画しています」を選択したため、「条件付きアクセス」画面が表示されます。

    続けて、条件付きアクセスの設定を行います。

条件付きアクセス設定を行う

セキュリティの既定値群を無効にしたことで、Microsoft Entra ID の認証設定は、パスワードのみでログイン可能な状態になっています。

OneGateを除く認証に対し、MFAを有効にする条件付きアクセスを設定します。

注意

  1. 条件付きアクセスを利用するためには、Microsoft Entra ID P1以上のライセンスが必要です。

  1. 管理者をロックアウトしないために、条件付きアクセスの動作は必ず最小ユーザーで確認してから、他のユーザーへ割り当ててください。

  1. 「条件付きアクセス」画面で、[概要]の[新しいポリシーを作成する]をクリックする

  2. 「名前」に任意の名称(例:OneGateを除いたMFA)を入力し、「割り当て」の[ユーザー]をクリックする

  3. [対象]の[ユーザーとグループの選択]をクリックし、表示された選択肢の[ユーザーとグループ]をチェックする

  4. 「検索」に対象のユーザー名(例:ソリトン)を入力し、検索結果で対象のユーザーをチェックする

      

    「選択済み」に選択したユーザー名が追加されます。

  5. 画面下部の[選択]をクリックする

  6. 「ターゲットリソース」の[ターゲットリソースが選択されていません]をクリックし、[対象]の[すべてのクラウドアプリ]をクリックする

  7. [対象外]をクリックし、「除外されたクラウドアプリの選択」の[なし]をクリックする

  8. 「Microsoft Entra管理センターでアプリを登録する」で作成したアプリをチェックし、[選択]をクリックする

      

    「除外されたクラウドアプリの選択」に選択したアプリ名が追加されます。

  9. 「アクセス制御」の[0個のコントロールが選択されました]をクリックする

  10. [アクセス権の付与]をクリックし、[多要素認証を要求する]をチェックして[選択]をクリックする

    「アクセス制御」の表示が「許可 1個のコントロールが選択されました」に変わります。

  11. 「ポリシーの有効化」で[オン]をクリックし、[作成]をクリックする

    「〇〇を除いたMFAが正常に作成されました」のメッセージが表示されます。

  12. メッセージをクリックする

    「ポリシーの概要」の「0有効」の表示が「1有効」に変われば、条件付きアクセスの設定は完了です。