SEくぼたの事件簿

インフラSEとしての活動を記録していきます

トップ > Microsoft > Microsoft365(Office365)サインイン時の「サインインの状態を維持しますか?」画面を消す方法(サードパーティー製IdP連携時の注意点)

Microsoft365(Office365)サインイン時の「サインインの状態を維持しますか?」画面を消す方法(サードパーティー製IdP連携時の注意点)

Microsoft Microsoft-ID Microsoft-ID-ActiveDirectory

こんにちは。

在宅勤務が増えてきたので自宅に新たな机やサブディスプレイを買ってみました。

これでブログを書く時もとっても便利♪となったので気合い入れて書いていきたいと思います。

 

さてさて世の中でテレワークが増えてきたことで、社外からの様々なアクセスをしたいってケースをよく聞きます。

そのタイミングでたいていの方が言われるのはIDとパスワードが分かるとアクセスできてしまうから制御したいってこと!

実際その通りなのでアクセス制御を適切に実施していくことが大切かと思います。

ゼロトラストセキュリティモデル」というワードもよく聞くようになってきていますよね!

考えた方の例としてAzure Identity Support Teamがブログに記載してくれているものを張っておきます。不明な方はぜひご一読を!

jpazureid.github.io

Microosft365のみでアクセス制御を実現する場合、Intuneなどと連携し「デバイスベースの条件付きアクセス」で指定のデバイスのみExchangeOnline,Teams,SharePointにアクセスさせたりします。

ここで注意してほしいのは!!!!!

サードパーティー製IdPを利用する場合です。

サードパーティー製がNGということではなく注意してねってことです。

Microsoft365(Office365)と連携してAzureADではなくIdP側でアクセス制御する場合、

以下の認証の違いがあることを覚えておいてください。

※先進認証での認証ルートなので基本認証はまた別です。

 

もし、認証ルート違うよってご存知の方がいたらコメントくれるとうれしいです!笑

あくまで参考レベルで見てください。 

 

f:id:KKubo19:20201027182703p:plain

 

f:id:KKubo19:20201027182754p:plain

図の通り、IdPがあるパターンとないパターンでは認証ルートが違ってます。

ブラウザでMicroosft365(Office365)環境にアクセスすると認証の途中で以下の画面が出てきます。

f:id:KKubo19:20201027183111p:plain

この画面で「はい」を選択すると以後、Microosft365(Office365)にアクセスする際にユーザーはパスワードを聞かれずにアクセスすることが可能となります。

これ自体はとっても便利な機能ですよね!!

※ブラウザを終了し再度アクセスするとパスワードを聞かれることはないはずです。

しかしこれはセッション(トークと呼ばれる)を保有することとなります。

このセッションの期限については以下のURLをみてね!

上記の「はい」の選択はブラウザのセッショントークンの「永続的」に該当します。

ちなみにブラウザとネイティブアプリでトークンの期限が違うので注意してください。

jpazureid.github.io

 

何が言いたいかというと、この画面で「はい」って押すと、

以下の図の認証ルートになっちゃうよってことです。

f:id:KKubo19:20201027183845p:plain

せっかくサードパーティー製IdPを使ってるのにIdPでの認証をスキップするような状態になっちゃいます。

考え方としてこれがOKであれば何も問題ないのですが、毎回必ずIdPで認証させたいって時には非常に困ります。

 

そんな時には、「サインインの状態を維持しますか?」画面を出させないようにしたいですよね!

 

  • 設定手順

Microosft365管理ポータルより「Azure Active Directory」をクリック

f:id:KKubo19:20201027184439p:plain

画面左の「Azure Active Directory」をクリック

f:id:KKubo19:20201027184627p:plain

「会社のブランド」をクリック

f:id:KKubo19:20201027184834p:plain

「構成」をクリック

f:id:KKubo19:20201027185106p:plain

「サインインしたままにするオプションを表示する」を「いいえ」をクリック

f:id:KKubo19:20201027185251p:plain

「保存」をクリック

f:id:KKubo19:20201027185402p:plain

手順は以上です。

以後、「サインインの状態を維持しますか?」画面は表示されなくなります。

 

でもすでにユーザーがやっちゃってたらどうすんねん!!!ってなるかと思います。

そんな時、発行済みセッションの取り消しができます。

 

  • セッションの取り消し手順

Azure Active Directory管理センターにて「ユーザー」をクリックf:id:KKubo19:20201027185927p:plain

「すべてのユーザー」からセッションを取り消す対象者をクリック

f:id:KKubo19:20201027190216p:plain

「セッションを取り消す」をクリック

f:id:KKubo19:20201027190354p:plain

「はい」をクリック

f:id:KKubo19:20201027190508p:plain

 

手順は以上です。

これを実施するとPCアクセスのブラウザのみでなく、ネイティブアプリでのアクセスやモバイルデバイスのアプリアクセスもすべて再度サインインを求められるようになりますので注意してくださいね

 

  • ちなみに

今回はブラウザアクセスの「サインインの状態を維持しますか?」を画面消す手順でしたが、ネイティブアプリ(インストールするアプリ)からのアクセスもあるのでちゃんと考慮しないといけないですね!!

セッションの取り消しもGUIでやるのは結構大変なので、次回はPowershellでセッションを取り消す方法を書いてみようかなあ

 

  • 最後に

Twitterでも情報発信したいと思いますので、興味があったらフォローしてください!