本記事では、OneLoginからMicrosoft 365(旧Office 365)へのWS-Federation(WS-Fed)SSO(シングルサインオン)を設定している場合において、OneLoginとMicrosoft 365の両方からMFA(多要素認証)を要求される状況を改善するための手順をご案内します。
本記事の手順に従って設定いただきますと、OneLogin から Microsoft 365 へのSSO時に、追加のセキュリティ確認が不要 となります。OneLoginがMicrosoft 365に代わって多要素認証を実施していることは、MFAクレームと呼ばれる仕組みによってMicrosoft 365に適切に引き渡されます。本記事では、OneLoginがMFAクレームを引き渡すように設定し、Microsoft 365がMFAクレームを適切に受け取るように設定することにより、OneLoginからMicrosoft 365へのSSO時に、セキュリティの既定値群による追加のセキュリティ確認の要求を抑制します。
目次
前提条件
- OneLoginとMicrosoft 365のWS-Federation連携が完了していること
- OneLoginのOffice 365 V2 コネクタを利用していること
- OneLoginのユーザーに対して何かしらの多要素認証を要求していること
OneLoginとMicrosoft 365間でWS-Federation連携が構築済みであり、OneLoginからMicrosoft 365へのシングルサインオンが正常に機能していることを前提とします。また、OneLoginで多要素認証を実施していることを前提にMFAクレームを連携するため、ID・パスワードに加えて、OneLogin ProtectやAuthenticator、セキュリティキー、クライアント証明書等のMFAを要求するよう、ユーザーポリシーまたはアプリポリシーの設定が必要です。
OneLoginでMFAを要求せず本設定を適用した結果、Microsoft 365の認証強度が低下し、不正アクセス等による不利益や損害が生じた場合、お客様は一切の責任を負うものとします。絶対にOneLoginでMFAを必須としないまま本設定を進めないでください。
シングルサインオン連携の設定自体がまだ完了していない方は、Office 365のWS-Federation連携を始める前に をご参照ください。
必要事項
-
ペンティオヘルプセンター サポートアカウント
- OneLogin テナントオプション設定の申請用
- このページが閲覧できていれば問題ありません
-
グローバル管理者権限を持つMicrosoft 365アカウント
- PowerShell モジュール実行用
- 個人のアカウントでも共有アカウントでもどちらも構いません
- 所属ドメインを問いません(xxxxx.onmicrosoft.com ユーザーでも良い)
-
Windows 11/10 など PowerShell モジュール実行環境
- Microsoft Graph PowerShell モジュール が必須
- 実行環境のセットアップ方法については Microsoft Graph PowerShellでMicrosoft 365に接続する を参照
事前の準備・手続き
OneLoginの設定
-
お客様がご利用中のOneLoginテナントへMFAクレームオプション設定が必要となるため、個別機能アクティベーション申請 から弊社サポートへ下記内容で申請を行います
-
アクティベート希望の機能
- ★Processing for WAuth SAML Param
-
タイトル
- Microsoft 365 MFAクレームオプションの有効化申請
-
お問い合わせ内容
- OneLoginとWS-Federation認証連携しているMicrosoft 365へMFAクレーム連携するためのOneLoginオプション設定の有効化をお願いします
- OneLoginとWS-Federation認証連携しているMicrosoft 365へMFAクレーム連携するためのOneLoginオプション設定の有効化をお願いします
-
アクティベート希望の機能
- ペンティオのサポート担当者からオプションを有効化した旨の返信を受取り次第、Microsoft 365側の作業へ進みます
Microsoft 365の設定
-
Windows PowerShell を管理者として実行します
- [はい]をクリックします
-
Set-ExecutionPolicy RemoteSignedと入力し、実行します
-
yと入力し、実行ポリシーを変更します
-
Connect-MgGraphと入力し、実行します
- 次のようなポップアップが表示されたら、グローバル管理者アカウントにサインインします
- サインインが完了すると
Welcome to Microsoft Graph!と表示されます
-
Get-MgDomainFederationConfiguration -DomainId 'your domain' | Format-Listと入力し、実行します
- 現在のWS-Federation設定の FederatedIdpMfaBehavior 属性が
空欄またはrejectMfaByFederatedIdpであることを確認します
-
Idの値を選択し、クリップボードにコピーします
-
Update-MgDomainFederationConfiguration -DomainId 'your domain' -InternalDomainFederationId 'Microsoft 365の設定 手順10でコピーしたId' -FederatedIdpMfaBehavior 'enforceMfaByFederatedIdp'を入力し、実行します
-
Get-MgDomainFederationConfiguration -DomainId 'your domain' | Format-Listを入力して実行し、FederatedIdpMfaBehavior 属性がenforceMfaByFederatedIdpに変更されていることを確認します
Microsoft 365の設定は以上です。
MFAクレーム設定の切り戻し
万が一、不具合が発生した場合や、MFAクレームの利用を希望されない場合等における設定の復元方法について説明いたします。
-
Windows PowerShell を管理者として実行します
- [はい]をクリックします
-
Connect-MgGraphと入力し、実行します
- 次のようなポップアップが表示されたら、グローバル管理者アカウントにサインインします
- サインインが完了すると
Welcome to Microsoft Graph!と表示されます
-
Update-MgDomainFederationConfiguration -DomainId 'your domain' -InternalDomainFederationId 'Microsoft 365の設定 手順10でコピーしたId' -FederatedIdpMfaBehavior 'rejectMfaByFederatedIdp'を入力し、実行します
-
Get-MgDomainFederationConfiguration -DomainId 'your domain' | Format-Listを入力して実行し、FederatedIdpMfaBehavior 属性がrejectMfaByFederatedIdpに変更されていることを確認します
以上でMFAクレーム設定の切り戻しは完了です。
OneLoginからMicrosoft 365へのシングルサインオンが正常に機能し、Microsoft 365利用時に追加のセキュリティ確認が要求されないことをご確認ください。
OneLogin側の切り戻し操作はございません。ご利用の中断につきまして、ペンティオやメーカーへの申告は不要です。
*何らかの理由によりOneLoginのMFAクレームオプションを無効化したい場合は、弊社サポートまでご連絡ください。
以降の詳細な内容はご興味のある方向けとなります。通常ご参照いただく必要はございません。
MFAクレームの仕組み
OneLoginがMicrosoft Entra ID MFAの要件を満たす
OneLoginは以下の通りにMFAクレームを引き渡します。
|
OneLogin MFA Claim |
Microsoft Entra ID MFA | 実行される操作の内容 |
|---|---|---|
| 無効 | 無効 | エンドユーザーはOneLoginでのMFA要求の有無に関わらず、Microsoft Entra IDのベースラインポリシー(セキュリティの既定値群)や条件付きアクセス等の設定に基づき、Microsoft Entra IDにより個別のMFAが要求されます。 |
| 無効 | 有効 | 注意!エンドユーザーが無限のサインインループに陥ります。これを防ぐには、OneLogin側のMFAクレームオプションを有効化してMicrosoft Entra ID MFAの要件を満たす必要があります。Microsoft Entra ID側のFederatedIdpMfaBehaviorだけを有効化してはいけません。 |
| 有効 | 無効 | エンドユーザーはOneLoginでのMFA要求の有無に関わらず、Microsoft Entra IDのベースラインポリシー(セキュリティの既定値群)や条件付きアクセス等の設定に基づき、Microsoft Entra IDにより個別のMFAが要求されます。 |
| 有効 | 有効 |
エンドユーザーはOneLoginからのMFA要求の有無に関わらず、MFAクレームがOneLoginによってMicrosoft Entra IDに渡されます。Microsoft Entra IDによってOneLoginからのMFAクレームが受け入れられ、個別のMFAは求められません。ユーザーはOffice 365へのアクセスを許可されます。 ※MFAクレーム連携にあたりOneLoginでのMFA要求は必須ではありませんが、脆弱な設定とならないよう原則としてUser PolicyまたはApp Policyにおいて、必ずMFA要求を設定してください |
本記事では、現在どちらも 無効 となっている環境を、どちらも 有効 な状態に変更します。