Microsoft 365 連携:SSO を有効にする
最終更新日:2023/07/13
事前準備
Microsoft Graph PowerShell SDK をインストールする
SSO 有効化作業を実施するデバイスの PowerShell を管理者権限で起動し、下記いずれかのコマンドを実行します。
尚、こちらの操作はデバイスにつき最初の一度のみ実施するものであり、作業の都度実施する必要はありません。
- インストール先を現在 Windows にログインしているユーザー(ローカルユーザー)に限定したい場合
Install-Module Microsoft.Graph -Scope CurrentUser
- インストール先を限定せず、デバイス全体を対象にインストールしたい場合
Install-Module Microsoft.Graph -Scope AllUsers
モジュールのインストール中に「信頼されていないリポジトリ」に関するメッセージが表示された場合 すべて続行 を選択します。
Powershell で実行するコマンド文を生成する
CloudGate UNO管理者サイトの(左メニュー)サービスプロバイダー >Microsoft 365「編集」 >シングルサインオン設定「SAML 2.0のIdP情報」 に表示されている情報を、Microsoft 365 PowerShell実行コマンド生成ツール に入力して、生成されたコマンド文をメモ帳などにコピーしておきます。
SSOを有効にする
- Powershell を起動して下記のコマンドを実行します。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
- 「グローバル管理者権限」を持つMicrosoft 365アカウント(@xxx.onmicrosoft.com)を入力して Azure AD にログインします。
※本画面が表示されない場合、以前に同様の作業が実施されており、その際の認証が切断されていなかった可能性があります。次のステップに進んで問題ありませんが、すべての作業が完了したら Azure AD から切断 するようお願いします。 - 事前準備で生成したコマンド文を PowerShell 画面内に貼り付けて実行します。この作業が完了すると SSO が有効化されます。
SSOが有効になっているか確認する
- Powershell に認証済みである状態で Get-MgDomain と入力して実行します。対象のカスタムドメインが「Federated」になっていることを確認します。
- Microsoft 365 ログイン画面(例:https://www.office.com/loginont)を開きます。Microsoft 365 ログイン画面に SSO 有効化したカスタムドメインのメールアドレスを入力して[次へ]をクリックした後、CloudGate UNOサインオン画面が表示されたら SSO 設定に問題ありません。
1. で「Federated」と表示されていても、2. でCloudGate UNOが開かない場合があります。ご利用の Microsoft 365 環境全体に設定が反映されていない可能性がありますので、時間を置いて再度 2. をお試しください。
Microsoft 365アカウントのログインセッションを破棄する(任意)
SSOを有効化後も、Microsoft 365に認証済みのアカウントは継続してサービスをご利用可能です。
直ちにCloudGate UNOを経由した認証を実施させたい場合は、下記のコマンドの 対象ドメイン を、SSO有効化したカスタムドメインに書き換えた上で実行します。
foreach($user in Get-mguser -ALL | where { ($_.userprincipalname-like"*@対象ドメイン名")} ){Revoke-MgUserSignInSession -UserId $user.id}
Azure AD から切断する(推奨)
「グローバル管理者権限」を持つ Microsoft 365 アカウントで Azure AD にログインしている状態は維持されてしまうようですので、作業の都度切断していただくことを強く推奨します。
切断するには下記のコマンドを実行します。
Disconnect-MgGraph
