|
[本書について] [表示画面] [商標および免責事項] 本製品は、医療機器、原子力施設、航空関連機器、軍備機器、輸送設備やその他人命に直接関わる施設や設備など、高い安全性が要求される用途での使用は意図されていません。該当する施設や設備には使用しないでください。 [版権/注意] 本書の内容は万全を期して作成しておりますが、万一ご不明な点や誤り、記載漏れ、乱丁、落丁などお気づきの点がございましたら、弊社までご連絡ください。 |
目次
1.1 Microsoft Entra ID登録ガイドについて
4.2 Microsoft 365 管理センターへのアクセス
4.3 Microsoft Entra管理センターへのログイン
7.1 PassLogic Authenticator利用時の注意点
1 はじめに
1.1 Microsoft Entra ID登録ガイドについて
Microsoft Entra ID登録ガイドは、管理ツールを操作する管理者(administrator権限)を対象として書かれています。
また、PassLogicクラウド版(以下PassLogic)についても、テナント管理者を対象として書かれています。
本ガイドは以下の7章から構成されています。
| 章 | 項目名 | 主な内容 |
| 1 | はじめに | 本製品とガイドに関する基本的な情報 |
| 2 | PassLogicログイン | 管理者画面へのアクセスとログイン |
| 3 | PassLogicへの設定 | ・ドメイン作成(ユーザー認証に必要なドメインの作成) ・ポリシー作成(認証ルールを定めたポリシーの作成) ・ユーザー作成(Microsoft Entra ID と連携する認証ユーザーの作成) |
| 4 | Microsoft Entra管理センターログイン | ・Microsoft 365 管理センターへのアクセスとログイン ・Microsoft Entra管理センターへのアクセスとログイン |
| 5 | Microsoft Entra設定 | ・グループの作成 ・アプリの登録 ・ターゲットリソースの登録 ・ユーザーの作成 |
| 6 | 動作確認 | ユーザー認証確認 |
| 7 | 注意事項 | 製品を使用するにあたっての注意事項 |
1.2 PassLogicとは?
PassLogicは独自技術である「デバイスレス・ワンタイムパスワード認証方式(以下、デバイスレス方式)」を中心に、ハードウェアトークン、ソフトウェアトークン、クライアント証明書などの多様な認証方式に対応した認証プラットフォームです。
標準的な連携プロトコルをサポートし、RADIUS認証やSAML認証のアプリケーション連携が可能なため、運用管理の負荷を軽減できます。
URL:https://passlogic.jp/multi-factor-authentication/
1.3 デバイスレス方式とは?
デバイスレス方式は、ログイン時に表示される乱数表の「マス目の位置」と「パターン(選択する順番)」をパスワード生成のルールとし、ログイン毎に異なる正解パスワードを生成するセキュアな認証方式です。
本方式に関する説明は、PassLogic製品サイト上で公開しています。ユーザーへの初期案内メール等については、下記URLページをご活用ください。
URL:https://passlogic.jp/pattern_staticpass
1.4 Bridge M365とは?
Microsoft Entra IDのログイン時に、多要素認証(以下、MFA)として PassLogicを外部認証プロバイダーとし、セカンダリ認証を行うためのサービスです。
1.5 Microsoft Entra IDとは?
Microsoft Entra IDとは、Microsoftが提供するクラウドベースのID(アイデンティティ)およびアクセス管理を行うためのサービスです。
2 PassLogicログイン
テナント開通時、テナント管理者宛に送られてきた開通案内メールに記載されたURLとアカウント情報を元に、PassLogicへログインして設定を行います。
2.1 管理者画面へのアクセスとログイン
開通案内メールに記載されたURLをクリックし、PassLogicの管理者画面へアクセスします。
https://{テナント名}.passlogiccloud.com:8443/{テナント名}/passlogic-admin/
メールに記載されていたアカウント情報をユーザーID に入力し[ログイン]をクリックします。
同じくメールに記載されているパターンを元に、ブラウザに表示されている乱数表から該当する数値を入力して[ログイン]をクリックします。
3 PassLogicへの設定
テナント管理者にて PassLogicにログイン後、Microsoft Entra IDとの連携に必要な各種設定を行います。
3.1 ドメイン作成
PassLogicでMicrosoft Entra IDのセカンダリ認証を行う場合、該当するユーザーを登録する前にドメイン(Microsoft Entra IDで管理されているドメイン名)をPassLogic側にも登録する必要があります。
※Microsoft Entra IDで管理されているドメイン名は、お客様側で管理されているため作業前に確認してください。
※PassLogicに登録を行うドメイン名とは「ユーザー名@ドメイン名」の「@」から右側部分になります。
■ドメイン名の追加手順
- テナント管理者画面の左ペイン(管理ツール群)から[ドメイン管理]をクリックします。
- [追加]ボタンをクリックします。
- 「ドメイン名」に Microsoft Entra IDで管理されているドメイン名を入力し[次へ]ボタンをクリックします。
- 登録内容の確認画面が表示されますので、間違いが無ければ[登録]ボタンをクリックします。
- PassLogicにドメインの登録が完了します。
3.2 ポリシー作成
Microsoft Entra IDのセカンダリ認証で使用するPassLogicのポリシー(認証ルール)を作成します。
■ポリシーの作成手順
- テナント管理者画面の左ペイン(管理ツール群)から[設定]→[ポリシー設定]をクリックします。
- [追加]ボタンをクリックします。
- ポリシー名を入力し[次へ]ボタンをクリックします。
- 作成するポリシー名に問題が無ければ[登録]ボタンをクリックします。
- [戻る]ボタンをクリックし、ポリシー一覧画面へ戻ります。
3.3 ポリシー修正
作成したポリシーをMicrosoft Entra IDのセカンダリ認証として使用できるように修正します。
■ポリシーの修正手順
- 作成したポリシーの右にある[編集]をクリックします。
- 「認証方式」のプルダウンメニューから、使用する認証方式を選択します。
- 「Windows Logonの使用」にチェックを入れます。
- [次へ]ボタンをクリックします。
- 修正内容の確認画面が表示されますので、誤りが無ければ[決定]ボタンをクリックしてください。
ポリシーの修正
| No. | 項目名 | 主な内容 |
| 1 | 認証方式 | PassLogicで使用する認証方法を選択(“PassLogic”、“PassLogic Authenticator”、“TOTP”) |
| 2 | Windows Logonの使用 | Bridge M365からの認証処理を行うためチェックを入れる |
3.4 ユーザー作成
PassLogicでMicrosoft Entra IDのセカンダリ認証を行うユーザーを作成します。
■ユーザーの作成手順
- テナント管理者画面の左ペイン(管理ツール群)から[ユーザ管理]→[新規作成]をクリックします。
- 「uid」にMicrosoft Entra IDに登録されているユーザー名を入力します。
※PassLogic では大文字小文字を区別しますのでご注意ください。 - 「ドメイン」のプルダウンメニューから、作成したドメインを選択します。
- 「メールアドレス」に、セカンダリ認証該当ユーザーのメールアドレス(任意)を入力します。
- 「ポリシー」のプルダウンメニューから、作成したポリシーを選択します。
- 「パターン」にユーザーがPassLogicで認証を行う際に使用するパターンの登録を行います。
- 設定が済んだら[次へ]ボタンをクリックしてください。
- 設定内容の確認画面が表示されますので、内容に誤りがなければ[登録]ボタンをクリックしてください。
- ユーザーにメールによる通知を行う場合は[通知書をメール]ボタンをクリックしてください(ユーザー登録時にメールアドレスの記入がなかった場合は表示されません)。
表 2. ユーザーの作成
| No. | 項目名 | 主な内容 |
| 1 | uid | PassLogicでセカンダリ認証を行うMicrosoft Entra IDのユーザー ※入力は半角英数字で大文字、小文字を区別 |
| 2 | ドメイン | ユーザーに紐づくドメインを選択 |
| 3 | メールアドレス | ユーザー作成時、アクセスURLやアカウント情報をメールで通知する場合は登録(任意) |
| 4 | ポリシー | Microsoft Entra IDでのセカンダリ認証用ポリシー |
| 5 | パターン | PassLogicで使用する認証パターンの登録(PassLogic認証選択時のみ) ※パターンは手動もしくは自動による登録が可能 |
PassLogicでの設定作業は以上となります。
4 Microsoft 365 管理センターログイン
4.1 前提条件
Bridge M365とMicrosoft Entra IDとの連携に必要な設定をするために、以下項目は既に準備されていることを前提として説明を進めます。
- Microsoft Entra IDのサービスを利用でき、管理者アカウントでログインが可能であること。
- Microsoft Entra IDが、外部認証の設定を可能とするサービス形態で契約が完了していること。
- Microsoft Entra IDでカスタムドメインを作成済みであること。
- PassLogic クラウド版のサービスを利用でき、テナント管理者でログインが可能であること。
- パスロジからBridge M365を利用するために必要なアクセスURLが発行され、手元にあること。
4.2 Microsoft 365管理センターへのアクセス
Microsoft 365管理センターにアクセスし、ログインします。
https://login.microsoft.com/
4.3 Microsoft Entra管理センターへのログイン
Microsoft 365管理センターへのログイン後、更にID設定を行うためにMicrosoft Entra管理センターにログインします。
- Microsoft 365管理センター画面の左ペインから[ID]をクリックします。
- ログイン画面が表示されますので、管理者アカウント情報を入力してログインします。
5 Microsoft Entra設定
Microsoft Entra管理センターでセカンダリ認証するために必要な設定手順を示します。
[注意]本手順はあくまでも一例です。実際にはお客様の運用に則した内容での設定をお願いいたします。
なお、本手順は既存の運用環境に影響を及ぼさないよう考慮し、グループを別途作成してユーザーを紐づける方法となります。
5.1 グループの作成
Microsoft Entra 管理センターでセカンダリ認証を可能とするグループを登録します。
- 左ペインから[グループ]をクリックします。
- 遷移したグループ画面から[新しいグループ]をクリックします。
- 新しいグループの作成画面に遷移しますので、必要項目に値を入力します。
- 入力を終えたら[作成]ボタンをクリックします。
| No. | 項目名 | 設定 |
| 1 | グループの種類 | セキュリティ(変更なし) |
| 2 | グループ名 | セカンダリ認証用に作成するグループ名を入力 |
| 3 | グループの説明 | グループの説明を入力(任意) |
| 4 | グループに Microsoft Entraロールを割り当てることができる | いいえ(変更なし) |
| 5 | メンバーシップの種類 | 割り当て済み(変更なし) |
| 6 | 所有者 | 変更なし |
| 7 | メンバー | 変更なし |
5.2 アプリの登録
Microsoft Entra IDからBridge M365への連携(エンドポイント)設定を行うための、アプリケーション登録を行います。
- 左ペインから[アプリの登録]をクリックします。
- アプリの登録画面へ遷移しますので、[新規登録]をクリックします。
- アプリケーションの登録画面へ遷移しますので、以下のように入力して[登録]ボタンをクリックします。
| No. | 項目名 | 設定 |
| 1 | 名前 | 任意の名前 |
| 2 | サポートされているアカウントの種類 | シングルテナントのみ |
| 3 | リダイレクトURI | Web/弊社から払い出されたエンドポイント(Bridge M365)の URL |
5.3 アプリケーション(クライアント)IDの控え
「5.2 アプリの登録」完了後、登録したアプリの画面に遷移するので、アプリケーション(クライアント)ID を控えておきます。
- 登録したアプリケーションの画面に遷移します。
※遷移しなければ左ペインから[アプリの登録]を選択し、遷移した画面の[すべてのアプリケーション]をクリックします。 - [基本]を開いて「アプリケーション(クライアント)ID」の値をコピーし、テキストなどに控えておきます。
5.4 ターゲットリソースの登録
セカンダリ認証を実際に使用するユーザー側のアプリケーションに表示する選択項目を作成します。
- 左ペインから[認証方法]をクリックします。
- 認証方法ポリシー画面へ遷移しますので、[外部MFAの追加]をクリックします。
- 外部の追加の方法(プレビュー)画面へ遷移しますので、以下のように入力して[保存]をクリックします。
| No. | 項目名 | 設定 |
| 1 | 名前 | 任意の名前(ユーザー側でセカンダリ認証を選択する際に表示される名称) |
| 2 | クライアントID | 「5.3 アプリケーション(クライアント)IDの控え」で取得したIDを入力 |
| 3 | 検出エンドポイント | 弊社から払い出されたエンドポイント(Bridge M365)のURL |
| 4 | アプリID | 「5.3 アプリケーション(クライアント)ID の控え」で取得した ID を入力 |
| 5 | 管理者の同意の要求 | 「アクセス許可の要求」をクリック ※管理者アカウントを選択し、登録したアプリのアクセスを許可(承認) |
| 6 | 有効化とターゲット | ”オフ”から”オン”に切り替え |
| 7 | ターゲットの追加 | [ターゲットの選択]をクリックし、登録したグループを選択 |
5.5 ユーザーの作成
Microsoft Entra IDでセカンダリ認証を使用するユーザーを作成します。
- 左ペインから[ユーザー]をクリックします。
- ユーザー画面へ遷移したら[新しいユーザー]をクリックし、展開されたリストから[新しいユーザーの作成]をクリックします。
- 新しいユーザーの作成画面へ遷移しますので、必要項目に値を入力します。
- 入力を終えたら[レビューと作成]ボタンをクリックします。
- 確認画面が表示されますので、入力に誤りが無ければ[作成]ボタンをクリックします。
| No. | 項目名 | 設定 |
| 1 | ユーザープリンシパル名 | ユーザー名の入力(@より左) ドメインの選択(@より右) |
| 2 | ニックネーム | ニックネームを入力(「ユーザープリンシパル名から受け継ぐ」にチェックがある場合は入力したユーザー名) |
| 3 | 表示名 | ユーザーがログインした時に表示される名前を入力 |
| 4 | パスワード | ユーザーがMicrosoft Entra IDにログインするときのパスワードを入力(管理者がパスワードを決め打ちするか、自動生成かを任意で選択し入力) |
| 5 | アカウントが有効化されました | チェック(変更なし) |
5.6 ユーザーへグループの割り当て
セカンダリ認証用に作成したグループを割り当てます。
- 左ペインから[ユーザー]をクリックします。
- 「5.5 ユーザーの作成」で追加したユーザーを選択します。
- ユーザー画面へ遷移しますので、遷移した画面の左にある[グループ]をクリックします。
- [メンバーシップの追加]タブをクリックするとグループの一覧が表示されますので、手順「5.1 グループの作成」で作成したグループにチェックを入れ[選択]ボタンをクリックします。
5.7 ユーザーへ外部認証方法の割り当て
セカンダリ認証用に作成した外部認証方法を割り当てます。
- [ユーザー]を選択し、外部認証方法を割り当てたいユーザーをクリックします。
- 選択したユーザーの左ペインから[認証方法]をクリックします。
- [認証方法の追加]タブをクリックします。
- 認証方法の追加画面が表示されますので、方法の選択のメニューを開き「外部MFA」をクリックします。
- 「5.4 ターゲットリソースの登録」でターゲット一覧が表示されますので、作成したターゲットを選択し[追加]ボタンをクリックします。
| No. | 項目名 | 設定 |
| 1 | 名前 | 任意の名前 |
| 2 | ユーザーまたはエージェント(プレビュー) | ユーザーとグループの選択 「ユーザーとグループ」にチェックし、対象のグループを選択 |
| 3 | ターゲットリソース | すべてのリソース |
| 4 | アクセス制御 | 許可 「アクセス権の付与」にチェック 「多要素認証を要求する」にチェック |
| 5 | ポリシーの有効化 | オン |
以上で Microsoft Entra IDへの設定は終了となります。
[注意]
各種設定時にエラーが発生した場合、監査ログの内容からエラー概要をご確認いただくことを推奨いたします。
左ペインから[監視と正常性]をクリックし、展開されたリストから[監査ログ]をクリックします。
ログの詳細につきましては、Microsoftサポートへお問い合わせください(当社側での改善が難しい場合があります)。
6 動作確認
Microsoft Teamsにアクセスし、Bridge M365を使用したセカンダリ認証の動作確認を行います。
6.1 Microsoft Teamsへのアクセス
Microsoft Teamsのログイン画面にアクセスします。
URL:https://www.microsoft.com/ja-jp/microsoft-teams/log-in
6.2 Microsoft Teamsへのログイン
Microsoft Teamsでプライマリ認証(Microsoftパスワード)からセカンダリ認証(Bridge M365)を経てログインします。
- [サインイン]ボタンをクリックします。
- 認証画面へ遷移しますので、Microsoft Entra IDに登録されているユーザーID(メールアドレス)を入力し[次へ]ボタンをクリックします。
- パスワードの入力画面が表示されますので、まずは Microsoft Entra IDに登録したユーザーのパスワードを入力し[サインイン]ボタンをクリックします。
- 最初の認証が成功すると「IDを確認する」画面に遷移し、ターゲットリソースで作成したターゲット名が表示されていますのでクリックします。
- 画面がPassLogicの認証画面にリダイレクトされますので、PassLogic側で登録したユーザーのパターンを入力し[ログイン]ボタンをクリックします。
- 認証が成功すると、再度Microsoft Teamsにリダイレクトされアプリケーションツール画面が表示されます。
6.3 PassLogicクラウド版でのログ確認
PassLogic クラウド版にMicrosoft Teamsからアクセスがあり認証が成功すると、PassLogic クラウド版の[ログ管理]では以下のようなログが出力されます。
| No. | code | message | user agent |
| 1 | 51400 | Policy settings obtained. | ユーザーに紐づけられたポリシーを読み込み |
| 2 | 52400 | Random number table generated. | ポリシーに設定されている認証方式から乱数表を作成 |
| 3 | 54401 | PassLogic Windows Authentication succeeded. | ユーザー認証成功 |
7 注意事項
7.1 PassLogic Authenticator利用時の注意点
PassLogic Authenticator認証方式ポリシーを使用するユーザーについては、ユーザー作成時にポリシーでPassLogic Authenticator認証方式を選択し、PassLogic Authenticatorアプリをご使用ください。
PassLogic Authenticatorアプリのダウンロード用URLは下記の通りです。
・iOS版 PassLogic Authenticator
https://itunes.apple.com/jp/app/id1167322433?mt=8
・Android 版 PassLogic Authenticator
https://play.google.com/store/apps/details?id=com.passlogy.passclip.local
PassLogic AuthenticatorアプリのヘルプページURLは下記の通りです。
初回利用開始の案内メール等でご活用ください。
なお、同一の内容がアプリ内から閲覧可能です。
https://www.passclip.com/ja/help_for_passclip_l
ポリシー設定画面にて運用中のポリシーの認証方式を変更する場合、あるいはユーザー設定画面でポリシーを認証方式の異なるものに変更する場合は、パターンのリセットやPassLogic Authenticatorの再設定をお願いします。
7.2 ハードウェアトークン利用時の注意点
ハードウェアトークンは、別途ご購入いただく必要がございますのでご注意ください。
TOTP認証方式ポリシーを使用するユーザーについては、事前にハードウェアトークンの登録をPassLogic側に済ませておく必要があります。
