Microsoft 365 を任意の IdP (例: Google Workspace, Okta) を利用してログインするように構成できます。
制限事項
-
IdP 経由でログインする設定はドメイン単位で行います。
-
当該ドメインのユーザにはパスワードが作成されないため、Azure AD Join のログインやリモートデスクトップ、AADDSなどのパスワード(ハッシュ)を利用したサービスは利用できません。
-
設定には PowerShell の知識が必要です。
設定手順
新規設定
-
Microsoft Graph モジュールをインストールします
Install-Module Microsoft.Graph
-
資格情報を取得します
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Domain.ReadWrite.All"
-
SSO に必要な情報を登録します。
New-MgDomainFederationConfiguration `
-DomainId example.com `
-DisplayName example.com `
-IssuerUri https://accounts.google.com/o/saml2?idpid=XXXXXX `
-PreferredAuthenticationProtocol "SAMLP" `
-ActiveSignInUri https://accounts.google.com/o/saml2/idp?idpid=XXXXXX `
-SigningCertificate MIIDabcd........7890abfd `
-PassiveSignInUri https://accounts.google.com/o/saml2/idp?idpid=XXXXXX `
-SignOutUri https://accounts.google.com/o/saml2/idp?idpid=XXXXXX
証明書の更新
-
資格情報を取得します
Connect-MgGraph -Scopes "Directory.AccessAsUser.All", "Domain.ReadWrite.All"
-
ドメインの一覧を取得します
Get-MgDomain
-
前述の結果からドメインID (ドメイン名) を確認し、詳細情報を取得します
Get-MgDomainFederationConfiguration -DomainId example.com | fl
-
新しい証明書を登録します
Update-MgDomainFederationConfiguration `
-DomainId example.com `
-InternalDomainFederationId '12345678-90ab-cdef-1234-567890abcdef' `
-SigningCertificate MIIDabcd........7890abfd