AzureADアクセス許可の追加設定のご案内

#お知らせ

#製品・サービス

schedule 2022/12/12 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SeciossLinkを利用お客様へ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

<対象お客様>
SeciossLinkでMicrosoft365とID同期を実施いただいているお客様が対象となります。
対象お客様は必ず一読ください。

 

平素よりSeciossLinkを利用頂きまして、誠にありがとうざいます。

 

2022年12月21日に実施予定リリース文面にてお知らせした
"■Microsoft365連携設定必要な権限追加件につきまして、
下記通り連絡いたします。

 

度は本件に関する詳細情報通知が遅くなってしまい、誠に申し訳ざいません。

また、本リリース実施は来年2023年1月30日に変更となりました

 

急なお願いとなって大変恐縮ですが、以下詳細を確認いただき、
2023年1月30日までに作業を実施いただきますよう、お願いいたします。

 

<本変更が必要となる理由について>
当初、Microsoft社よりPowerShell"MSOnline"コマンドレットを廃止するアナウンスを受け、
SeciossLinkMicrosoft365側へID同期をMicrosoft社より推奨されている"Microsoft Graph API"へ移行いたします。

"Microsoft Graph API"へ移行に伴い、AzureAD側に作成しているアプリケーションにて
必要な権限が変更となりましたで、現在契約中皆様には2023年1月30日リリース前に
案内する手順にて現在運用に影響が発生しないように対応いただく必要がざいます。

MSOnline廃止に関しては、以下URLを参考ください。
https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/azure-ad-change-management-simplified/ba-p/2967456
https://jpazureid.github.io/blog/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/

 

<本作業に関する影響範囲について>
案内する手順を実施いただく過程においてユーザーシングルサインオンに影響はざいません。

リリース前に設定していただいた場合でも、リリース前後においてMicrosoft 365ID同期に関する
影響はざいませんでお早めに対応頂けますと幸いです。

 

ただし、グループ同期など一部定期処理においては設定作業タイミングと重なって
一時的にエラーとなる可能性がざいますが、次回移行定期処理にて同期されます安心ください。

なお、2023年1月30日までに本作業を実施していなかった場合、
2023年1月30日リリース後にID同期が正常に動作しなくなる可能性がざいます。

 

また、シングルサインオンが有効中状態ままでしたら、前述通り影響はざいませんが、
何かしら理由で無効、または有効に切り替える場合におきましては、
設定保存時にエラーとなって切り替えが出来ない可能性がざいます。

 

<設定変更手順について>
以下手順を実施してください。
-----------
1.AzureADログイン
手順2.にてアクセス許可を与える必要があるため、
グローバル管理者ロールが割り当てられたアカウントでログインをお願いします。
https://portal.azure.com/

 

2.「委任されたアクセス許可追加設定
以下オンラインマニュアル内"■Microsoft Graph 追加"で
説明させていただいている手順を「委任されたアクセス許可でも同様に実施します。

現在設定されている「アプリケーション許可」につきましては、
2023年1月30日リリース以降は不要となりますが、まま設定されていても動作に影響はざいません。
また、Exchange.ManageAsAppにつきましては「アプリケーション許可ままとなります
変更は不要となります。「委任されたアクセス許可追加設定をしても、動作に影響はざいません。

https://seciosslink.com/manual/api%e3%81%ae%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e8%a8%b1%e5%8f%af-%e3%81%ae%e8%bf%bd%e5%8a%a0

今回追加設定していただく"Directory.AccessAsUser.All"も含めると、
設定する項目は以下通りとなります。
------
Application.ReadWrite.All
Directory.AccessAsUser.Al
Directory.ReadWrite.All
Domain.ReadWrite.All
Group.ReadWrite.All
GroupMember.ReadWrite.All
Member.Read.Hidden
Organization.ReadWrite.All
Policy.Read.All
RoleManagement.ReadWrite.Directory
User.ReadWrite.All
------

 

3.AzureADで作成したアプリケーションクライアントシークレット"値"を取得
現在SeciossLinkにて設定しているクライアントシークレット"値"を控えている場合は以下手順は不要となります。

クライアントシークレット"値"を控えていない場合には新規で作成する必要があるため、
以下マニュアル ■証明書/クライアントシークレット登録 > C 手順で
クライアントシークレット"値"を取得します。

https://seciosslink.com/manual/%e3%82%a2%e3%83%97%e3%83%aa%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3%e3%81%ae%e7%99%bb%e9%8c%b2

 

4.SeciossLinkでトークン再取得
シークレットウィンドウなどCookieがクリアされたブラウザ(Microsoft 365アカウントがログオフしている状態)にて、
手順3.で取得したクライアントシークレット"値"を以下マニュアル「クライアントシークレット」に入力し、
「トークン取得」を実行します。

https://seciosslink.com/manual/office365%e2%80%97domain

 

5.Microsft 365ログイン画面が表示されるで、グローバル管理者ロールが割り当てられたアカウントでログインします。

 

6."取得済み"が表示されていることが確認し、Microsoft365設定を保存します。

-----------

 

本件に関して不明な点がありましたら、弊社サポート窓口までお問い合わせいただきますよう、お願いいたします。
support@secioss.co.jp

 

また、当作業が完了したお客様は、上記窓口まで一報いただけますと幸いです。

度は弊社都合で大変お手数をおかけすることになり大変恐縮ですが、
対応いただきますよう、何卒宜しくお願いいたします。