━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
SeciossLinkをご利用のお客様へ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<対象のお客様>
SeciossLinkでMicrosoft365とのID同期を実施いただいているお客様が対象となります。
対象のお客様は必ずご一読ください。
平素よりSeciossLinkをご利用頂きまして、誠にありがとうございます。
2022年12月21日に実施予定のリリース文面にてお知らせした
"■Microsoft365連携設定での必要な権限の追加" の件につきまして、
下記の通りご連絡いたします。
この度は本件に関する詳細情報の通知が遅くなってしまい、誠に申し訳ございません。
また、本リリースの実施は来年2023年1月30日に変更となりました。
急なお願いとなって大変恐縮ですが、以下の詳細をご確認いただき、
2023年1月30日までに作業を実施いただきますよう、お願いいたします。
<本変更が必要となる理由について>
当初、Microsoft社よりPowerShellの"MSOnline"のコマンドレットを廃止するアナウンスを受け、
SeciossLinkのMicrosoft365側へのID同期をMicrosoft社より推奨されている"Microsoft Graph API"へ移行いたします。
"Microsoft Graph API"への移行に伴い、AzureAD側に作成しているアプリケーションにて
必要な権限が変更となりましたので、現在ご契約中の皆様には2023年1月30日のリリースの前に
ご案内する手順にて現在の運用に影響が発生しないようにご対応いただく必要がございます。
MSOnlineの廃止に関しては、以下のURLをご参考ください。
https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/azure-ad-change-management-simplified/ba-p/2967456
https://jpazureid.github.io/blog/azure-active-directory/Microsoft-Entra-change-announcements-September-2022-train/
<本作業に関する影響範囲について>
ご案内する手順を実施いただく過程においてユーザーのシングルサインオンに影響はございません。
リリース前に設定していただいた場合でも、リリース前後においてMicrosoft 365のID同期に関する
影響はございませんのでお早めにご対応頂けますと幸いです。
ただし、グループ同期など一部の定期処理においては設定作業のタイミングと重なって
一時的にエラーとなる可能性がございますが、次回移行の定期処理にて同期されますのでご安心ください。
なお、2023年1月30日までに本作業を実施していなかった場合、
2023年1月30日のリリース後にID同期が正常に動作しなくなる可能性がございます。
また、シングルサインオンが有効中の状態のままでしたら、前述の通り影響はございませんが、
何かしらの理由で無効、または有効に切り替える場合におきましては、
設定保存時にエラーとなって切り替えが出来ない可能性がございます。
<設定変更手順について>
以下の手順を実施してください。
-----------
1.AzureADへのログイン
手順2.にてアクセス許可を与える必要があるため、
グローバル管理者のロールが割り当てられたアカウントでログインをお願いします。
https://portal.azure.com/
2.「委任されたアクセス許可」の追加設定
以下のオンラインマニュアル内の"■Microsoft Graph の追加"で
説明させていただいている手順を「委任されたアクセス許可」でも同様に実施します。
現在設定されている「アプリケーションの許可」につきましては、
2023年1月30日のリリース以降は不要となりますが、そのまま設定されていても動作に影響はございません。
また、Exchange.ManageAsAppにつきましては「アプリケーションの許可」のままとなりますので
変更は不要となります。「委任されたアクセス許可」の追加設定をしても、動作に影響はございません。
今回追加で設定していただく"Directory.AccessAsUser.All"も含めると、
設定する項目は以下の通りとなります。
------
Application.ReadWrite.All
Directory.AccessAsUser.Al
Directory.ReadWrite.All
Domain.ReadWrite.All
Group.ReadWrite.All
GroupMember.ReadWrite.All
Member.Read.Hidden
Organization.ReadWrite.All
Policy.Read.All
RoleManagement.ReadWrite.Directory
User.ReadWrite.All
------
3.AzureADで作成したアプリケーションのクライアントシークレットの"値"を取得
※現在SeciossLinkにて設定しているクライアントシークレットの"値"を控えている場合は以下の手順は不要となります。
クライアントシークレットの"値"を控えていない場合には新規で作成する必要があるため、
以下のマニュアルの ■証明書/クライアントシークレットの登録 > C の手順で
クライアントシークレットの"値"を取得します。
4.SeciossLinkでトークンの再取得
シークレットウィンドウなどCookieがクリアされたブラウザ(Microsoft 365アカウントがログオフしている状態)にて、
手順3.で取得したクライアントシークレットの"値"を以下のマニュアルの「クライアントシークレット」に入力し、
「トークン取得」を実行します。
https://seciosslink.com/manual/office365%e2%80%97domain
5.Microsft 365のログイン画面が表示されるので、グローバル管理者のロールが割り当てられたアカウントでログインします。
6."取得済み"が表示されていることが確認し、Microsoft365設定を保存します。
-----------
本件に関してご不明な点がありましたら、弊社サポート窓口までお問い合わせいただきますよう、お願いいたします。
support@secioss.co.jp
また、当作業が完了したお客様は、上記窓口までご一報いただけますと幸いです。
この度は弊社の都合で大変お手数をおかけすることになり大変恐縮ですが、
ご対応いただきますよう、何卒宜しくお願いいたします。