［Microsoft 365］対象アプリケーションへSSO時の多要素認証にGluegent Gate を設定する方法

概要

Microsoft社が Azure Portalなど対象のアプリケーションに対し、多要素認証（以下、MFA）の必須化を順次開始しています。
この影響を受け、Gluegent Gateで多要素認証した後に、Microsoft社側で多要素認証が求められる場合があります。

情報：
Azureやその他の管理ポータルにおける多要素認証の義務化の計画

そのため、Gluegent Gate の2025年1月22日のリリースで、Gluegent Gate で行った多要素認証の情報を引き渡し、Microsoft側で多要素認証を不要とする機能をリリースしました。

Gluegent Gate では以下2点の設定が可能です。

1. Gluegent Gate のMFA に定義されている認証を使用した場合、Gluegent GateでMFA を行ったことを示す情報（claims）をMicrosoft 365 へ渡す事により、Microsoft 365 で多要素認証を表示させないよう対応しました。
2. Gluegent Gate でMFA 未実施の場合に、Microsoft 365 側でMFA を要求するよう対応しました。
   ※Gluegent Gate と初回連携設定時、プロパティ「FederatedIdpMfaBehavior」を「acceptIfMfaDoneByFederatedIdp」に設定します。

■対象のアプリケーション

• Azure portal
• Microsoft Entra 管理センター
• Microsoft Intune 管理センター
• Microsoft 365 管理センター
• Azure Mobile App
• コードとしてのインフラストラクチャ (IaC) ツール

Gluegent Gate を使用した認証におけるMFA の設定

認証ルールとアクセス権限に認証方式を計2つ以上含める必要があります。

設定例：

• 認証ルール
  認証方式：ID/パスワード認証
  
• アクセス権限
  アクセス先のサービス：Microsoft 365
  要求される認証方式：ワンタイムパスワード（トークン）
  

プロパティ「acceptIfMfaDoneByFederatedIdp」への設定方法

プロパティ「FederatedIdpMfaBehavior」の値

1. Azure AD へ接続するため、PowerShell にて下記コマンドを実行します。
   

   Connect-MgGraph -scopes "Domain.ReadWrite.All"

   アクセス許可を要求する画面が表示された場合は、「承諾」をクリックします。
2. ポップアップが表示されるため、Azure AD 管理者アカウントでサインインします。
   
3. プロパティ「FederatedIdpMfaBehavior」の値を確認します。

   Get-MgDomainFederationConfiguration -DomainId <ドメイン> | Select -Property FederatedIdpMfaBehavior

4. 「FederatedIdpMfaBehavior」の値が「acceptlfMfaDoneByFederatedIdp」ではない場合、以下のコマンドを実行します。
   

   Update-MgDomainFederationConfiguration -DomainId <ドメイン> -InternalDomainFederationId (Get-MgDomainFederationConfiguration -DomainId <ドメイン> | Select -Property Id).id -FederatedIdpMfaBehavior acceptIfMfaDoneByFederatedIdp

接続方法の詳細については、「Microsoft Graph PowerShell を使用して接続する」をご参照ください。
恐れ入りますが、弊社製品以外に関するお問い合わせにつきましては、該当のサービスまたは製品の提供元へご連絡いただきますようお願い申し上げます。