How To
Summary
Microsoft社の基本認証非推奨化に伴い必要となる基本認証から先進(モダン)認証への移行のうち、Cloud Extender 上で構成する Eメール通知モジュール の設定についてご説明します。
Objective
当文書では以下の設定について説明します。
- Eメール通知モジュール
Environment
先進認証に対応するためには、Cloud Extender バージョン 2.102 以降が必要です。
Steps
目次
- セットアップ:Exchange管理者に必要な権限と対応
- Azure AD管理ポータルへのアプリケーションの登録
- Eメール通知モジュールの構成
1.セットアップ:Exchange管理者に必要な権限と対応
1-1. Exchange管理者が『Impersonation(偽装権限)』を持っていること
Office 365の場合、リスナー・アカウントにアプリケーションの偽装権限を割り当てる必要があります。これらの権限を付与するには、Office365 Exchange 管理センターで以下の手順を実施します。
Office 365の場合、リスナー・アカウントにアプリケーションの偽装権限を割り当てる必要があります。これらの権限を付与するには、Office365 Exchange 管理センターで以下の手順を実施します。
(注:「従来の Exchange 管理センター」で表示した場合のメニュー項目でご説明しております。)
- アクセス許可 > 管理者の役割 > Discovery Management に進む。
- Discovery Management をダブルクリックで編集画面に進む。
- 「役割」セクションでプラス記号(+)をクリック。
- 「ApplicationImpersonation」を選択し「追加 ->」。
- 「メンバー」セクションに Cloud Extender によって使用されるすべてのリスナーアカウントを追加。
1-2. Global Admin が Azure Active Directory へのアクセス権限を持っていること。
1-3. Microsoft Office365 で先進認証設定が有効になっていること。
1-4. 登録済みアプリケーションに対する管理者の同意(Administrator consent )が実施されていること。(次項参考)
2.Azure AD管理ポータルへのアプリケーションの登録
Azure AD管理ポータルにアプリケーションを作成し、必要な設定と構成を行います。
<アプリケーションの作成>
- Microsoft Azure ポータルにサインイン。
- 左上のナビゲーションから Azure Active Directory に進み「アプリの登録」をクリック。
- 「新規登録」をクリック。
- 「アプリケーションの登録」画面で、「名前」には任意の名前を入力。
「サポートされているアカウントの種類」が「この組織ディレクトリのみに含まれるアカウント ({テナント名} のみ - シングル テナント)」であることを確認。
リダイレクト URI (省略可能)」では「パブリック クライアント/ネイティブ (モバイルとデスクトップ)」を選択し urn:ietf:wg:oauth:2.0:oob を入力。 - 「登録」をクリック。
参考動画1:アプリケーションの作成 https://vimeo.com/677832872
<作成したアプリケーションの設定変更と許可の追加>
- 左側の「ナビゲーション」ペインで、「認証」に進み、最下部の「詳細設定」以下「次のモバイルとデスクトップのフローを有効にする」を「はい」に変更し、最下部の「保存」をクリック。
- 左側の「ナビゲーション」ペインで、「API の権限」をクリックして、以下の許可を追加します。
・「委任されたアクセス許可」を選択し、「EWS」以下「EWS.AccessAsUser.All」
・「アプリケーションの許可」を選択し、「その他のアクセス許可」以下「full_accss_as_app」
・最後に「[テナント名]に管理者の同意を与えます」をクリック。(英語:Grant admin consent for [テナント名]))
重要:「管理者の同意」は、管理者が作成したアプリをユーザーが使用できるようにするための必須作業となります。
詳しくは下記Microsoft社のページをご参考ください。
参考:Microsoft社ページ「Microsoft ID プラットフォームでのアクセス許可と同意」
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-permissions-and-consent
詳しくは下記Microsoft社のページをご参考ください。
参考:Microsoft社ページ「Microsoft ID プラットフォームでのアクセス許可と同意」
https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-permissions-and-consent
参考動画2:権限の追加 https://vimeo.com/677835412
3.Eメール通知モジュールの構成
Eメール通知モジュールを構成済みの場合は、3-3 から作業を行ってください。
3-1. (未構成の場合のみ)MaaS360管理ポータルで、Eメール通知モジュールのサービスを有効化します。
MaaS360管理ポータル >> セットアップ > サービス で「セキュア・メール」セクションの詳細を表示し「セキュア・メールの E メール通知」にチェックを入れます。
3-2. (未構成の場合のみ)CE構成ツール上で、Eメール通知モジュールを有効化します。
3-3. 「基本認証またはモダン認証」で「モダン認証」(先進認証)を選択後、手順 2 で Azure AD管理ポータルに作成したアプリケーションのテナント ID、クライアント ID を入力します。
※テナント ID、クライアント ID は、以下の手順で確認できます。
- Microsoft Azure ポータルにサインイン。
- 左上のナビゲーションから Azure Active Directory に進み「アプリの登録」をクリック。
- 手順2で作成したアプリケーションを選択。
- 左側の「ナビゲーション」ペインで、「概要」をクリック。
(表示名: 「アプリケーション (クライアント) ID」、「ディレクトリ (テナント) ID」)
3-4. Eメール通知モジュールの構成の最終画面でメール通知のテストを実施します。
構成作業は以上となります。
注:この文書は、英語で発信された弊社情報を翻訳した参考文書です。
日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連文書のリンクよりご参照ください。
日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連文書のリンクよりご参照ください。
Additional Information
最新認証とは?基本認証との違いは?
Office365 における「先進認証」は、認証と承認を組み合わせた方式で、組織のセキュリティを強化する方法を提供します。
パスワードベースの基本認証とは異なり、IDプロバイダー(Microsoft)が提供する OAuth 2.0トークンベースの認証を使用するため、より高い安全性を持っています。
Office365 における「先進認証」は、認証と承認を組み合わせた方式で、組織のセキュリティを強化する方法を提供します。
パスワードベースの基本認証とは異なり、IDプロバイダー(Microsoft)が提供する OAuth 2.0トークンベースの認証を使用するため、より高い安全性を持っています。
MaaS360側の先進認証対応
MaaS360 Cloud Extenderは、基本認証に加えて Office 365 Eメール通知モジュールの先進認証(OAuth2.0)をサポートするようになりました。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSYSXX","label":"IBM MaaS360"},"ARM Category":[{"code":"a8m0z000000070eAAA","label":"SETUP"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
22 June 2022
UID
ibm16590943