IBM Support

MaaS360環境での先進認証セットアップについて (Exchange Onlineメール設定、Sharepoint/OneDriveアクセス設定)

How To


Summary

Microsoft社の基本認証非推奨化に伴い必要となる、基本認証から先進認証への移行についてご説明します。

Objective

当文書では以下の設定についてご説明します。
  • Exchange Online の電子メールアクセス
  • クラウドベースのSharePointおよびOneDriveアクセス
以下の情報については続報をお待ちください。
  • デバイス登録時の先進認証
  • PINのリセット
  • エンドユーザーポータル
  • MaaS360 文書

Steps

目次
  1. 現在基本認証を使用しているか確認する方法
  2. MaaS360セキュア・メールおよびMaaS360文書での先進認証構成
  3. MDMポリシーを使用した OS標準メーラーでの先進認証構成

1.現在基本認証を使用しているか確認する方法

注:基本認証を使用中である可能性がある MaaS360既存のお客様向けの項目となります。
これから MaaS360 をご利用のお客様は当項目をスキップし、先進認証の設定項目までお進みください。

通常、アプリが表示する認証画面でユーザー名とパスワードの入力が求められる場合、基本認証を使用していると判断できます。

先進認証を使用している場合は、IDP(IDプロバイダー)の外部ログイン画面にリダイレクトされます。
1-1. 基本認証を使用した電子メール使用を行っている場合の設定
セキュリティ・ポリシー内に、以下に示した設定値のいずれかが適用されているデバイスでは、基本認証を使用します。
 
  • iOS MDM ポリシーの ActiveSync 設定で、[OAuth 認証を有効にする]が[いいえ]に設定されています
iOSMDMMod_Policy.png
  • Android MDM ポリシーの ActiveSync 設定で、認証モードが[基本]に設定されています
androidMDMBasicAuth.png
  • WorkPlace ペルソナ・ポリシーの Eメール設定で、[SSOを有効にする]が[いいえ]に設定されています
Secure Mail Basic Auth.png

いずれの場合でも、ユーザーはアプリの要求する資格情報を入力します。
MDMポリシーを使用したメール構成の場合、iOS、Androidそれぞれ標準のメーラーでは、メールアカウント構成時にユーザー名とパスワードの入力が求められます。セキュア・メールを使用する場合、セキュア・メール用アプリの構成時に資格情報の入力が求められます。
1-2. 基本認証を使用してMaaS360セキュア・コンテナの文書アプリを使用した Sharepoint および OneDrive へのアクセスを行っている場合
  • WorkPlace ペルソナ・ポリシーで、[SSOを有効にする] が [いいえ] に設定されています
  • ユーザーはMaaS360文書アプリで資格情報の入力を求められます。セキュア・メール、SharePoint、および OneDrive 間で SSOは実現できません。
2.MaaS360セキュア・メールおよびMaaS360文書での先進認証構成

この項目では、先進認証を使用し MaaS360 セキュア・メールを使用した Exchange Online のメールへのアクセスと、クラウド・ベースの Sharepoint およびOneDrive にアクセスするために必要な構成について説明します。

MaaS360セキュア・メールでメールと、文書アプリで Sharepoint および OneDrive を使用している場合、MaaS360ペルソナ・ポリシーのEメール設定で先進認証を有効にすると、MaaS360コンテナ・アプリを使用すると、3つのサービス間でSSOが有効になります。

2-1. セキュア・メールへのアクセス、Exchange Onlineと、メール、Sharepoint、OneDrive アクセスのSSO構成
MaaS360セキュア・メールは 構成にWorkPlace ペルソナ・ポリシーを使用します。
既存の WorkPlace ペルソナ・ポリシー を編集することもできますが、すべてのユーザーに変更を展開する前に、テスト用のポリシーとグループを作成・使用し、すべての動作が正しく機能することを事前確認することを強く推奨します。
以下のリンク先文書を参考に、設定を構成してください。
  1.  MaaS360アプリを Azure ADテナントに登録
    https://www.ibm.com/docs/ja/maas360?topic=authentication-registering-maas360-app-in-azure-ad-tenant
    補足1:手順10で「Azure Rights Management Services」や「Sharepoint」に権限を追加していますが、先進認証の使用とSSO構成のみが目的の場合、あるいはご利用のテナントで AD RMS や Sharepoint のご利用がない場合、権限を追加する必要はありません。
    補足2:手順10で各種権限を追加した後は、「API のアクセス許可(API Permissions)」画面内にある「 [会社名] に管理者の同意を与えます(Grant admin consent for [会社名])」の表示をクリックし、「管理者の同意」を行ってください(図)。
    管理者の同意
    これは、管理者が作成したアプリをユーザーが使用できるようにするための必須作業となります。詳しくは下記Microsoft社のページをご参考ください。
    (参考:Microsoft社ページ「Microsoft ID プラットフォームでのアクセス許可と同意」
  2.  ペルソナ・ポリシーで先進認証を構成
    https://www.ibm.com/docs/ja/maas360?topic=sign-configuring-office-365-mail-single 
  3. (Sharepoint にアクセスして MaaS360文書を使用している場合)Sharepoint の SSO設定
    https://www.ibm.com/docs/ja/maas360?topic=sign-configuring-office-365-sharepoint-single
  4.  (OneDrive  にアクセスして MaaS360文書を使用している場合)OneDrive の SSO設定
    https://www.ibm.com/docs/ja/maas360?topic=sign-configuring-office-365-onedrive-single

2-2. ユーザー・エクスペリエンスの変化
基本認証から先進認証に切り替えた場合、ユーザーに表示される画面、操作が変化します。

基本認証を構成している場合、アプリの提供するログイン画面を使用します。
先進認証を構成するとユーザーはIDP(IDプロバイダ)のログイン画面にリダイレクトされ認証を求められます。(例:Azure AD、ADFS、Okta、Ping、IBMVerify など)
 
重要:基本認証を使用中に先進認証用のポリシーに切り替えた場合、先進認証を使用するためには既存のメール構成をリセットする必要があります。
以下いずれかの対応を実施ください。

・先進認証を使用するすべてのデバイスで、セレクティブ・ワイプとその取り消しを実施する。
(メールの再認証が求められるので、各ユーザーで認証を行う)
あるいは
・各ユーザーが MaaS360アプリ内、[メール、連絡先、カレンダー、タスク] で [アカウントのリセット] を実施し、メールアカウントを再構成する。

基本認証でのセキュア・メールへのログイン画面
SecureMailBasicAuth-Login.png

先進認証でのセキュア・メールへのログイン画面:
※Azure AD を使用した場合の例
SecureMail_ModerAuthLogin_container.png SecureMail_ModernAuthRedeirect.png SecureMail_ModerAuthMSLogIn.png
セキュア・メール、Sharepoint  あるいは OneDrive で の SSO 有効化をしていない場合、ユーザーはセキュア・メールにログインしてから Sharepoint  あるいは OneDrive にログインする必要があります。SSO を有効化した場合、ユーザーは一度のみログインを行えばよくなります。
※Sharepointへのアクセス時に表示されるプロンプトの例
SharePointSignin_BasicAuth.png

3.MDMポリシーを使用した OS標準メーラーでの先進認証構成
3-1 OS標準のメーラーに 先進認証設定を行う方法
iOS の場合
以下のポリシー設定を行います。
設定: iOS MDMポリシー >> デバイス設定 > ActiveSync > ActiveSync > OAuth 認証を有効にする (はい)
このとき、 Exchange Online へのアクセス時には不要となるため [Oauth サインイン URL] と [Oauth トークン要求 URL] は空欄にします。
iOSMDMModAuth.png

Android の場合
以下のポリシー設定を行います。

設定:Android MDMポリシー >> Android Enterprise 設定 以下、
  • ActiveSync > ActiveSync > 認証モード(モダン)
  • アプリ・コンプライアンス > 許可されるシステム・アプリケーションの構成 > Google Chrome/Samsung ブラウザーを許可
  • ブラウザー > ブラウザー > ブラウザーの許可 (Chrome)
androidMDMBasicAuth_Policy.png
3-2. ユーザー・エクスペリエンスの変化

基本認証から先進認証に切り替えた場合、ユーザーに表示される画面、操作が変化します。
 
  • 基本認証では、OS標準のメーラー(iOS「メール」アプリ、Android「Gmail」アプリ)のログイン画面を使用します。
  • 先進認証を構成すると、ユーザーはIDP(IDプロバイダ)のログイン画面にリダイレクトされ、認証を求められるようになります。
注:MaaS360管理ポータルで Azure SSO 認証を有効化していた場合、Gmailアプリは ActiveSyncの認証設定を「基本」としていた場合でも、IDPへのリダイレクトを行うようになります。
参考: iOS 基本認証でのメール構成画面
iOSBasicMDMAuthLogin.png
参考: iOS 先進認証でのメール構成画面
「設定を編集」を選択すると、IDPページにリダイレクトされます。
iOSMDMModernauth.png
参考: Android Enterprise 基本認証でのメール構成画面
ポリシー設定が割り当てられた場合、企業設定を適用することを求めるプロンプトが表示されます。
次に ユーザーのメールアドレスがあらかじめ入力された状態で企業認証情報を求める画面が表示されます。
Enterpriseメールの構成画面に移動し「構成」を選択した場合、Gmail の画面に移動しパスワード入力を求められます。
AndroidCorporate Settings.jpeg AndroidConfigureEmailAccount.jpeg AndroidBasicMDMGmailLogin.jpeg
参考: Android Enterprise 先進認証でのメール構成画面
ポリシー設定が割り当てられた場合、企業設定を適用するかどうか、Android Enterprise メールの構成を行うかどうかのプロンプトが表示されます。
次にユーザー名があらかじめ入力された状態で企業認証情報を求める画面が表示されます。
「構成」を選択した場合、AADなどIDPログインページにリダイレクトされます。
注:Azure SSO 認証を有効化した場合、ユーザーは以後再認証を求められません。
AndroidCorporate Settings.jpeg AndroidConfigureEmailAccount.jpeg SecureMail_ModerAuthMSLogIn_filledin.png

Additional Information

基本認証と先進認証の違い
基本認証は、サービスへのアクセス要求が行われるたびに要求元のアプリケーションから送信されるユーザー名とパスワードを使用します。たとえば、サービスにはExchange Online、Salesforce、Boxなどがあります。ユーザー名、パスワードは通常、要求元のデバイス(ブラウザーなど)に保存されます。 

先進認証はモダン認証とも呼ばれるフェデレーションID管理を表す用語です。
先進認証では、これまでサービスに直接送信されていたユーザー名とパスワードの代わりに、IBM Verification、Microsoft Azure AD、Okta、PingなどのIDプロバイダー(IDP)によって生成されるトークンベースの要求を行います。
IDPは、要求元のユーザーあるいはデバイスを介して、トークンをサービスに送信します。
トークンはデバイスに保存されます。多要素認証(MFA)、パスワード入力なしのログイン、シングルサインオン(SSO)は、すべて先進認証によって実現されています。
その他のリソース
マイクロソフト社は以下のページでExchange Online向け基本認証の廃止に向けたアナウンスを行っています。
Basic Authentication and Exchange Online – September 2021 Update(英語)

MaaS360をご利用の既存のお客様で、現在 Microsoft Active Directory をご利用で Microsoft Azure AD への(部分的あるいは全面的な)移行をお考えの場合、下記の弊社ブログをご参考ください。
Migrating from On Premise AD to Azure AD with IBM MaaS360(英語)

MaaS360をご利用の既存のお客様で、オンプレミスのExchange をご利用で、Online に移行をお考えの場合、下記の弊社ブログをご参考ください。
Migrating to Office 365 with IBM MaaS360(英語)
原文:Setting up Modern Authentication for MaaS360 - Part1 (Mail Access)
当文書は弊社 IBM Security Community  にて公開された英文のブログを翻訳した参考文書です。翻訳元の文書は、関連文書のリンクよりご参照ください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSYSXX","label":"IBM MaaS360"},"ARM Category":[{"code":"a8m0z000000070eAAA","label":"SETUP"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
03 October 2022

UID

ibm16567463

Page Feedback