Microsoft 365のModern authenticationに対応したEASプロファイルを作成する

野茨の仲間(2024年5月31日撮影)
親族宅に咲いていたバラの仲間の花です。6月はバラがきれいに咲く季節だそうです。
数あるジューンブライドの由来の一つとして、きれいに咲いたバラに囲まれた花嫁は幸せになると考えられていた、
というのをどこかで聞いたことがあるのですが、日本で品種改良されたバラの中にはジューンブライドという名前のバラがあるそうです。

 ●Modern authentication (OAuth 2.0 token-based authorization)ってなんだ?

Microsoft 365では、2021年、基本認証が提供されなくなりました。

基本認証はユーザー名と、クレデンシャル情報であるパスワードの単一要素のみを用いてユーザーを認証する認証方式のことをさしています。
基本認証は多要素認証に比べて脆弱なため、Microsoft 365では基本認証を廃止して、「Modern authentication (OAuth 2.0 token-based authorization)」が提供されています。
以下Microsoftの公式ページの説明によると、一度Entra IDによる認証が成功し、認可されたアプリに対して、Entra IDからアプリに認可したことを示す期限付きのトークンを発行することにより、ユーザー名/パスワードがネットワークでやり取りされる回数を減らすことができます。また、発行されるトークンはアプリごとに固有のものであるため、仮にトークンが盗まれたとしても悪意ある攻撃者が利用することはできません。

参考:What we are changing

This decision requires customers to move from apps that use basic authentication to apps that use Modern authentication. 
Modern authentication (OAuth 2.0 token-based authorization) has many benefits and improvements that help mitigate the issues in basic authentication. 
For example, OAuth access tokens have a limited usable lifetime, and are specific to the applications and resources for which they are issued, so they cannot be reused. 
Enabling and enforcing multifactor authentication (MFA) is also simple with Modern authentication.

●ユーザー側は何が変わるの?

2021年以降、すでにMicrosoft 365を使ったことがある多くの人が、Microsoft 365で認証を行うアプリを使用する際に、Microsoft 365の画面に遷移し、認可する権限の確認画面や電話番号やSMSなどの二段階認証を行う画面を見たことがあるかと思います。

基本認証の時はそんな画面は表示されず、我々がアプリ側にユーザー名とパスワードを入力し、それらが正確であればログインできましたが、Modern authentication (OAuth 2.0 token-based authorization)を使うと、Microsoft 365の画面に遷移します。

●Workspace ONEとなんの関係があるの?

Workspace ONEにはBoxerというEメールアプリがあります。もしあなたがBoxerアプリを使用する場合は、トグル一つでModern authentication (OAuth 2.0 token-based authorization)に対応することができます。
あなたのBoxerの配信において、割り当てを行う際に、AuthenticationメニューにてModern authenticationを許可すればOKです。

●Boxerを使わないときはどうするの?

もちろん、すべての組織がBoxerを使うわけではないことを私たちは知っています。
もしわれわれが使うアプリがMicrosoft Outlookアプリであれば、問題なくModern authenticationに対応していることは想像に難くありません。
ただ、ユーザーが使うiOSやAndroidのネイティブのEメールアプリで、Exchange ActiveSyncプロファイルでEメールの設定を行うときはどのようにすればよいでしょうか。その場合でも、Workspace ONE UEMの中に用意されたUIでは、OAuthを有効化するための設定項目があります。
Boxerの設定画面と異なる点として、OAuth Sign In URLとOAuth Token URLを以下のように指定する必要があります。

  • OAuth Sign In URL
    https://login.microsoftonline.com/{Entra IDテナントID}/oauth2/v2.0/authorize
  • OAuth Token URL
    https://login.microsoftonline.com/{Entra IDテナントID}/oauth2/v2.0/token

例えば、あなたの使用しているEntra IDのテナントIDがxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxであった場合、以下のようなURLを埋める必要があります。

  • OAuth Sign In URL
    https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/authorize
  • OAuth Token URL
    https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/oauth2/v2.0/token
実際に私の環境で設定したiOSのEASプロファイルは、以下の画面のような設定としました。
※もしあなたの環境で同様の設定を行う場合、Contects,Email,Calendarのどれを使用するかは、必要に応じて設定を変えることができます。



Microsoftの公式サイトではOAuth Sign In URLを「Authorization endpoint」、OAuth Token URLを「Token endpoint」と称して記載しているようです。

参考:Endpoints

おわり

このブログの人気の投稿

●久々にESXiのカスタムISOをつくってみた

ブログのタイトルに仮想化という言葉がはいっているのですが、ここ2-3年ESXiなどにちゃんと触れていないことに気づき、後ろめたい気持ちがあったので、久々に仮想化について記載いたします。 今回は自作PCをくみ上げ、ESXi 6.7をインストールしてみました。 ※7じゃなくて6.7な理由は、自作パソコンをくみ上げた後にオンボードnicがRealtekさんだったことに気づいたためです。 ESXi 6.7までは有志の方が作ったRealtekのドライバを使うことができたようなのですが、7では使えないらしく、泣く泣くこの選択になりました。。。 参考: Homelab considerations for vSphere 7 そのため、インストールではなく、カスタムイメージの作成から始まります。 ※というかインストールはいろんな人がすでにブログで書いており、現状ほぼ自分も迷わないので、忘備録としてカスタムISOの作成だけを記載します。。汗 普段Workspace ONEに触れている私は、ESXiのカスタムイメージを作成する機会が滅多になく、作成のたびに2時間程度調べて格闘しなければいけなかったので、この機会に忘備録として記載してしまいます。。 なお、必要なイメージやVIBなどは以下を利用しました。 Net55-r8168 - V-Front VIBSDepot Wiki VMware vSphere Hypervisor (ESXi) 6.7U3b(オフラインバンドル) 手順は主に以下を参考にしました。 Using vSphere ESXi Image Builder to create an installable ISO that is not vulnerable to Heartbleed Using the vSphere ESXi Image Builder CLI ●ESXiのカスタムイメージ作成をやる前に、概念をぼんやり思い出そう 今回のESXiカスタムイメージ作成では、以下二つの概念が出てきます。 ソフトウェアデポ これはVIBなどのソフトウェアモジュールをプールしたモノのようです。ESXiのオフラインバンドルや拡張VIBモジュールのzipを入手したら、Add-EsxSoftwareDepotコマンドレットを使用して、とりあえずソフトウェアデポに追加していきます
Read more »

■Workspace ONE UEM API Explorerについて

イメージ
この投稿は、 vExperts Advent Calendar 2019 - Adventar の 12日目の記事 です。 今年初めて vExperts Advent Calendar に参加させていただきます。どうぞ宜しくお願い致します。 今回の記事のテーマは、 「Workspace ONE UEM(以下UEM)の持つREST APIの動作確認をしてみること」 です。 VMware製品の持つAPIの多くは、以下のページでどのようなものがあるかを確認することが可能です。 VMware API Explorer ただ、 UEM のAPI については上記ページに記載はなく、UEMホストそのものに同様のページが設けられています。具体的には各UEMホストの、以下のURLに準備されています。 https://<UEMのFQDN>/api/help/#!/apis ※2020/9/25 追記:確認する範囲では <UEMのFQDN>でもAPI Explorerにはアクセス可能ですが、 多くのSaaS共有環境では、API のURLは普段管理コンソールとして利用するcnXXX.awmdm.comの先頭二文字のcnをasに入れ替えた値となります(API ExplorerのFQDNも本来はこちらになります)。 UAGなどでTunnelやContent Gatewayなどの構成要件として APIとの通信が必要な 場合は、 <UEMのFQDN>ではなく、 asXXX.awmdm.comなどのような、API用URL をご確認の上、通信を許可してください。なお 管理者権限にもよりますが、 API用URLについては SaaS共有環境であれば[グループと設定]>[すべての設定]>[システム]>[高度な設定]>[サイトURL]で確認可能です(2020/9/25時点)。    REST API用のURLの確認画面。 ※画像はConsole Administrator権限で確認した際のもの 上記URLにアクセスすると、 Workspace ONE UEM API Explorer が表示されます。 REST APIの動作確認というと、 postmanなどのREST Clientをインストール したり、 FireFoxやChrome
Read more »

■Microsoft Graph PowerShellモジュールでMicrosoft 365の認証をWorkspace ONE Accessにフェデレーションする

イメージ
耐寒マツバギク(2024/5/18撮影) タンポポに似て、円形に細い花弁を持っていることや、その名前からキクの仲間と思ったところ、調べてみると違う植物の仲間だそうです。 マツバギクという名称なのでなんとなくアジア原産かと思っていたら、南アフリカ原産でした。 New-MgDomainFederationConfiguration コマンドというコマンドがあるそうです。 以下URLを見てみると、 前回のブログエントリ で使用した Set-MsolDomainAuthentication コマンドの後継コマンドだそうです。 Find Azure AD PowerShell and MSOnline cmdlets in Microsoft Graph PowerShell 今回は、New-MgDomainFederationConfiguration コマンドを使用してMicrosoft 365の認証をWorkspace ONE Accessに委任しました。 本ブログエントリは2024年5月18日時点で筆者が確認できた情報をもとに作成しております。本ブログエントリを参考に同様の手順を実行する場合、その時々の各製品、サービスの提供元の公式情報をご確認ください。 ■目次 Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Microsoft 365に接続 Microsoft 365に存在するドメインのリスト表示 New-MgDomainFederationConfiguration コマンドによるフェデレーション設定 ログイン確認 その他躓いたこと ①Microsoft.Graph.Identity.DirectoryManagement モジュールのインストール Set-MsolDomainAuthentication コマンドは MSOnline というモジュールの中のコマンドですが、New-MgDomainFederationConfiguration コマンドは別の Microsoft.Graph.Identity.DirectoryManagement モジュールに含まれたコマンドのようです。 以下のコマンドでモジュールをインストールしました。 Install-Module -Name Microso
Read more »