対象: 新Office365 Office 365 Enterprise, Office 365 Business, Office 365 Education
(この記事は 2014 年 11 月 12 日に Office Blogs に投稿された記事 Office 2013 updated authentication enabling Multi-Factor Authentication and SAML identity providersの翻訳です。最新情報については、翻訳元の記事をご参照ください。)
編集メモ:
プレビュー版の多要素認証に関する補足説明を追加するため、「よく寄せられる質問」のセクションを更新しました。
今月の後半に、Office 2013 Windows クライアント アプリケーションの更新プログラムがリリースされます。これにより、多要素認証 (MFA) のサポートを含む、新しい認証フローが利用可能になります。この新しい認証フローは、Active Directory Authentication Library (ADAL、英語)によって実行されます。既定では、ADAL ベースの認証に関する更新は Office 2013 クライアントのすべてのユーザーに対して無効になっており、引き続き、Microsoft Online Services サインイン アシスタントを使用した以前のサインイン認証スタックが使用されます。新しい認証機能は、2014 年 11 月の更新以降、プライベート プレビューとしてご利用いただけます。このブログ記事では、ADAL サインイン認証スタックによって新たに可能になることと、どのような場合にこの認証スタックの有効化を検討すべきかについてご説明します。
ADAL ベースの認証の概要
ADAL ベースの認証スタックにより、Office 2013 クライアントでブラウザー ベースの認証 (パッシブ認証) を利用できるようになります。この認証方式では、ユーザーは ID プロバイダーの提供する認証用の Web ページに転送されます。上記のスクリーンショットは、Office 365 によって使用されている、Azure Active Directory (Azure AD) の既定の Web ページです。
この図は、更新された Office 2013 Windows クライアント アプリケーションでのユーザーのサインインの流れを示しています。Office 2013 クライアント アプリケーションでは、ADAL コンポーネントを使用して Azure AD によるサインインを実行します。Azure AD はサインイン用の Web ページをホストします。ID プロバイダーは、Azure AD の場合も、Active Directory フェデレーション サービス (AD FS) などのフェデレーション ID プロバイダーの場合もあります。ユーザーがフェデレーション ユーザーである場合は、Azure AD では、テナントに対して指定されている ID プロバイダーがホストするサインイン用の Web ページにユーザーをリダイレクトします。この ID プロバイダーは、ユーザーのサインイン名に指定されたドメインに基づいて決定されます。サインイン用の Web ページはユーザーのデバイスに表示され、ユーザーはサインインを行います。サインインが正常に���了すると、ID プロバイダーから Azure AD にトークンが返されます。Azure AD は Office クライアント アプリケーションに JWT トークンを返し、クライアント アプリケーションはユーザーの代わりにこの JWT トークンを使用して Office 365 サービスにサインインします。この方式には、Office クライアント アプリケーションでユーザー パスワードが処理されない点、ID プロバイダーによって提供される複数のページやカスタムのユーザー インターフェイスを表示できる点、ID プロバイダーと統合することでカスタマイズされたサインインを実行できる点など、さまざまなメリットがあります。
ADAL ベースの認証のシナリオ
この新しいサインイン方式により、次のような多数の新しいサインイン シナリオを実現できます。
1. Office 2013 クライアント アプリケーションでの MFA の使用
MFA とは、ユーザーがパスワードに加えて、2 つ目の認証要素を提供する必要のある認証方式です。2 つ目の認証要素の例としては、モバイル デバイスにかかってきた電話への応対、スマート カードの利用、モバイル アプリに提示される認証コードの入力などが挙げられます。Office 2013 クライアントで ADAL ベースの認証がサポートされる以前は、アプリケーションによってユーザー名とパスワードの入力を求めることしかできず、入力された資格情報は適切な ID プロバイダーに送信されて検証されていました。この場合、MFA を有効にしたユーザーは、通常のユーザー パスワードの代わりにアプリ パスワードを使用する必要があります。アプリ パスワードとは、ユーザーが MFA オプションを設定した際に生成される特別な文字列です。
新しい ADAL ベースの認証を有効にした Office 2013 クライアント アプリケーションでは、ユーザーがアプリ パスワードを使用してサインインする必要はありません。つまり、真の意味での多要素認証を使用してサインインできるのです。ユーザーが提供する必要のある 2 つ目の認証要素は、管理者が設定した内容によって異なります。
2. SAML ベースの ID プロバイダーによるサインイン
ADAL ベースの認証が登場する以前は、Office 2013 クライアントの (Microsoft Online Services サインイン アシスタントを使用した) サインイン フローでは、ユーザーのサインインに WS-Trust プロトコルが必要でした。SAML-P 2.0 プロトコルを使用している ID プロバイダーでは、同時に WS-Trust プロトコルをサポートしていないケースが多く、そのためにフェデレーション ユーザーが Office 2013 クライアント アプリケーションにサインインできませんでした。ADAL ベースの認証フローでは、ID プロバイダーで SAML-P 2.0 プロトコルを使用している場合でも、ユーザーが Office 2013 クライアント アプリケーションにサインインすることができます。これにより、以前は SAML-P 2.0 を使用している ID プロバイダーでは不可能だった、次のようなシナリオを実現できるようになります。
- Office 365 ProPlus のライセンス認証
- Lync やその他のクライアント アプリケーションから Office 365 への接続
- Word、Excel、PowerPoint などのファイルの SharePoint Online への保存
3. スマート カードおよび証明書ベースの認証
AD FS を展開している場合、スマート カードまたは証明書ベースの認証を使用してユーザーがサインインするように設定することができます。この設定を行った場合、ユーザーがユーザー名とパスワードを入力する必要はありません。その代わりに、サインインする際に 2 つ目の認証要素として (物理または仮想の) スマート カードを使用します。
4. Outlook での基本認証が不要
今回の Office 2013 クライアントの更新プログラムにより、Outlook クライアントにも変更が生じます。ADAL ベースの認証が登場する以前は、Outlook では HTTPS を介した基本認証を使用して Exchange Online に接続していました。そのため、Exchange Online への接続を確立するために、毎回ユーザー名とパスワードを入力する必要がありました。ADAL ベースの認証フローでは、このような基本認証が不要になります。また、Outlook クライアントがお客様の ID プロバイダーと直接通信するため、ユーザー認証を行うために Exchange Online とユーザー パスワードを共有する必要もなくなりました。
更新プログラムの入手
新しい ADAL ベースの認証機能を含む Office 2013 クライアントの更新プログラムは、2014 年 11 月の更新によって Office 365 ProPlus および Office 2013 Windows クライアント ソフトウェアに提供されます。Office 365 ProPlus クライアントでは、自動的に更新プログラムが提供され、製品内に新しい更新プログラムの適用を促すポップアップ画面が表示されます。Office 2013 Windows クライアントは Windows Updateによって更新されます。
更新プログラムを適用した後も、Office クライアントでのサインイン方法に変更はありません。既定では、新しい ADAL ベースの認証スタックは無効になっています。この新しい認証機能は、各クライアント マシンに加えて、接続先の Office 365 テナントでも有効にする必要があります。以降のセクションでは、この機能をプレビュー プログラムで有効にする方法の詳細について説明します。これは、早期導入プログラムに参加するお客様が、更新された ADAL ベースの認証モデルを優先的に利用できるようにするためのプログラムです。
プレビュー プログラムについて
プライベート プレビュー プログラムへの参加が承認されたお客様には、ADAL ベースの認証をご利用いただけます。ただし、プライベート プレビューでは利用できない特定のシナリオが多く存在するため、開始当初は、プライベート プレビューへの参加が承認される新規のお客様の数が限定されます。プレビュー プログラムに参加されるお客様には、運用環境に新しいフローを展開しないようにお願い申し上げます。参加が承認されたお客様は、サポートに連絡する前に従来のサインイン アシスタントに切り替える必要があります。今後数か月にわたり、更新プログラムのリリースに伴ってプレビューへの参加者数も拡大される予定です。
プライベート プレビューへの参加を申請する前に、以下のプレビューに含まれないシナリオをご確認ください。
- Information Rights Management (IRM): ADAL を使用してサインインした場合、IRM で保護されているメールを Outlook に表示することはできません。また、Word やその他の Office クライアント アプリケーションでも、IRM で保護されているドキュメントを開くことはできません。
- SharePoint Online の外部共有: ADAL ベースの認証を有効にした場合、別のテナントの SharePoint Online サイトでホストされている保護されたコンテンツに「外部共有」機能を使用してアクセスすることはできません。
- Outlook の複数テナントでの不整合: ADAL ベースの認証を使用してサインインした場合、Outlook の 2 つ目のテナントで ADAL ベースの認証が有効になっていないと、そのテナントのメールにアクセスできません。
- 認証済みのインターネット プロキシ: ADAL を有効にすると、お客様の環境内で認証済みのインターネット プロキシ サーバーを使用してインターネットにアクセスしている場合、Exchange Online に接続する際に Outlook によって基本認証プロンプトが表示される可能性があります。
- AD FS クライアント アクセス ポリシー: Office クライアントで ADAL ベースの認証を使用した場合、ユーザーが AD FS クライアント アクセス ポリシーによって正常にフィルタリングされなくなります。
- 有効化中に資格情報が保持されない: ADAL ベースの認証を有効にしているクライアントでは、有効化する前の資格情報が保持されない可能性があります。この場合は、ADAL ベースの認証を有効化した後に、もう一度アカウントを Office 2013 クライアントに追加する必要があります。このプロセス中に、ユーザーが作成したデータが失われることはありません。
プライベート プレビュー プログラムへの参加を申請するには、こちらのページのアンケートにご記入ください。
よく寄せられる質問
Q. プライベート プレビュー プログラムへの参加を申請しましたが、まだ承認されません。承認までにはどれくらいの時間がかかりますか。
A. 現在、プライベート プレビュー プログラムに参加いただけるお客様を限定していますが、その数は毎月拡大させる予定です。今しばらくお待ちください。また、業務上の特定のご要望がある場合は、担当のマイクロソフト アカウント マネージャーまでご連絡ください。
Q. プライベート プレビュー プログラムに参加していますが、除外されているシナリオを利用する必要が生じました。サインイン アシスタントに切り替える方法を教えてください。
A. マイクロソフト サポートまでご連絡ください。お客様のテナントで ADAL によるサインインを無効にします。
Q. 更新プログラムに含まれる Office 2013 Windows クライアントを教えてください。
A. Word 2013、Excel 2013、PowerPoint 2013、Lync 2013、Outlook 2013、Publisher 2013、Visio 2013、Access 2013、Project 2013、OneDrive for Business 同期クライアントが含まれます。
Q. 新しい ADAL クライアントのフェデレーション ID にはどの ID プロバイダーを利用できますか。
A. AS FS や Works with Office 365 - Identity プログラムで認定されたその他の ID プロバイダーをご利用いただけます。Works with Office 365 - Identity プログラムの詳細については、こちらのページをご覧ください。
Q. Office 2013 に含まれないその他のアプリケーションから Office 365 に接続する方法を教えてください。
A. その他のアプリケーションでも ADAL を使用して Office 365 への認証を行うことができます。さまざまなプラットフォームの ADAL の詳細については、こちらのページ (英語)をご覧ください。
Q. Office 2010 およびそれ以前の Windows クライアントは ADAL を利用できるように更新されますか。
A. いいえ。Office 2013 Windows クライアント ソフトウェアにアップグレードする必要があります。
Q. iOS 向けの Office 365 アプリや Office for Mac 2011 は、いつ ADAL を利用できるように更新されますか。
A. 10 月に OneNote for Mac、OneNote for iOS、Word for iOS、Excel for iOS、PowerPoint for iOS、Outlook for Mac のライセンス認証が更新されました。
Q. プライベート プレビューが一般公開される時期を教えてください。
A. 更新プログラムのリリースを急いでいますが、現時点では時期は未定です。
Q.プレビューに申請すれば必ず承認されますか。
A. 開始直後は、プレビューへの参加者数を限定し、アンケートの回答結果に基づいて最適なお客様を選定しています。今後数か月の間に、より多くのお客様を承認できるようになる予定です。
Q. Windows Phone や Android クライアントはいつ更新されますか。
A. Windows Phone および Android 向けの Office アプリの新しいバージョンは、来年リリースされる予定です。
Q. 上記に含まれないその他のマイクロソフトのクライアントで、Office 365 への多要素認証が有効になる時期を教えてください。
A. 現時点では時期は未定です。
Q. 新しい ADAL ベースのサインインでは、AD FS 2.0 はサポートされていますか。
A. はい。AD FS 2.0 以降がサポートされています。
Q. 図中の JWT とは何ですか。
A. JWT とは、トークン形式の一種 (JSON Web Token) で、トークンに含まれるユーザーに関する情報 (「要求」) を表す方法を定義します。詳細については、http://openid.net/specs/draft-jones-json-web-token-07.html (英語)をご覧ください。