Azure ADに関して、有益そうな情報を共有させていただきます。
【M365アカウントのサインイン状態の維持期間を設定する】
■概要
多要素認証を利用してMicrosoft 365アカウントにサインインする際、
環境によって毎回認証を求められる場合と、一定期間はサインイン状態が保持される場合があります。
セッションの有効期限を設定する箇所が、意外な場所にあり見つけづらかったので共有いたします。
■設定箇所
Azure Active Directory管理センターを開きます。
Azure Active Directory>会社のブランド>Default>サインインしたままにするオプションを表示する
※Defaultの部分は、会社のブランドが設定されていない場合、「構成」をクリックして新規作成します
■動作
Azure Active Directory>会社のブランド>Default>サインインしたままにするオプションを表示する
<「いいえ」に設定されていた場合の動作検証>
「いいえ」に設定されていた場合、ブラウザを閉じる度にCookieが削除されるため、
ユーザーはブラウザを開くたびにサインインしなおす必要があります。
また、サインインした際に「サインインの状態を維持しますか?」とういうポップアップが表示されません。
【サインインが解除される】
・端末を再起動した場合
・ブラウザを完全に閉じた場合
【サインインが保持される】
・一度多要素認証でTeamsにサインインした後、別タブを残してTeamsのタブのみ閉じる場合。
・端末をスリープ状態にした場合。
<「はい」に設定した場合の動作検証>
「サインインの状態を維持しますか?」のポップアップが表示されます。
さらに「今後X日間はこのメッセージを表示しない」のチェックボックスが表示されます。
チェックを入れた場合、「X日間」は多要素認証を求められず、サインイン状態が保持されます(ブラウザにCookieが保持される)
※この「X日間」の部分は、テナントごとに設定されている多要素認証の記憶期間に準じています。
多要素認証の記憶期間については、以下から設定可能です。
Azure Active Directory管理センター
Azure Active Directory>Multi-Factor Authentication>サービス設定>Multi-Factor Authenticationを記憶する>信頼済みデバイスでユーザーが多要素認証を記憶できるようにする
任意の日数を設定してください。
■注意点
Azure Active Directory>会社のブランド>Default>サインインしたままにするオプションを表示する
こちらの設定は、テナントのドメインごとに設定可能ですが、ユーザー単位での設定が来ないため注意が必要です。
毎回認証を求められるとユーザーの利便性が低下しますが、
セッションを保持した状態のデバイスを紛失することによるセキュリティ面の問題もあります。
有効期間をいくつに設定するか、認証方法を電話にするか信頼されたデバイスに設定するかなど、慎重に考量する必要があります。
以上です。