🗒️

Microsoft ID プラットフォームと統合するアプリケーションの開発

2024/07/18に公開

既にアプリは開発済みですが、開発・運用中に調べたことを、備忘録的にここに載せていきます

開発

認証の仕組み

フェデレーション

問い合わせ

TOPIC

サインインが頻発する問題

原因候補(実装起因)

  1. msalのエラー

  2. iOS/Safari問題

原因候補(テナント側の設定起因)

  1. ユーザ設定(KMSI設定)が正しくない - Microsoft Entra ID で「サインインの状態を維持しますか?」のプロンプトを管理する - Microsoft Entra | Microsoft Learn

    • Keep Me Signed In (KMSI: サインインしたままにする)を有効にする
    • KMSI が有効になっていない場合、非永続的な Cookie が発行され、24 時間、またはブラウザーが閉じられるまで保持されます。
    • 機械学習システムによってリスクの高いサインインまたは共有デバイスからのサインインが検出された場合、[サインインの状態を維持しますか?] オプションは表示されません。
  2. ポリシーの設定が正しくない - アダプティブ セッションの有効期間ポリシーを構成する - Microsoft Entra ID | Microsoft Learn

    • 構成可能なトークン有効期間機能を使用している場合、同一のユーザーまたはアプリの組み合わせに対し、異なる 2 つのポリシー (1 つはこの機能で、もう 1 つは構成可能なトークン有効期間機能で使用) を作成することはサポートしていないことに注意してください。
    • [信頼されたデバイスで MFA を記憶する] が有効になっている場合は、[サインインの頻度] を使用する前に必ず無効にしてください。この 2 つの設定を一緒に使用すると、ユーザーに予期せずにメッセージが表示される可能性があります。
    • 以下の設定を確認する
      • サインイン頻度コントロール
      • 永続的ブラウザー セッション
      • 危険なユーザーを毎回サインイン頻度コントロール
    • 注意
      • モバイル デバイスについてサインインの頻度を構成すると、サインイン頻度の間隔後の認証が低速になる場合があります (平均で 30 秒かかる可能性があります)。 また、さまざまなアプリで同時に発生する可能性もあります。
      • iOS デバイスについて: アプリで最初の認証要素として証明書が構成されており、アプリにサインインの頻度と Intune モバイル アプリケーション管理ポリシーの両方が適用されている場合、そのポリシーがトリガーされると、エンド ユーザーがアプリにサインインできなくなります。
  3. MFAの設定が正しくない - Microsoft Entra の多要素認証プロンプトとセッションの有効期間 - Microsoft Entra ID | Microsoft Learn

  4. 条件付きアクセスのアダプティブ セッションの有効期間ポリシー - Microsoft Entra ID | Microsoft Learn

  5. 構成可能なトークンの有効期間 - Microsoft identity platform | Microsoft Learn

  6. フェデレーション ユーザーは、サインイン中に資格情報の入力を繰り返し求められます - Microsoft 365 | Microsoft Learn

  7. Microsoft Entra IDのフェデレーション ユーザーが頻繁にサインインすることを強制される - Azure | Microsoft Learn

Discussion