Microsoft Entra IDで1Passwordのロック解除を設定する
1Passwordマニュアル|Microsoft Entra IDで1Passwordのロック解除を設定する方法を説明し、ビジネスでの活用を最大限に引き出しましょう。
Last updated
1Passwordマニュアル|Microsoft Entra IDで1Passwordのロック解除を設定する方法を説明し、ビジネスでの活用を最大限に引き出しましょう。
Last updated
Microsoft Entra IDを使用してロックを解除するように1Password を設定する方法を紹介します。
With , you can bring single sign-on (SSO) authentication to your team members by connecting Microsoft Entra ID (previously Azure AD) with 1Password using Unlock with SSO.
Unlock with SSO doesn’t include automated provisioning. If you want to create users and groups, manage access, and suspend 1Password users with your identity provider, learn how to .
This guide will help you set up a private client, which supports If you don’t need to use Conditional Access policies, you can instead. 1Password Businessでは、 Unlock with SSO を使用してMicrosoft Entra ID (旧Azure AD) を1Passwordに接続することで、チーム メンバーにシングル サインオン (SSO) 認証を提供できます。
Unlock with SSOには自動プロビジョニングは含まれません。ユーザーとグループをCreateし、アクセスを管理し、ID プロバイダーを使用して1Passwordユーザーを停止する場合は、SCIM を使用してプロビジョニングを自動化する方法を確認してください。
このガイドは、Conditional Accessポリシーをサポートするプライベート クライアントの設定に役立ちます。Conditional Accessポリシーを使用する必要がない場合は、代わりにパブリック クライアントを設定できます。
始める前に、 Unlock with SSOに関する考慮事項と要件を確認してください。また、次のことも必要です。
Microsoft Entra IDでアプリケーション管理者およびグループ管理者の権限を持っていること。
SSO が含まれるEntra IDプランに加入してください。
これらの手順は 2024 年 4 月に記録されたもので、それ以降変更されている可能性があります。最新の手順については、Microsoft のドキュメントを参照してください。
開始するには、 Microsoft Azureポータルでアカウントにサインインし、次の手順に従います。
Microsoft Entra IDを検索して選択します。
[管理] の下で、[アプリの登録] を選択し、[新しい登録] をクリックします。
アプリケーションの名前を入力します。
サポートされているアカウントの種類を選択します。
「Redirect URI」フィールドは空白のままにしておきます。後で入力します。
アプリケーションをCreateするには、「登録」をクリックします。
アプリケーション (クライアント) ID をクリップボードにCopy。ステップ 2.1 で必要になります。
アプリの概要ページから:
サイドバーで「証明書とシークレット」を選択します。
「新しいクライアント シークレット」を選択します。シークレットに「1Password SSO」などの名前を付けます。
[追加] をクリックします。このページは、手順 2.1 でアプリケーション シークレットが必要になったときに備えて開いたままにしておきます。
Entra IDアプリケーション シークレットには有効期限があります。チームが引き続き Microsoft でサインインできるようにするには、新しいシークレットをCreateし、現在のシークレットの有効期限が切れる数日前までに 1Password の設定で更新してください。
新しいブラウザータブを開き、 1Password.comのアカウントにサインインします。
サイドバーの「ポリシー」をクリックします。
[Configure Identity Provider]の下にある [管理] をクリックします。
Microsoft Entra ID を選択し、[次へ] をクリックします。
アプリケーションの詳細ページで、次のフィールドに入力します。
Application ID: 手順 1 でCreateしたアプリケーションのアプリケーション (クライアント) ID をCopyて貼り付けます。
OpenID構成ドキュメント URL: アプリケーションの概要ページで [エンドポイント] をクリックし、 OpenID Connect メタデータ ドキュメント フィールドをコピーして貼り付けます。
Client Type:Private Clientを選択します。
アプリケーション シークレット: 手順 1.1 でCreateしたシークレットをCopyて貼り付けます。
「次へ」をクリックしてRedirect URIをコピーし、このページを開いたまま手順 2.2 に進みます。
手順 1 で開いたブラウザータブに戻り、次の手順に従います。
サイドバーの[Manage]の下で、 「Authentication」をクリックします。
「“Platform configurations”」の下で、「プラットフォームの追加」を選択し、「Web」を選択して、次のフィールドに入力します。
別のブラウザータブに、 Configure Identity Providerページからのリダイレクト URI を貼り付けます。
フロントチャネル ログアウト URL フィールドは空白のままにします。
「“Implicit grant and hybrid flows”」の下の ID トークンを選択します。
[構成]をクリックします。
サイドバーの「API 権限」をクリックします。
「権限の追加」をクリックします。
[Microsoft Graph] 、 [Delegated permissions]の順にクリックします。
「“OpenId permission”」の下で、メール、OpenID、プロファイルを選択します。
「権限の追加」をクリックします。
1Passwordアプリケーションに対するテナント全体の同意を与えるには、「管理者の同意を付与」をクリックします。1Passwordは、上記の権限に対する読み取りアクセスのみを要求します。
1Passwordには、 Entra IDからのサブジェクト、名前、およびメールのクレームが必要です。デフォルトでは、 Entra ID はサブジェクト クレームを提供し、名前とメールのユーザー プロパティを自動的にマップします。1Passwordは、 Entra IDのサブジェクト プロパティを使用してユーザーを照合しようとします。これに失敗すると、メール プロパティにフォールバックします。
ユーザーの電子メール プロパティがユーザー プリンシパル名 (UPN) と異なる場合は、OIDC IDTokenに対してオプションの upn クレームをCreateする必要があります。upn クレームを追加した後も、電子メール クレームは必要です。
先ほどCreateしたアプリ登録を選択します。
サイドバーの「Token設定」をクリックします。
[オプションのクレームを追加] をクリックします。
IDを選択してください。
下にスクロールして UPN を確認し、[追加] をクリックします。
Entra IDでオプションのクレームを提供する方法の詳細をご覧ください。
設定が完了したら、 [Configure Identity Provider]ページに戻り、接続をテストします。Microsoft にサインインするように指示され、その後1Passwordにリダイレクトされてサインインします。これにより、 1Passwordと Microsoft 間の接続が確認されます。
Unlock with SSOを構成すると、 1Passwordアカウントの設定ページにリダイレクトされます。設定を構成する前に、Microsoft を使用して1Password のロックを解除するチーム メンバーのグループをCreateする必要があります。
Createしたグループは永続的である必要はなく、一部のグループの移行が正常に完了したら、最終的にはチーム全体を SSO でロック解除するように設定できます。
チームの復旧計画の実装について詳しく紹介します。
デフォルトでは、 「“People unlocking 1Password with an identity provider”」は「“No one”」に設定されています。これにより、チームを段階的に Microsoft によるロック解除に移行できます。Microsoft を使用して1Password のロックを解除するチーム メンバーを指定するには、次のいずれかのオプションを選択します。
誰もいない: 「Microsoft によるロック解除」をオフにするには、「誰もいない」を選択します。
選択したグループのみ: 選択したグループのチーム メンバーのみが Microsoft でサインインします。1Password 1Password Businessでカスタム グループを使用する方法を説明します。
除外するグループを除く全員: 所有者と除外するように選択したグループを除くすべてのチーム メンバーは、Microsoft を使用してサインインします。このスコープ内の保存済みのユーザーには、Unlock with Microsoft に切り替えるように求められます。除外されたグループを除く新しいユーザーは、 1Passwordに参加するときに Microsoft ユーザー名とパスワードを使用します。所有者は、アカウント パスワードとSecret Keyを使用してサインインします。
ゲストを除く全員: オーナーとゲストを除くすべてのチーム メンバーは、Microsoft でサインインします。保存済みのすべてのユーザーには、Unlock with Microsoft に切り替えるように求められ、すべての新規ユーザーは1Passwordに参加するときに Microsoft のユーザー名とパスワードを使用します。ゲストとオーナーは、アカウント パスワードとSecret Keyを使用してサインインします。
全員: ゲストとオーナーを除くすべてのチーム メンバーは、Microsoft でサインインします。保存済みのすべてのユーザーには、Unlock with Microsoft に切り替えるように求められ、すべての新規ユーザーは1Passwordに参加するときに Microsoft のユーザー名とパスワードを使用します。
すでに1Passwordアカウントを持っているチーム メンバーは、Microsoft でロックを解除するために切り替える必要があります。チーム メンバーが切り替えるまでの日数を指定します。猶予期間を設定するときは、次の点を考慮してください。
デフォルトでは、猶予期間は 5 日間に設定されています。1 日から 30 日間に設定できます。
管理者が [選択したグループのみ] オプションを選択してグループを追加したとき、または管理者がチームの全員に対して [Microsoft によるロック解除] を構成したときに、猶予期間が開始されます。Microsoft によるロック解除が構成されている各グループの横に、猶予期間が表示されます。
チーム メンバーが複数のグループに属している場合、グループの猶予期間が異なる場合でも、その猶予期間は SSO で設定された最初のグループによって決まります。
猶予期間が切れたグループに SSO によるロック解除を設定していないチーム メンバーを追加する場合、あなたまたは別の管理者がメンバーのアカウントを回復し、SSO を使用して再度サインインできるようにする必要があります。
猶予期間の長さを編集すると、SSO を使用してグループのロックを解除するように設定した元の日付から延長または短縮されます。
初期セットアップ後に Microsoft でロック解除するチーム メンバーをさらに構成する必要がある場合は、有効な猶予期間を持つ新しいカスタム グループをCreateします。これにより、新しく割り当てられたチーム メンバーのアカウントを回復する必要がなくなります。
チーム メンバーが猶予期間の終了前に Unlock with Microsoft に移行しない場合は、デバイスでアカウントにサインインできなくなり、管理者に連絡してアカウントを回復する必要があります。チーム メンバーは回復プロセス中に Unlock with Microsoft に切り替わります。
1Password を「マイ アプリ」ページに追加すると、チームはそこからサインイン アドレスをすぐに開くことができます。
Microsoft Azureポータルにサインインします。
Microsoft Entra ID をクリックし、サイドバーでアプリの登録を選択します。
1Password SSOアプリの登録をクリックします。
サイドバーから「ブランディングとプロパティ」を選択します。
「“Home page URL”」フィールドにチームのサインイン アドレスを入力します。
Microsoft Entra IDに戻り、サイドバーで [エンタープライズ アプリケーション] を選択します。
先ほど設定したアプリをクリックします。
サイドバーの[Manage]の下にある「プロパティ」を選択し、「ユーザーに表示されますか?」が「はい」に設定されていることを確認します。
設定を管理するには、 1Password.comでアカウントにサインインし、「ポリシー」をクリックして、 「Configure Identity Provider」の下にある「管理」を選択します。
Entra IDの設定を変更するには、「構成のEdit」をクリックし、画面の指示に従ってUnlock with SSOを設定します。SSO によるロック解除に設定できる ID プロバイダーは 1 つだけです。
アイデンティティ プロバイダーの構成をSaveできるのは、接続のテストにCreate功した後のみです。Microsoft で認証にCreate功しないと、変更はSaveされません。これにより、 1Passwordへのアクセスが失われるのを防ぎます。
設定ページの下部にある「Edit」をクリックして、Microsoft を使用して1Password のロックを解除するために割り当てられているユーザーを変更します。
To allow team members to unlock with Touch ID, Face ID, Windows Hello, and other biometrics, select Allow people to unlock 1Password using biometrics. Specify the number of days or weeks before they’ll be asked to sign in to Microsoft again. When biometric unlock is turned on, your team members can access 1Password while offline, until the time period specified. Vault access will be online-only after the elapsed period. チーム メンバーがTouch ID、 Face ID、 Windows Hello、その他の生体認証を使用してロックを解除できるようにするには、[生体認証を使用して1Password のロックを解除できるようにする] を選択します。Microsoft へのサインインを再度求められるまでの日数または週数を指定します。 生体認証ロック解除がオンになっている場合、チーム メンバーは指定された期間内はオフラインでも1Passwordにアクセスできます。期間が経過すると、 保管庫 へのアクセスはオンラインのみになります。
「Review Changes」をクリックして選択内容を確認し、「Save」をクリックします。
Unlock with Microsoft を自分で使用するには、チーム メンバーとして Unlock 1Password with Microsoft の使用を開始してください。
すべてのデバイスで Microsoft を使用して1Password のロックを解除し、追加のアプリやブラウザーをアカウントにリンクする方法を紹介します。
また、サインアップ後や SSO によるロック解除に切り替えた後に、チームに1Passwordデスクトップ アプリなどの他のアプリやブラウザをアカウントにリンクするように勧めることもできます。
Entra IDアプリケーション シークレットの有効期限が切れる前に、新しいシークレットをCreateし、 1Password設定で更新する必要があります。チームがEntra IDを使用して1Passwordのロックを解除し続けることができるように、有効期限の少なくとも数日前にシークレットをローテーションすることをお勧めします。
Entra IDのMicrosoft Azureポータルでアプリ登録ページを開きます。
1Password SSOアプリ登録をクリックし、サイドバーで「証明書とシークレット」を選択します。
[新しいクライアント シークレット] を選択し、[説明] フィールドに名前を入力して、[追加] をクリックします。
新しいブラウザータブまたはウィンドウを開き、 1Password.comのアカウントにサインインします。
サイドバーの「ポリシー」をクリックします。
[Configure Identity Provider]の下にある [管理] をクリックします。
構成のEditをクリックします。
Entra IDの新しいシークレットを「アプリケーション シークレット」フィールドに貼り付けます。
下にスクロールして「接続テスト」をクリックします
Application IDとOpenID構成ドキュメント URL は、手順 1 でCreateしたアプリケーションの概要ページで確認できます。
チーム メンバーが Microsoft でロック解除されるグループからロック解除されないグループに移動されると、アカウント パスワードをCreateし、Emergency Kitをダウンロードするように求められます。
チームでConditional Accessポリシーに関する問題が発生しており、 Entra IDでパブリック アプリケーションを使用している場合は、統合を更新する必要があります。
Entra IDへの接続をテストしたり、アプリやブラウザーを1Passwordアカウントに初めてリンクしたりするときに、あなたまたはユーザーの 1 人に「“400: invalid User Info endpoint or request”」が表示される場合は、 Entra IDのユーザーの DisplayName、GivenName、または FamilyName に次の文字が含まれていないことを確認してください: <>%\"\\;[]{}
Unlock with SSOを設定した後に新しい ID プロバイダーに切り替える必要がある場合は、ヘルプを参照してください。
重要
IMPORTANTThe changes you make below won’t be saved until you successfully authenticate with Microsoft. This prevents you from losing access to 1Password. 重要以下で行った変更は、Microsoft で正常に認証されるまでSaveされません。これにより、 1Passwordへのアクセスが失われるのを防ぎます。
IMPORTANTFor a user to sign in to 1Password with Microsoft, the email listed in Entra ID must match the email associated with their 1Password account. Note that their User Principal Name can be different. 重要ユーザーが Microsoft を使用して1Passwordにサインインするには、 Entra IDに記載されているメール アドレスが1Passwordアカウントに関連付けられているメール アドレスと一致している必要があります。ユーザー プリンシパル名は異なる場合があります。
IMPORTANTTeam members need to sign in to 1Password with their account password and Secret Key before switching to Unlock with SSO. If your organization has or has a browser cache clearing policy, this could result in mass needed for users who don’t have their sign-in details.Team members will prompted to sign in with SSO during the recovery process. 重要チームメンバーは、 Unlock with SSOに切り替える前に、アカウントのパスワードとSecret Keyを使用して1Passwordにサインインする必要があります。組織でEmergency Kitsをオフにしている場合や、ブラウザーのキャッシュをクリアするポリシーがある場合、サインインの詳細を持たないユーザーに対して大量の回復が必要になる可能性があります。回復プロセス中に、チーム メンバーは SSO を使用してサインインするように求められます。
. Give the group a descriptive name, like "Microsoft SSO", for clarity. カスタム グループをCreateします。 わかりやすくするために、グループに「Microsoft SSO」などのわかりやすい名前を付けます。
. If you plan to invite additional team members to test Unlock with Microsoft at a later date, create a new custom group for each additional set of testers. チーム メンバーをグループに追加します。後日、Unlock with Microsoft をテストするために追加のチーム メンバーを招待する予定がある場合は、追加のテスター セットごとに新しいカスタム グループをCreateします。
重要
Users in the group can’t unlock with Microsoft and will continue to sign in to 1Password using their account password and Secret Key. This helps safeguard them from being locked out in the event that they can’t access their linked apps and browsers and no one can recover them.
Learn more about . 所有者グループのユーザーは Microsoft でロックを解除できず、アカウントのパスワードとSecret Keyを使用して1Passwordにサインインし続けます。これにより、リンクされたアプリやブラウザーにアクセスできなくなり、誰も回復できない場合でも、ロックアウトされることがなくなります。
重要
To specify which team members will unlock 1Password with Entra ID, select an option in the Who can unlock 1Password with an identity provider section. "Only groups you select" is recommended. Learn how to . To turn off Unlock with SSO, select No one. Entra IDを使用して1Password のロックを解除できるチーム メンバーを指定するには、「ID プロバイダーを使用して1Password のロックを解除できるユーザー」セクションでオプションを選択します。 「選択したグループのみ」が推奨されます。1Password 1Password Businessでカスタム グループを使用する方法を紹介します。SSOUnlock with SSOをオフにするには、「誰もいない」を選択します。
Specify the number of days before team members must switch to unlocking with Microsoft. The default grace period is 5 days. If a team member doesn't migrate to Unlock with Microsoft before the end of the grace period, they must contact their administrator to . チーム メンバーが Microsoft によるロック解除に切り替えるまでの日数を指定します。 既定の猶予期間は 5 日間です。チーム メンバーが猶予期間の終了前に Microsoft によるロック解除に移行しない場合は、管理者に連絡してアカウントを回復する必要があります。
ヒント
If your IT team has a policy that clears browsing data when a browser is closed, exclude your from that policy to make sure your team members won’t lose access to their linked browsers.
You can also encourage your team to , like the 1Password desktop app, after they sign up or switch to unlock with SSO. IT チームに、ブラウザーを閉じると閲覧データを消去するポリシーがある場合は、チームのサインイン アドレスをそのポリシーから除外して、チーム メンバーがリンクされたブラウザーにアクセスできなくなることがないようにしてください。
Click the copy button beside the Value field to copy the new secret. 新しいシークレットをコピーするには、[値] フィールドの横にあるコピー ボタンをクリックします。
After you successfully connect to Microsoft, click Save Configuration. Then go back to the “Certificates & secrets” page in Entra ID and click the trash beside the old secret to delete it. Microsoft への接続にCreate功したら、「構成をSave」をクリックします。次に、 Entra IDの「証明書とシークレット」ページに戻り、古いシークレットの横にあるゴミ箱をクリックして削除します。
