ブラウザを利用してEntraログインした際に、別種類のブラウザでEntraログインページにアクセスした際、再度認証は求められるのか?

2024年12月16日

主催していた勉強会で質問いただいたので、こちらでも回答記載させていただきます。

前提

  • デバイスには、Entraに関する認証情報(各種トークン)が存在していない

シナリオ

  • ①デバイスにて、Edgeブラウザを利用して、M365ログインサイト(https://www.microsoft365.com)にアクセスし、「サインイン」をクリック
  • ②Entraユーザアカウント、パスワードを入力し、サインインする(必要に応じて多要素認証も実施)
  • ③同デバイスにて、Chromeブラウザを利用して、M365ログインサイト(https://www.microsoft365.com)にアクセスし、「サインイン」をクリック

③において、再度Entraユーザアカウント、パスワード入力(Entraでの認証)は必要となるか?

異なるブラウザ間で認証情報は共有されない

③において、再度Entraユーザアカウント、パスワード入力(Entraでの認証)は必要となります。

ブラウザのセッション情報はCookieに記録され、異なるブラウザ間では連携がおこなわれません。

以下の、MS社サイトの「セッショントークン」が該当します。

Azure AD が発行するトークンの有効期間と考え方 (2023 年版) | Japan Azure Identity Support Blog

永続的なセッショントークンでも異なるブラウザ間で認証情報は共有されない

Cookie(セッショントークンの実態) は永続/非永続いずれもブラウザごとに管理され、保存された Cookie をブラウザ間で連携することはできません。

たとえば、Edge における Cookie のローカル ファイルへの保存先は以下となります。

※ 以下の保存先にあるファイルはユーザーによる参照や編集、削除などを想定しておりませんので、あくまで保存場所の参考情報として認識ください。

%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Network

永続的なセッションの Cookie は、有効期限付きの Cookie として保存されます。

一方、非永続的なセッションの Cookie は有効期間が設定されずに保存され、ブラウザを閉じたときに破棄される動作となります。(セッション Cookie と呼ばれます)

Title:クッキーとは?セッションと永続の違いは何ですか。 – Cisco (外部サイト)

URL:https://www.cisco.com/c/ja_jp/support/docs/security/web-security-appliance/117925-technote-csc-00.html

ーーーーーーーーーーーーーーーーーーーーーーーーーーー

Cookie には、セッション Cookie と永続的な Cookie の 2 種類があります。Cookie に期限日が含まれていない場合は、セッション Cookie と見なされます。セッション Cookie はメモリに保存されますが、ディスクに書き込まれることはありません。ブラウザが閉じると、クッキーはこの時点から永久に失われます。クッキーに有効期限が含まれている場合、永続クッキーと見なされます。期限で指定された日付に、Cookie はディスクから削除されます。

PRTトークン保有していれば、ブラウザでは認証は求められない

PRTトークンは、端末を、Entra参加/Entraハイブリッド参加/Entra登録した際に、端末に払い出されます。

Azure AD が発行するトークンの有効期間と考え方 (2023 年版) | Japan Azure Identity Support Blog