M365アプリにログインした際のアクセストークン/更新トークンは使いまわせるか

2024年2月6日

たとえば、Power Pointアプリにログインすると、その際Entra IDからアクセストークン/更新トークンが払い出されますが、そのトークンは、別のアプリ(Teamsアプリなど)を使う際に流用できるのでしょうか(Teamsアプリの手動ログインをスキップできるのでしょうか)

基本は使いまわせないが、Officeアプリは使いまわせる

一般的な認証 (Microsoft Entra ID ) の観点からは、
アプリごとにアクセストークン / 更新トークン が発行されるため、
teamsアプリにログインしたとしても、 powepoint にアクセスした際には再度認証が求められます。

Office アプリに限ったアクセスの場合には
Office アプリ側で持つ独自の SSO (シングルサインオン) があります。
この機能を使えば、 Microsoft Entra 登録したデバイスでなくても
PowerPoint でサインインすれば、 Excel や Word , Outlook 間 SSO が可能です。
https://learn.microsoft.com/ja-jp/office/dev/add-ins/develop/sso-in-office-add-ins

一方で Micrsoft Teams など Office アプリには含まれない他の Microsof 365 については
シングルサインオンは行われません。

Entra 登録をしておくと楽

Entra参加(Hybrid Entra参加)は、端末ログイン時にPRTトークンが払い出されて、そのPRTトークンを使えば、M365アプリを利用する際に、手動ログインが不要になるというメリットがあった(端末へのログインと、M365アプリへのログインのSSOが実現される)

ただ、Entra登録は、端末ログイン後に各ユーザプロファイル上で実施するため、結局Entra登録をする際にUPN/パスワードを入れる必要があり、普通にM365アプリにUPN/パスワードをログインする場合と比較してメリットがいまいちわからなった(M365アプリにログインすると払い出されるアクセストークン/更新トークンにより継続的に手動ログインなしに、M365アプリにログインできるため、Entra登録をしてPRTトークンを受領するメリットがいまいちわからなかった)

Officeアプリを除き、アクセストークン/更新トークンは、アプリ毎に必要で、各々のアプリで認証が必要であることを踏まえると、一度Entra登録を実施すると、そのPRTトークンを使って複数のM365アプリに手動ログインせずに、ログインできるメリットがあることがわかりますね

Azure,Entra

Posted by mitsuru