名前空間: microsoft.graph
Microsoft Entra ID でフェデレーションおよび検証されるテナント ドメインの構成を表します。 このリソースを使用して、Microsoft Entra ID を使用してフェデレーションを設定するときにフェデレーション設定を構成します。 フェデレーションの詳細については、「Microsoft Entra ID を使用したフェデレーションとは」を参照してください。
samlOrWsFedProvider から継承します。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| List | internalDomainFederation コレクション | ドメインの internalDomainFederation オブジェクトのプロパティを読み取ります。 |
| Create | internalDomainFederation | 新しい internalDomainFederation オブジェクトを 作成します。 |
| Get | internalDomainFederation | internalDomainFederation オブジェクトのプロパティとリレーションシップを読み取ります。 |
| Update | internalDomainFederation | internalDomainFederation オブジェクトのプロパティを更新します。 |
| Delete | なし | internalDomainFederation オブジェクトを削除します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| activeSignInUri | 文字列 | Microsoft Entra ID でシングル サインオン用に設定されたフェデレーション ドメインを使用して認証するときに、アクティブなクライアントによって使用されるエンドポイントの URL。 Set-EntraDomainFederationSettings PowerShell コマンドレットの ActiveLogOnUri プロパティに対応します。 |
| displayName | 文字列 | フェデレーション ID プロバイダー (IdP) の表示名。 identityProviderBase から継承されます。 |
| federatedIdpMfaBehavior | federatedIdpMfaBehavior | フェデレーション ユーザーが MFA を必要とする条件付きアクセス ポリシーによって管理されるアプリケーションにアクセスするときに、Microsoft Entra ID がフェデレーション IdP によって実行される MFA を受け入れるかどうかを決定します。 使用可能な値: acceptIfMfaDoneByFederatedIdp、enforceMfaByFederatedIdp、rejectMfaByFederatedIdp、unknownFutureValue。 詳細については、「 federatedIdpMfaBehavior 値」を参照してください。 |
| id | 文字列 | フェデレーション ID プロバイダーの識別子。 エンティティから継承 されます。 |
| isSignedAuthenticationRequestRequired | ブール型 |
true場合、SAML 認証要求がフェデレーション SAML IdP に送信されると、Microsoft Entra ID は OrgID 署名キーを使用してそれらの要求に署名します。
false (既定値) の場合、フェデレーション IdP に送信される SAML 認証要求は署名されません。 |
| issuerUri | 文字列 | フェデレーション サーバーの発行者 URI。 samlOrWsFedProvider から継承されます。 |
| metadataExchangeUri | 文字列 | リッチ クライアント アプリケーションからの認証に使用されるメタデータ交換エンドポイントの URI。 samlOrWsFedProvider から継承されます。 |
| nextSigningCertificate | 文字列 | プライマリ署名証明書の有効期限が切れた場合など、トークンの署名にも使用できるフォールバック トークン署名証明書。 フェデレーション IdP のトークン署名証明書のパブリック部分の Base64 でエンコードされた文字列として書式設定されます。 X509Certificate2 クラスと互換性がある必要があります。 signingCertificate と同様に、自動ロールオーバー更新プログラムの外部でロールオーバーが必要な場合、新しいフェデレーション サービスが設定されている場合、またはフェデレーション サービス証明書が更新された後に新しいトークン署名証明書がフェデレーション プロパティに存在しない場合は、nextSigningCertificate プロパティが使用されます。 |
| passiveSignInUri | 文字列 | Microsoft Entra サービスにサインインするときに Web ベースのクライアントが転送する URI。 samlOrWsFedProvider から継承されます。 |
| preferredAuthenticationProtocol | authenticationProtocol | 優先認証プロトコル。 フェデレーションパッシブ認証フローを機能させるには、このパラメーターを明示的に構成する必要があります。 使用可能な値: wsFed、saml、unknownFutureValue。
samlOrWsFedProvider から継承されます。 |
| promptLoginBehavior | promptLoginBehavior | サインイン プロンプトの推奨動作を設定します。 使用可能な値: translateToFreshPasswordAuthentication、nativeSupport、disabled、unknownFutureValue。 |
| signingCertificate | 文字列 | Microsoft ID プラットフォームに渡されるトークンの署名に使用される現在の証明書。 証明書は、フェデレーション IdP のトークン署名証明書のパブリック部分の Base64 でエンコードされた文字列として書式設定され、X509Certificate2 クラスと互換性がある必要があります。 このプロパティは、次のシナリオで使用されます。 Microsoft Entra ID は、現在の証明書の有効期限の 30 日前にフェデレーション サービス メタデータから新しい証明書を取得しようとする自動ロールオーバー プロセスを介して証明書を更新します。 新しい証明書が使用できない場合、Microsoft Entra ID はメタデータを毎日監視し、新しい証明書が使用可能になるとドメインのフェデレーション設定を更新します。 samlOrWsFedProvider から継承されます。 |
| signingCertificateUpdateStatus | signingCertificateUpdateStatus | 署名証明書の最後の更新の状態とタイムスタンプを提供します。 |
| signOutUri | 文字列 | クライアントがMicrosoft Entra サービスからサインアウトするときにリダイレクトされる URI。 Set-EntraDomainFederationSettings PowerShell コマンドレットの LogOffUri プロパティに対応します。 |
federatedIdpMfaBehavior 値
| メンバー | 説明 |
|---|---|
| acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID は、フェデレーション ID プロバイダーによって実行される MFA を受け入れます。 フェデレーション ID プロバイダーが MFA を実行しなかった場合は、Microsoft Entra ID によって MFA が実行されます。 |
| enforceMfaByFederatedIdp | Microsoft Entra ID は、フェデレーション ID プロバイダーによって実行される MFA を受け入れます。 フェデレーション ID プロバイダーが MFA を実行しなかった場合、MFA を実行するための要求がフェデレーション ID プロバイダーにリダイレクトされます。 |
| rejectMfaByFederatedIdp | Microsoft Entra ID は常に MFA を実行し、フェデレーション ID プロバイダーによって実行される MFA を拒否します。 |
注:
federatedIdpMfaBehavior は、ドメインフェデレーション設定の SupportsMfa プロパティの進化したバージョンです。
- federatedIdpMfaBehavior と SupportsMfa の切り替えはサポートされていません。
- federatedIdpMfaBehavior プロパティが設定されている場合、Microsoft Entra ID は SupportsMfa 設定を無視します。
- federatedIdpMfaBehavior プロパティが設定されていない場合、Microsoft Entra ID は引き続き SupportsMfa 設定を受け入れられます。
-
federatedIdpMfaBehavior も SupportsMfa も設定されていない場合、Microsoft Entra ID は既定で
acceptIfMfaDoneByFederatedIdp動作になります。
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "String (identifier)",
"displayName": "String",
"issuerUri": "String",
"metadataExchangeUri": "String",
"signingCertificate": "String",
"passiveSignInUri": "String",
"preferredAuthenticationProtocol": "String",
"activeSignInUri": "String",
"signOutUri": "String",
"promptLoginBehavior": "String",
"isSignedAuthenticationRequestRequired": "Boolean",
"nextSigningCertificate": "String",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "String",
"@odata.type": "microsoft.graph.signingCertificateUpdateStatus"
},
"federatedIdpMfaBehavior": "String"
}