Microsoft Entra 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ

  • [アーティクル]

Microsoft Entra 参加済みデバイスによって、テナントのクラウド アプリへのシングル サインオン (SSO) エクスペリエンスがユーザーに提供されます。 現在の環境にオンプレミスの Active Directory Domain Services (AD DS) がある場合は、ユーザーは、オンプレミスの Active Directory Domain Services に依存するリソースとアプリケーションに SSO することもできます。

この記事では、この動作のしくみについて説明します。

前提条件

  • Microsoft Entra 参加済みデバイス
  • オンプレミスの SSO には、オンプレミスの AD DS ドメイン コントローラーとの見通し内通信が必要です。 Microsoft Entra 参加済みデバイスが組織のネットワークに接続されていない場合は、VPN または他のネットワーク インフラストラクチャが必要です。
  • Microsoft Entra Connect または Microsoft Entra Connect クラウド同期: SAM アカウント名、ドメイン名、UPN などの既定のユーザー属性を同期します。 詳細については、「Microsoft Entra Connect によって同期される属性」を参照してください。

動作方法

ユーザーは Microsoft Entra 参加済みデバイスを使用して、ご利用の環境内のクラウド アプリへの SSO エクスペリエンスを既に手に入れています。 ご利用の環境に Microsoft Entra ID とオンプレミス AD DS がある場合は、SSO エクスペリエンスの範囲をオンプレミスの基幹業務 (LOB) アプリ、ファイル共有、プリンターにまで拡張することができます。

Microsoft Entra 参加済みデバイスには、オンプレミス AD DS 環境についての情報はありません (その環境に参加していないため)。 ただし、Microsoft Entra Connect を使用して、ご利用のオンプレミス AD に関する追加情報をこれらのデバイスに提供することができます。

Microsoft Entra Connect または Microsoft Entra Connect クラウド同期により、オンプレミスの ID 情報がクラウドに同期されます。 同期プロセスの一環として、オンプレミスのユーザーとドメインの情報は、Microsoft Entra ID に同期されます。 ハイブリッド環境においてユーザーが Microsoft Entra 参加済みデバイスにサインインしたとき:

  1. Microsoft Entra ID は、ユーザーのオンプレミス ドメインの詳細をプライマリ更新トークンと共にデバイスに返送します
  2. ローカル セキュリティ機関 (LSA) サービスによって、デバイス上の Kerberos および NTLM 認証が有効になります。

Note

Microsoft Entra 参加済みデバイスに対するパスワードレス認証を使用する場合は、追加の構成が必要です。

FIDO2 セキュリティ キー ベースのパスワードレス認証および Windows Hello for Business ハイブリッド クラウド信頼の詳細については、「Microsoft Entra ID を使用してオンプレミスのリソースへのパスワードレス セキュリティ キー サインインを有効にする」を参照してください。

Windows Hello for Business のクラウド Kerberos 信頼については、「Windows Hello for Business - クラウド Kerberos 信頼の構成とプロビジョニング」を参照してください。

Windows Hello for Business ハイブリッド キー信頼の詳細については、「Windows Hello for Business を使用してオンプレミス シングル サインオン用に Microsoft Entra 参加済みデバイスを構成する」を参照してください。

Windows Hello for Business ハイブリッド証明書の信頼については、「AADJ オンプレミス シングル サインオンに証明書を使用する」を参照してください。

Kerberos または NTLM を要求しているオンプレミス リソースへのアクセスが試行されると、デバイスは次のようになります。

  1. ユーザーを認証するために、見つかった DC にオンプレミス ドメインの情報とユーザーの資格情報を送信します。
  2. オンプレミスのリソースまたはアプリケーションがサポートするプロトコルに基づいて、Kerberos のチケット発行許諾チケット (TGT) または NTLM トークンを受信します。 ドメインの Kerberos TGT または NTLM トークンを取得する試みが失敗した場合、資格情報マネージャー エントリが試みられるか、ユーザーがターゲット リソースの資格情報を要求する認証ポップアップを受け取る可能性があります。 このエラーは、DCLocator タイムアウトによって発生する遅延に関連している可能性があります。

Windows 統合認証の対象として構成されているすべてのアプリでは、ユーザーからのアクセスが試みられたときに、SSO がシームレスに適用されます。

取得内容

SSO を使用すると、Microsoft Entra 参加済みデバイスで次のことができます。

  • AD のメンバー サーバー上の UNC パスへのアクセス
  • Windows 統合セキュリティ用に構成された AD DS メンバーである Web サーバーへのアクセス

Windows デバイスからオンプレミス AD を管理する場合は、リモート サーバー管理ツールをインストールします。

使用できるもの:

  • すべての AD オブジェクトを管理するための、Active Directory ユーザーとコンピューター (ADUC) スナップイン。 ただし、手動で接続するドメインを指定する必要があります。
  • AD 参加済み DHCP サーバーを管理するための、DHCP スナップイン。 ただし、DHCP サーバーの名前またはアドレスを指定する必要があります。

知っておくべきこと

  • 複数のドメインがある場合に必要なドメインについてのデータが確実に同期されるように、Microsoft Entra Connect においてドメインベースのフィルター処理を調整することが必要になる場合があります。
  • Microsoft Entra 参加済みデバイス上に AD DS 内のコンピューター オブジェクトがないため、Active Directory のコンピューター認証に依存するアプリとリソースは機能しません。
  • Microsoft Entra 参加済みデバイス上でファイルを他のユーザーと共有することはできません。
  • Microsoft Entra 参加済みデバイスで実行されているアプリケーションは、ユーザーを認証できます。 ドメインの FQDN 名をドメイン部分として使用する暗黙的な UPN または NT4 型の構文を使用する必要があります。たとえば user@contoso.corp.com、または contoso. corp. com\ user と指定します。
    • アプリケーションが NETBIOS 名または従来の名前 (contoso\user など) を使用している場合、アプリケーションが取得するエラーは、NT error STATUS_BAD_VALIDATION_CLASS - 0xc00000a7、または Windows エラー ERROR_BAD_VALIDATION_CLASS - 1348「要求された検証情報クラスは無効です。」のどちらかとなります。 このエラーは、従来のドメイン名を解決できる場合でも発生します。

次のステップ

詳細については、「Microsoft Entra ID でのデバイス管理とは」を参照してください