次の方法で共有


Microsoft Entra パススルー認証: 技術的な詳細

この記事は、Microsoft Entra パススルー認証のしくみの概要になっています。 技術とセキュリティの詳細情報については、セキュリティの詳細に関する記事をご覧ください。

Microsoft Entra パススルー認証のしくみとは?

Note

パススルー認証が機能するための前提条件として、Microsoft Entra ID には、Microsoft Entra Connect を使用して、オンプレミスの Active Directory からユーザーをプロビジョニングする必要があります。 クラウド限定ユーザーには、パススルー認証が適用されません。

ユーザーが Microsoft Entra ID で保護されているアプリケーションにサインインしようとし、テナントでパススルー認証が有効になっている場合、次の手順が発生します。

  1. ユーザーが Outlook Web アプリなどのアプリケーションへのアクセスを試みます。
  2. ユーザーがまだサインインしていない場合、ユーザーは Microsoft Entra ID の [ユーザー サインイン] ページにリダイレクトされます。
  3. ユーザーが [Microsoft Entra サインイン] ページにユーザー名を入力し、[次へ] ボタンを選択します。
  4. ユーザーが [Microsoft Entra サインイン] ページにパスワードを入力し、[サインイン] ボタンを選択します。
  5. サインインの要求を受け取った Microsoft Entra ID が、(認証エージェントの公開キーを使用して暗号化された) ユーザー名とパスワードをキューに入れます。
  6. オンプレミス認証エージェントが、ユーザー名と暗号化されたパスワードをキューから取得します。 エージェントはキューの要求のために頻繁にポーリングしませんが、事前に確立された永続的な接続を介して要求を取得します。
  7. エージェントがその秘密キーを使用してパスワードの暗号化を解除します。
  8. エージェントは、標準の Windows API を使用して Active Directory に対してユーザー名とパスワードを検証しますが、これは Active Directory フェデレーション サービス (AD FS) が使用しているのと同様のメカニズムです。 ユーザー名には、オンプレミスの既定のユーザー名 (通常は userPrincipalName) か、Microsoft Entra Connect (Alternate ID とも呼ばれる) で構成された別の属性を指定できます。
  9. オンプレミスの Active Directory ドメイン コントローラー (DC) が要求を評価し、適切な応答をエージェントに返します (成功、失敗、パスワードの期限切れ、またはユーザーがロックアウト)。
  10. 次に、認証エージェントがこの応答を Microsoft Entra ID に返します。
  11. Microsoft Entra ID が応答を評価し、ユーザーに適宜応答します。 たとえば、Microsoft Entra ID によって、ユーザーのサインインが直ちに行われるか、Microsoft Entra 多要素認証が要求されます。
  12. ユーザーはサインインが成功すると、アプリケーションにアクセスできます。

次の図に、すべてのコンポーネントと必要な手順を示します。

Pass-through Authentication

次のステップ