Azure Active Directory シームレス シングル サインオン

Azure Active Directory シームレス シングル サインオンとは

Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。 この機能を有効にすると、ユーザーは Azure AD にサインインするためにパスワードを入力する必要がなくなります。また、通常はユーザー名の入力も不要です。 この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ません

Seamless Single Sign-On

プライマリ更新トークンを介した SSO とシームレス SSO

Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合は、プライマリ更新トークン (PRT) を介した SSO を使用することをお勧めします。 Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。 シームレス SSO では、ユーザーのデバイスがドメインに参加している必要がありますが、これは、Windows 10 の Azure AD 参加済みデバイスHybrid Azure AD 参加済みデバイスでは使用されません。 Azure AD 参加済み、Hybrid Azure AD 参加済み、および Azure AD 登録済みデバイスでの SSO は、プライマリ更新トークン (PRT) に基づいて機能します。

Hybrid Azure AD 参加済み、Azure AD 参加済み、または個人登録済みのデバイスに対して PRT を介した SSO が機能するのは、[職場または学校アカウントを追加] を使用してデバイスが Azure AD に登録された後になります。 PRT を使用した Windows 10 での SSO のしくみについて詳しくは、「プライマリ更新トークン (PRT) と Azure AD」を参照してください。

主な利点

  • 優れたユーザー エクスペリエンス
    • ユーザーは、オンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。
    • ユーザーは、パスワードを繰り返し入力する必要はありません。
  • デプロイと管理が容易
    • オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。
    • パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。
    • グループ ポリシーを使用して、一部のユーザーまたはすべてのユーザーに展開できます。
    • AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Azure AD に登録できます。 この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。

機能概要

  • サインインのユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID) を指定できます。 シームレス SSO は Kerberos チケットの securityIdentifier 要求を使用して Azure AD で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。
  • シームレス SSO は便宜的な機能です。 これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。
  • アプリケーション (たとえば、https://myapps.microsoft.com/contoso.com) が Azure AD サインイン要求で domain_hint (OpenID Connect) パラメーターや whr (SAML) パラメーター (テナントを識別する)、または login_hint パラメーター (ユーザーを識別する) を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。
  • アプリケーション (たとえば、https://contoso.sharepoint.com) がサインイン要求を、Azure AD の共通エンドポイント (つまり、https://login.microsoftonline.com/common/<...>) ではなく、Azure AD のテナントとして設定されているエンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com/<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。
  • サインアウトがサポートされています。 そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Azure AD アカウントを使用することを選択できます。
  • バージョン 16.0.8730.xxxx 以降の Microsoft 365 Win32 クライアント (Outlook、Word、Excel など) は、非対話型フローを使用してサポートされています。 OneDrive の場合、サイレント サインオン エクスペリエンス用の OneDrive サイレント構成機能をアクティブにする必要があります。
  • この機能は、Azure AD Connect を使用して有効にできます。
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
  • この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートする Office クライアントでサポートされています。
OS\ブラウザー Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 あり* あり あり あり*** N/A
Windows 8.1 あり* あり**** あり あり*** N/A
Windows 8 あり* N/A あり あり*** N/A
Windows Server 2012 R2 以降 あり** N/A あり あり*** N/A
Mac OS X N/A なし あり*** あり*** あり***

注意

Microsoft Edge レガシはサポートされなくなりました

*Internet Explorer バージョン 11 以降が必要です。 (2021 年 8 月 17 日以降、Microsoft 365 のアプリとサービスでは IE 11 はサポートされなくなります。)

**Internet Explorer バージョン 11 以降が必要です。 拡張保護モードを無効にします。

***別途構成が必要です。

****Chromium に基づく Microsoft Edge

次のステップ