Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ

Azure Active Directory (Azure AD) に参加しているデバイスによって、ご利用のテナントのクラウド アプリへのシングル サインオン (SSO) エクスペリエンスが提供されることは、おそらく驚くことではありません。 現在の環境にオンプレミスの Active Directory Domain Services (AD DS) がある場合は、Azure AD 参加済みデバイス上の SSO エクスペリエンスをオンプレミスの AD に依存するリソースとアプリケーションにも取得できます。

この記事では、この動作のしくみについて説明します。

前提条件

  • Azure AD 参加済みデバイス
  • オンプレミスの SSO には、オンプレミスの AD DS ドメイン コントローラーとの見通し内通信が必要です。 Azure AD 参加済みデバイスが組織のネットワークに接続されていない場合は、VPN または他のネットワーク インフラストラクチャが必要です。
  • Azure AD Connect: SAM アカウント名、ドメイン名、UPN など既定のユーザー属性を同期します。 詳細については、「Azure AD Connect によって同期される属性」の記事を参照してください。

しくみ

ユーザーは Azure AD 参加済みデバイスを使用して、ご利用の環境内のクラウド アプリへの SSO エクスペリエンスを既に手に入れています。 ご利用の環境に Azure AD とオンプレミス AD がある場合は、SSO エクスペリエンスの範囲をオンプレミスの業種 (LOB) アプリ、ファイル共有、およびプリンターにまで拡張することができます。

Azure AD 参加済みデバイスには、オンプレミス AD 環境についての情報はありません (その環境に参加していないため)。 ただし、Azure AD Connect を使用して、ご利用のオンプレミス AD に関する追加情報をこれらのデバイスに提供することができます。

Azure AD とオンプレミス AD の両方を使用するハイブリッド環境がある場合は、オンプレミスの ID 情報をクラウドに同期するためにデプロイされた Azure AD Connect または Azure AD Connect クラウド同期が既に存在している可能性があります。 同期プロセスの一環として、オンプレミスのユーザーとドメインの情報は、Azure AD に同期されます。 ハイブリッド環境においてユーザーが Azure AD 参加済みデバイスにサインインしたとき:

  1. Azure AD は、ユーザーのオンプレミス ドメインの詳細をプライマリ更新トークンと共にデバイスに返送します。
  2. ローカル セキュリティ機関 (LSA) サービスによって、デバイス上の Kerberos および NTLM 認証が有効になります。

注意

Azure AD 参加済みデバイスに対するパスワードレス認証を使用する場合は、追加の構成が必要です。

FIDO2 セキュリティ キー ベースのパスワードレス認証および Windows Hello for Business ハイブリッド クラウド信頼の詳細については、「Azure Active Directory を使用してオンプレミスのリソースへのパスワードなしのセキュリティ キー サインインを有効にする」を参照してください。

Windows Hello for Business ハイブリッド キー信頼の詳細については、「Windows Hello for Business を使用してオンプレミス シングル サインオン用に Azure AD 参加済みデバイスを構成する」を参照してください。

Windows Hello for Business ハイブリッド証明書の信頼については、「AADJ オンプレミス シングル サインオンに証明書を使用する」を参照してください。

ユーザーのオンプレミス環境で Kerberos または NTLM を要求しているリソースへのアクセスが試行されると、デバイスは次のようになります。

  1. ユーザーを認証するために、見つかった DC にオンプレミス ドメインの情報とユーザーの資格情報を送信します。
  2. オンプレミスのリソースまたはアプリケーションがサポートするプロトコルに基づいて、Kerberos のチケット発行許諾チケット (TGT) または NTLM トークンを受信します。 ドメインの Kerberos TGT または NTLM トークンを取得する試みが失敗した場合 (関連する DCLocator タイムアウトが遅延の原因である可能性があります)、資格情報マネージャー エントリが試みられるか、ユーザーがターゲット リソースの資格情報を要求する認証ポップアップを受け取る可能性があります。

Windows 統合認証の対象として構成されているすべてのアプリでは、ユーザーからのアクセスが試みられたときに、SSO がシームレスに適用されます。

取得内容

SSO を使用すると、Azure AD 参加済みデバイスで次のことができます。

  • AD のメンバー サーバー上の UNC パスへのアクセス
  • Windows 統合セキュリティ用に構成された AD メンバーである Web サーバーへのアクセス

Windows デバイスからオンプレミス AD を管理する場合は、リモート サーバー管理ツールをインストールします。

使用できるもの:

  • すべての AD オブジェクトを管理するための、Active Directory ユーザーとコンピューター (ADUC) スナップイン。 ただし、手動で接続するドメインを指定する必要があります。
  • AD 参加済み DHCP サーバーを管理するための、DHCP スナップイン。 ただし、DHCP サーバーの名前またはアドレスを指定する必要があります。

知っておくべきこと

  • 複数のドメインがある場合に必要なドメインについてのデータが確実に同期されるように、Azure AD Connect においてドメインベースのフィルター処理を調整することが必要になる場合があります。
  • Azure AD 参加済みデバイス上に AD 内のコンピューター オブジェクトがないため、Active Directory のコンピューター認証に依存するアプリとリソースは機能しません。
  • Azure AD 参加済みデバイス上でファイルを他のユーザーと共有することはできません。
  • Azure AD Join を使用したデバイスで実行されているアプリケーションは、ユーザーを認証できます。 ドメインの FQDN 名をドメイン部分として使用する暗黙的な UPN または NT4 型の構文を使用する必要があります。たとえば user@contoso.corp.com、または contoso. corp. com\ user と指定します。
    • アプリケーションが NETBIOS 名または従来の名前 (contoso\user など) を使用している場合、アプリケーションが取得するエラーは、NT error STATUS_BAD_VALIDATION_CLASS - 0xc00000a7、または Windows エラー ERROR_BAD_VALIDATION_CLASS - 1348「要求された検証情報クラスは無効です。」のどちらかとなります。 これは、従来のドメイン名を解決できる場合でも発生します。

次のステップ

詳細については、「Azure Active Directory のデバイス管理とは」を参照してください。