段階的なロールアウトを使用してクラウド認証に移行する

段階的なロールアウトを使用すると、ドメインを切り替える前に、Azure AD Multi-Factor Authentication (MFA)、条件付きアクセス、漏洩した資格情報のための Identity Protection、Identity Governance などのクラウド認証機能を使用して、ユーザーのグループを選択的にテストできます。 この記事では、スイッチの作成方法について説明します。 ただし、段階的なロールアウトを開始する前に、次の条件が 1 つ以上当てはまる場合の影響を検討する必要があります。

• 現在、オンプレミスの Multi-Factor 認証サーバーを使用しています。
• 認証にスマート カードを使用しています。
• お使いのサーバーは、特定のフェデレーション専用機能を提供しています。

この機能を試す前に、適切な認証方法の選択に関するガイドを確認するようお勧めします。 詳細については、「メソッドの比較」の表を参照して、Azure Active Directory ハイブリッド ID ソリューションの適切な認証方法を選択する を参照してください。

この機能の概要については、次の「Azure Active Directory: 段階的なロールアウトとは?」の動画をご覧ください。

前提条件

• フェデレーション ドメインを持つ Azure Active Director (Azure AD) テナントがあること。

• 次のいずれかのオプションの移行を決定していること。

  • パスワード ハッシュ同期 (sync)。 詳細については、パスワード ハッシュ同期の概要ページを参照してください。
  • パススルー認証。 詳細については、「パススルー認証とは」を参照してください
  • Azure AD の証明書ベースの認証 (CBA) の設定。 詳細については、「Azure AD の証明書ベースの認証の概要」を参照してください

  いずれのオプションでも、サイレント サインインできるよう、シングル サインオン (SSO) を有効にすることをお勧めします。 Windows 7 または 8.1 のドメイン参加デバイスの場合、シームレス SSO の使用をお勧めします。 詳細については、シームレス SSO の概要ページを参照してください。 Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合、Azure AD 参加デバイス、ハイブリッド Azure AD 参加デバイス、または [職場または学校アカウントの追加] を使用して登録した個人用デバイスで、プライマリ更新トークン (PRT) 経由の SSO を使用することをお勧めします。

• クラウド認証に移行するユーザーに必要なすべての適切なテナント ブランドと条件付きアクセスポリシーを構成しました。

• Azure AD Multi-Factor Authentication の使用を計画している場合は、セルフサービス パスワード リセット (SSPR) と Multi-Factor Authentication の統合された登録を使用して、ユーザーが認証方法を 1 回で登録できるようにすることをお勧めします。 注: 段階的なロールアウトの最中に [マイ プロファイル] ページで SSPR を使用してパスワードをリセットまたは変更した場合、Azure AD Connect は新しいパスワード ハッシュを同期する必要があります。これには、リセットの後に最大 2 分かかることがあります。

• 段階的なロールアウト機能を使用するには、テナントのハイブリッド ID 管理者である必要があります。

• 特定の AD フォレストで シームレス SSO を有効にするには、ドメイン管理者である必要があります。

• Hybrid Azure AD または Azure AD 参加を展開する場合、Windows 10 1903 Update にアップグレードする必要があります。

サポートされるシナリオ

段階的なロールアウトでは、次のシナリオがサポートされています。 この機能は、次の場合にのみ機能します：

• Azure AD Connect を使用して、Azure AD にプロビジョニングされているユーザー。 「クラウドのみ」のユーザーには適用されません。

• ブラウザーおよび 最新の認証 クライアント上でのユーザー サインイン トラフィック。 レガシ認証を使用するアプリケーションまたはクラウド サービスは、フェデレーション認証のフローにフォールバックします。 レガシ認証の例としては、最新の認証が無効になっている Exchange オンラインや、最新の認証をサポートしていない Outlook 2010 があります。

• グループ サイズは現在 50,000 ユーザーに制限されています。 50,000 ユーザーより大きなグループがある場合は、段階的なロールアウトのために、このグループを複数のグループに分割することをお勧めします。

• Windows 10 バージョン 1903 以降の、フェデレーション サーバーへの通信経路を使用しない Windows 10 ハイブリッド参加または Azure AD 参加のプライマリ更新トークンの取得 (ユーザーの UPN がルーティング可能であり、ドメイン サフィックスが Azure AD で検証されている場合)。

• Windows 10 バージョン 1909 以降では、段階的なロールアウトでオートパイロットの登録がサポートされています。

サポートされていないシナリオ

段階的なロールアウトでは、次のシナリオはサポートされていません。

• POP3 や SMTP などのレガシ認証はサポートされていません。

• 特定のアプリケーションは、認証中に「domain_hint」クエリ パラメーターを Azure AD に送信します。 これらのフローは続行され、段階的なロールアウトに対して有効になっているユーザーは引き続き、認証にフェデレーションを使用します。

• 管理者は、セキュリティ グループを使用してクラウド認証をロールアウトできます。 オンプレミスの Active Directory セキュリティグループを使用しているときに、同期の待機時間を回避するには、クラウド セキュリティ グループを使用するようお勧めします。 次の条件が適用されます：

  • 機能ごとに最大 10 個のグループを使用できます。 つまり、パスワードハッシュ同期、パススルー認証、シームレス SSO に対して、それぞれ 10 個のグループを使用できます。
  • 入れ子になったグループはサポートされていません。
  • 段階的なロールアウトでは、動的グループはサポートされていません。
  • グループ内の連絡先オブジェクトがグループ フォームの追加をブロックします。

• 段階的なロールアウトでセキュリティ グループを初めて追加するときは、UX タイムアウトを回避するために 200 ユーザーに制限されます。グループを追加した後は、必要に応じて、さらに多くのユーザーをそこに直接追加できます。

• ユーザーがパスワード ハッシュ同期 (PHS) を使用して段階的ロールアウトを行っている間、既定ではパスワードの有効期限は適用されません。 パスワードの有効期限は、"EnforceCloudPasswordPolicyForPasswordSyncedUsers" を有効にすることで適用できます。 EnforceCloudPasswordPolicyForPasswordSyncedUsers が有効な場合、パスワードの有効期限ポリシーは、オンプレミスでパスワードが設定されたときから 90 日間に設定され、これをカスタマイズするオプションはありません。 ユーザーが段階的ロールアウト中の場合、プログラムによる PasswordPolicies 属性の更新はサポートされていません。 'EnforceCloudPasswordPolicyForPasswordSyncedUsers' を設定する方法については、「パスワードの有効期限ポリシー」を参照してください。

• 1903 より前の Windows 10 バージョンの、Windows 10 ハイブリッド参加または Azure AD 参加のプライマリ更新トークンの取得。 このシナリオは、ユーザーのサインインが段階的なロールアウトのスコープ内にある場合でも、フェデレーション サーバーの WS-Trust エンドポイントにフォールバックします。

• すべてのバージョンの Windows 10 ハイブリッド参加または Azure AD 参加のプライマリ更新トークンの取得 (ユーザーのオンプレミス UPN がルーティング可能でない場合)。 このシナリオは、段階的なロールアウトのモードにある間は WS-Trust エンドポイントにフォールバックしますが、段階的な移行が完了し、ユーザーのサインオンがフェデレーション サーバーに依存しなくなったときに機能を停止します。

• Windows 10 バージョン 1903 以降で非永続的な VDI を設定している場合は、フェデレーション ドメインにとどまる必要があります。 非永続的な VDI では、マネージド ドメインへの移行はサポートされていません。 詳細については、「デバイス ID とデスクトップの仮想化」を参照してください。

• 登録機関またはスマート カード ユーザーとして機能しているフェデレーション サーバー経由で発行された証明書と共に Windows Hello for Business のハイブリッド証明書信頼を使用している場合、このシナリオは段階的なロールアウトではサポートされません。

  注意

  それでも、フェデレーションからクラウド認証への最終的な切り替えを、 Azure AD Connect または PowerShell を使用して行う必要があります。 段階的なロールアウトによって、ドメインがフェデレーションからマネージドに切り替えられることはありません。 ドメイン カットオーバーの詳細については、フェデレーションからパスワード ハッシュ同期に移行する方法およびフェデレーションからパススルー認証に移行する方法に関する記事を参照してください。

段階的なロールアウトの使用を開始する

段階的なロールアウトを使用してパスワード ハッシュ同期のサインインをテストするには、次のセクションにある事前作業の手順に従います。

使用する PowerShell コマンドレットの詳細については、「Azure AD 2.0 プレビュー」を参照してください。

パスワード ハッシュ同期の事前作業

1. Azure AD Connect の [オプション機能] ページから、パスワード ハッシュ同期を有効にします。 

   

2. すべてのユーザーのパスワード ハッシュが、Azure AD に同期されるように、完全な パスワード ハッシュ同期サイクルが実行されていることを確認します。 パスワードハッシュ同期の状態を確認するには、Azure Active Directory Connect同期によるパスワードハッシュ同期のトラブルシューティング のPowerShell 診断を使用できます。

   

段階的なロールアウトを使用してパススルー認証のサインインをテストする場合は、次のセクションにある事前作業の手順に従ってそれを有効にします。

パススルー認証の事前作業

1. パススルー認証エージェントを実行する、Windows Server 2012 R2 以降を実行しているサーバーを特定します。

   Azure AD Connect サーバーを 選択しない でください。  そのサーバーがドメインに参加していて、選択したユーザーを Active Directory で認証し、送信ポートや URL で Azure AD と通信できることを確認します。 詳細については、クイックスタートの「ステップ1：前提条件を確認する」のセクションを確認します：Azure AD シームレス シングル サインオン。

2. Microsoft Azure AD Connect 認証エージェントをダウンロードして、サーバーにインストールします。 

3. 高可用性を有効にするには、他のサーバーに追加の認証エージェントをインストールします。

4. スマート ロックアウトの設定が適切に構成されているか確認します。 そうすることで、ユーザーのオンプレミスの Active Directory Domain Services アカウントが悪意のある攻撃者によってロックアウトされないようにすることができます。

段階的なロールアウトのために選択するサインイン方法 (パスワード ハッシュ同期またはパススルー認証) には関係なく、シームレス SSO を有効にすることをお勧めします。 シームレス SSO を有効にするには、次のセクションの作業前の手順に従います。

シームレス SSO の事前作業

PowerShell を使用して、Active Directory Domain Services フォレストでシームレス SSO を有効にします。 複数の Active Directory フォレストがある場合は、各フォレストに対して個別に有効にします。  シームレス SSO は、段階的なロールアウトのために選択されているユーザーに対してのみトリガーされます。 既存のフェデレーション設定には影響しません。

次の手順に従って、シームレス SSOを有効にします：

1. Azure AD Connect サーバーにログインします。

2. %programfiles%\Microsoft Azure Active Directory Connect フォルダーに移動します。

3. 次のコマンドレットを実行して、シームレス SSO PowerShell モジュールをインポートします：

   Import-Module .\AzureADSSO.psd1

4. PowerShell を管理者として実行します。 PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。 このコマンドを実行すると、テナントのハイブリッド ID 管理者資格情報を入力できるペインが開きます。

5. Get-AzureADSSOStatus | ConvertFrom-Json を呼び出します。 このコマンドは、この機能が有効になっている Active Directory フォレストの一覧 (「ドメイン」リストを参照) を表示します。 これは、既定ではテナント レベルで false に設定されています。

   

6. $creds = Get-Credential を呼び出します。 プロンプトが表示されたら、目的の Active Directory フォレストのドメイン管理者の資格情報を入力します。

7. Enable-AzureADSSOForest -OnPremCredentials $creds を呼び出します。 このコマンドは、シームレス SSO に必要なこの特定の Active Directory フォレスト用のオンプレミスのドメイン コントローラーから AZUREADSSOACC コンピューターのアカウントを作成します。

8. シームレス SSO を使用するには、URL がイントラネット ゾーンに含まれている必要があります。 グループポリシーを使用して、これらの Url をデプロイする方法については、クイックスタート：Azure AD シームレス シングル サインオン。

9. 完全なチュートリアルについては、シームレス SSO 用のデプロイ計画 をダウンロードすることもできます。

段階的なロールアウトを有効にする

特定の機能 (パススルー認証、パスワードハッシュ同期、または シームレスSSO) をグループ内の選択したユーザーセットにロールアウトするには、次のセクションの手順に従います。

テナントの特定の機能の段階的なロールアウトを有効にする

次のオプションをロールアウトできます。

• パスワード ハッシュ同期 + シームレス SSO
• パススルー認証 + シームレス SSO
• サポート対象外 - パスワード ハッシュ同期 + パススルー認証 + シームレス SSO
• 証明書ベースの認証の設定
• Azure Multifactor Authentication

段階的ロールアウトを構成するには、こちらの手順に従います。

1. 組織のユーザー管理者ロールで Azure portal にサインインします。

2. Azure Active Directory を検索して選択します。

3. 左側のメニューから、[Azure AD Connect] を選択します。

4. [Azure AD Connect] ページの [クラウド認証の段階的なロールアウト] で、[マネージド ユーザー サインインの段階的ロールアウトを有効にする] リンクを選択します。

5. [段階的ロールアウト機能を有効にする] ページで、有効にするオプション (パスワード ハッシュ同期、パススルー認証、シームレス シングル サインオン、または証明書ベースの認証) を選択します。 たとえば、パスワード ハッシュ同期とシームレス シングル サインオンを有効にする場合、両方のコントロールを [オン] に切り替えます。

6. 選択した機能にグループを追加します。 たとえば、"パススルー認証" と "シームレス SSO" です。 タイムアウトを回避するには、最初に、セキュリティ グループに含まれるメンバーが 200 人以下であることを確認してください。

   注意

   グループ内のメンバーは、段階的なロールアウトに対して自動的に有効になります。 段階的なロールアウトでは、入れ子になったグループと動的グループはサポートされていません。 新しいグループを追加するとき、グループ内のユーザー (新しいグループ 1 つにつき最大 200 ユーザー) が、即座にマネージド認証を使用するように更新されます。 グループを編集する (ユーザーを追加または削除する) 場合、変更が有効になるまでに最大 24 時間かかることがあります。 シームレス SSO は、ユーザーがシームレス SSO グループ内にあり、PTA または PHS グループのいずれかにも含まれている場合にのみ適用されます。

監査

段階的なロールアウトで実行するさまざまなアクションの監査イベントが有効になっています。

• パスワード ハッシュ同期、パススルー認証、またはシームレス SSO に対して段階的なロールアウトを有効にするときの監査イベント。

  注意

  段階的なロールアウトを使用してシームレス SSO を有効したときに監査イベントが記録されます。

  

  

• パスワード ハッシュ同期、パススルー認証、シームレス SSO に対してグループを追加したときの監査イベント。

  注意

  段階的なロールアウトのためにグループがパスワード ハッシュ同期に追加されたときに監査イベントが記録されます。

  

  

• グループに追加されたユーザーが段階的なロールアウトに対して有効になったときの監査イベント。

  

  

検証

パスワード ハッシュ同期または パススルー認証 を使用したサインイン (ユーザー名とパスワードによるサインイン) をテストするには、次のようにします：

1. エクストラネットで、プライベート ブラウザー セッションの [アプリ] ページに移動し、段階的なロールアウトのために選択されているユーザー アカウントの UserPrincipalName (UPN) を入力します。

   段階的なロールアウトの対象となっているユーザーは、フェデレーション ログイン ページにリダイレクトされません。 代わりに、Azure AD テナントブランドのサインインページでサインインするように求められます。

2. UserPrincipalName でフィルター処理して、Azure AD サインイン アクティビティ レポートにサインインが正常に表示されていることを確認します。

シームレス SSO を使用したサインインをテストするには、次のようにします:

1. イントラネットで、プライベート ブラウザー セッションの [アプリ] ページに移動し、段階的なロールアウトのために選択されているユーザー アカウントの UserPrincipalName (UPN) を入力します。

   シームレス SSO の段階的なロールアウトの対象となっているユーザーには、サイレントにサインインする前に「サインインしようとしています...」というメッセージが表示されます。

2. UserPrincipalName でフィルター処理して、Azure AD サインイン アクティビティ レポートにサインインが正常に表示されていることを確認します。

   選択された段階的なロールアウトのユーザーに対して Active Directory フェデレーション サービス (AD FS) で引き続き実行されているユーザーのサインインを追跡するには、「AD FS のトラブルシューティング - イベントとログ」の手順に従います。 サード パーティのフェデレーション プロバイダーで、これを確認する方法については、ベンダーのドキュメントを確認してください。

   注意

   ユーザーが PHS で段階的なロールアウトを使用しているときにパスワードを変更すると、同期時間のため、有効になるまでに最大 2 分かかることがあります。 ユーザーがパスワードを変更したときに混乱が生じないように、それが反映されるまでの想定時間をあらかじめ伝えるようにしてください。

監視

Azure portal の新しいハイブリッド認証ブックを使用して、段階的なロールアウトに追加または削除されたユーザーとグループや、段階的なロールアウトを使用しているユーザーのサインインを監視できます。

段階的なロールアウトからユーザーを削除する

ユーザーをグループから削除すると、そのユーザーの段階的なロールアウトが無効になります。 段階的なロールアウト機能を無効にするには、そのコントロールを [オフ] に戻します。

よく寄せられる質問

Q:この機能を運用環境で使用できますか？

A:はい。この機能は運用テナントで使用できますが、まずテスト テナントでこの機能を試すようお勧めします。

Q:この機能を使用して、一部のユーザーがフェデレーション認証を使用し、その他のユーザーがクラウド認証を使用するという永続的な "共存" を維持することはできますか？

A:いいえ。この機能は、クラウド認証をテストする目的で設計されています。 少数のユーザー グループのテストが成功したら、クラウド認証に移行する必要があります。 予期しない認証フローにつながる可能性があるため、永続的な混在状態は、お勧めしません。

Q: PowerShell を使用して段階的なロールアウトを実行できますか?

A:はい。 PowerShell を使用して段階的なロールアウトを実行する方法については、Azure AD プレビューに関するページを参照してください。

次のステップ

• Azure Active Directory 2.0 プレビュー
• サインイン方法をパスワード ハッシュ同期に変更する
• サインイン方法をパススルー認証に変更する
• 段階的なロールアウトの対話型ガイド