Microsoft Entra パススルー認証とは
Microsoft Entra パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインできます。 この機能を使用すると、ユーザーのエクスペリエンスが向上します。パスワードを 1 つ減らして覚えておくと、ユーザーがサインインを忘れる可能性が低くなるため、IT ヘルプデスクのコストが削減されます。 ユーザーが Microsoft Entra ID を使用してサインインすると、この機能により、オンプレミスの Active Directory に対してユーザーのパスワードが直接検証されます。
この機能は、 Microsoft Entra パスワード ハッシュ同期の代わりに使用できます。これは、組織にクラウド認証と同じ利点を提供します。 ただし、オンプレミスの Active Directory のセキュリティポリシーとパスワード ポリシーを適用したい特定の組織では、代わりにパススルー認証を使用することを選択できます。 Microsoft Entra の各種サインイン方法の比較と、自組織に適したサインイン方法の選び方については、こちらのガイドをご覧ください。
パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 Windows 10 以降のマシンがある場合は、Microsoft Entra ハイブリッド参加 (AADJ) を使用します。 これにより、ユーザーが企業ネットワーク内の会社のコンピューター上のアプリケーションにアクセスするときに、サインインするためにパスワードを入力する必要はありません。
Microsoft Entra パススルー認証を使用する主な利点
- 優れたユーザー エクスペリエンス
- ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインします。
- ユーザーは、パスワード関連の問題を解決するために IT ヘルプデスクと話す時間を短縮できます。
- ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
- デプロイと管理が容易
- 複雑なオンプレミスデプロイやネットワーク構成は必要ありません。
- 軽量エージェントをオンプレミスにインストールするだけで済む。
- 管理オーバーヘッドはありません。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
- セキュリティ保護
- オンプレミスのパスワードは、どのような形式でもクラウドに保存されることはありません。
- 多要素認証 (MFA) を含む Microsoft Entra 条件付きアクセス ポリシーとのシームレスな連携、レガシ認証のブロック、ブルート フォース パスワード攻撃の除去により、ユーザー アカウントを保護します。
- エージェントは、ネットワーク内からの送信接続のみを行います。 そのため、DMZ とも呼ばれる境界ネットワークにエージェントをインストールする必要はありません。
- エージェントと Microsoft Entra ID の間の通信は、証明書ベースの認証を使用してセキュリティで保護されます。 これらの証明書は、Microsoft Entra ID によって数か月ごとに自動的に更新されます。
- 高可用性
- 複数のオンプレミス サーバーに追加のエージェントをインストールして、サインイン要求の高可用性を実現できます。
機能概要
- ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
- サインイン ユーザー名には、オンプレミスの既定のユーザー名 (
userPrincipalName
) または Microsoft Entra Connect で構成された別の属性 (Alternate ID
と呼ばれます) を指定できます。 - この機能は、多要素認証 (MFA) など、ユーザーをセキュリティで保護するのに役立つ条件付きアクセス機能とシームレスに連携します。
- クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
- ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
- これは無料の機能であり、使用するために Microsoft Entra ID の有料エディションは必要ありません。
- この機能は、Microsoft Entra Connect を使用して有効にできます。
- パスワード検証要求をリッスンして応答する軽量のオンプレミス エージェントを使用します。
- 複数のエージェントをインストールすると、サインイン要求の高可用性が提供されます。
- これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。
次のステップ
- クイック スタート - Microsoft Entra パススルー認証を稼働させます。
- アプリを Microsoft Entra ID に移行する: アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース。
- スマート ロックアウト - ユーザー アカウントを保護するため、テナントのスマート ロックアウト機能を構成します。
- Microsoft Entra hybrid join: クラウドとオンプレミス リソース全体の SSO 用に、テナントで Microsoft Entra hybrid join 機能を構成します。
- 現在の制限 - サポートされているシナリオと、サポートされていないシナリオを確認します。
- 技術的な詳細 - この機能のしくみを確認します。
- よく寄せられる質問 - よく寄せられる質問と回答です。
- トラブルシューティング - この機能に関する一般的な問題を解決する方法を確認します。
- セキュリティの詳細 - この機能に関する追加の詳細な技術情報です。
- Microsoft Entra シームレス SSO - この補完的な機能の詳細を確認します。
- UserVoice - 新しい機能の要求を提出します。