次の方法で共有


Microsoft Entra パススルー認証を使用したユーザー サインイン

Microsoft Entra パススルー認証とは

Microsoft Entra パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインできます。 この機能を使用すると、ユーザーのエクスペリエンスが向上します。パスワードを 1 つ減らして覚えておくと、ユーザーがサインインを忘れる可能性が低くなるため、IT ヘルプデスクのコストが削減されます。 ユーザーが Microsoft Entra ID を使用してサインインすると、この機能により、オンプレミスの Active Directory に対してユーザーのパスワードが直接検証されます。

この機能は、 Microsoft Entra パスワード ハッシュ同期の代わりに使用できます。これは、組織にクラウド認証と同じ利点を提供します。 ただし、オンプレミスの Active Directory のセキュリティポリシーとパスワード ポリシーを適用したい特定の組織では、代わりにパススルー認証を使用することを選択できます。 Microsoft Entra の各種サインイン方法の比較と、自組織に適したサインイン方法の選び方については、こちらのガイドをご覧ください。

Microsoft Entra パススルー認証

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 Windows 10 以降のマシンがある場合は、Microsoft Entra ハイブリッド参加 (AADJ) を使用します。 これにより、ユーザーが企業ネットワーク内の会社のコンピューター上のアプリケーションにアクセスするときに、サインインするためにパスワードを入力する必要はありません。

Microsoft Entra パススルー認証を使用する主な利点

  • 優れたユーザー エクスペリエンス
    • ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインします。
    • ユーザーは、パスワード関連の問題を解決するために IT ヘルプデスクと話す時間を短縮できます。
    • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
  • デプロイと管理が容易
    • 複雑なオンプレミスデプロイやネットワーク構成は必要ありません。
    • 軽量エージェントをオンプレミスにインストールするだけで済む。
    • 管理オーバーヘッドはありません。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
  • セキュリティ保護
    • オンプレミスのパスワードは、どのような形式でもクラウドに保存されることはありません。
    • 多要素認証 (MFA) を含む Microsoft Entra 条件付きアクセス ポリシーとのシームレスな連携、レガシ認証のブロックブルート フォース パスワード攻撃の除去により、ユーザー アカウントを保護します。
    • エージェントは、ネットワーク内からの送信接続のみを行います。 そのため、DMZ とも呼ばれる境界ネットワークにエージェントをインストールする必要はありません。
    • エージェントと Microsoft Entra ID の間の通信は、証明書ベースの認証を使用してセキュリティで保護されます。 これらの証明書は、Microsoft Entra ID によって数か月ごとに自動的に更新されます。
  • 高可用性
    • 複数のオンプレミス サーバーに追加のエージェントをインストールして、サインイン要求の高可用性を実現できます。

機能概要

  • ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
  • サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Microsoft Entra Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
  • この機能は、多要素認証 (MFA) など、ユーザーをセキュリティで保護するのに役立つ条件付きアクセス機能とシームレスに連携します。
  • クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
  • ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
  • これは無料の機能であり、使用するために Microsoft Entra ID の有料エディションは必要ありません。
  • この機能は、Microsoft Entra Connect を使用して有効にできます。
  • パスワード検証要求をリッスンして応答する軽量のオンプレミス エージェントを使用します。
  • 複数のエージェントをインストールすると、サインイン要求の高可用性が提供されます。
  • これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ