Azure Active Directory パススルー認証によるユーザー サインイン

Azure Active Directory パススルー認証とは

Azure Active Directory (Azure AD) パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方にサインインできます。 この機能により、ユーザー エクスペリエンスが向上します。ユーザーは、覚えておくパスワードが 1 つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため IT ヘルプデスクのコストが削減します。 この機能により、ユーザーが Azure AD を使用してサインインするとき、ユーザーのパスワードがオンプレミスの Active Directory に対して直接検証されます。

この機能は、組織にクラウド認証を同じメリットをもたらす、Azure AD のパスワード ハッシュ同期の代わりです。 ただし、自身のオンプレミスの Active Directory のセキュリティとパスワード ポリシーを適用する必要がある特定の組織は、代わりにパススルー認証を使用することを選択できます。 Azure AD の各種サインイン方法の比較および組織に合った適切なサインイン方法の選び方については、こちらのガイドをご覧ください。

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 Windows 10 以降のマシンがある場合は、Hybrid Azure AD Join (AADJ) を使用します。 この方法では、ユーザーが企業ネットワーク内の会社のコンピューター アプリケーションにアクセスしてサインインするときに、パスワードを入力する必要がありません。

Azure AD パススルー認証を使用する主なメリット

• 優れたユーザー エクスペリエンス
  • ユーザーは、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方に同じパスワードを使用してサインインできます。
  • パスワード関連の問題を解決するのに、ユーザーが IT ヘルプデスクと対話する時間が減ります。
  • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
• デプロイと管理が容易
  • 簡単にオンプレミスにデプロイしてネットワーク構成できます。
  • オンプレミスには、軽量エージェントのみをインストールすれば済みます。
  • 管理のオーバーヘッドを排除できます。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
• セキュリティ保護
  • オンプレミス パスワードが何らかの形でクラウドに保存されることはありません。
  • 多要素認証 (MFA) を含む、Azure AD 条件付きアクセス ポリシーとレガシ認証のブロック、フィルター処理によるブルート フォース パスワード攻撃の除外により、作業を中断されずに、ユーザー アカウントを保護できます。
  • エージェントは、ネットワーク内からの送信接続のみを行います。 そのため、DMZ とも呼ばれる、境界ネットワークにエージェントをインストールする必要がありません。
  • エージェントと Azure AD の間の通信は、証明書ベースの認証を使用して保護されます。 これらの証明書は、Azure AD によって数か月ごとに自動的に更新されます。
• 高可用性
  • 追加のエージェントを複数のオンプレミス サーバーにインストールすることで、サインイン要求の高可用性を実現できます。

機能概要

• ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
• サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
• この機能は、多要素認証 (MFA) など、ユーザーをセキュリティで保護するのに役立つ条件付きアクセス機能とシームレスに連携します。
• クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
• ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
• これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
• これは、Azure AD Connect を使用して有効にすることができます。
• これでは、パスワード検証要求を待ち受けて応答する、軽量オンプレミス エージェントを使用します。
• 複数のエージェントをインストールすることにより、サインイン要求の高可用性が実現されます。
• これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ

• クイック スタート - Azure AD パススルー認証を起動および実行します。
• アプリを Azure AD に移行する: アプリケーションのアクセスと認証を Azure AD に移行するために役立つリソース。
• スマート ロックアウト - ユーザー アカウントを保護するようにテナントのスマート ロックアウト機能を構成します。
• Hybrid Azure AD Join: クラウドとオンプレミス リソース全体の SSO 用に、テナントで Hybrid Azure AD Join 機能を構成します。
• 現在の制限 - サポートされているシナリオと、サポートされていないシナリオを確認します。
• 技術的な詳細 - この機能のしくみを確認します。
• よく寄せられる質問 - よく寄せられる質問と回答です。
• トラブルシューティング - この機能に関する一般的な問題を解決する方法を確認します。
• セキュリティの詳細 - 機能に関する追加の詳細な技術情報です。
• Azure AD シームレス SSO - この補完的な機能の詳細を確認します。
• UserVoice - 新しい機能の要求を提出します。