Microsoft Entra パススルー認証を使用したユーザー サインイン

Microsoft Entra パススルー認証とは

Microsoft Entra パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインできます。 この機能を使用すると、ユーザーのエクスペリエンスが向上します。パスワードを 1 つ減らして覚えておくと、ユーザーがサインインを忘れる可能性が低くなるため、IT ヘルプデスクのコストが削減されます。 ユーザーが Microsoft Entra ID を使用してサインインすると、この機能により、オンプレミスの Active Directory に対してユーザーのパスワードが直接検証されます。

この機能は、 Microsoft Entra パスワード ハッシュ同期の代わりに使用できます。これは、組織にクラウド認証と同じ利点を提供します。 ただし、オンプレミスの Active Directory のセキュリティポリシーとパスワード ポリシーを適用したい特定の組織では、代わりにパススルー認証を使用することを選択できます。 Microsoft Entra の各種サインイン方法の比較と、自組織に適したサインイン方法の選び方については、こちらのガイドをご覧ください。

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 Windows 10 以降のマシンがある場合は、Microsoft Entra ハイブリッド参加 (AADJ) を使用します。 これにより、ユーザーが企業ネットワーク内の会社のコンピューター上のアプリケーションにアクセスするときに、サインインするためにパスワードを入力する必要はありません。

Microsoft Entra パススルー認証を使用する主な利点

• 優れたユーザー エクスペリエンス
  • ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインします。
  • ユーザーは、パスワード関連の問題を解決するために IT ヘルプデスクと話す時間を短縮できます。
  • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
• デプロイと管理が容易
  • 複雑なオンプレミスデプロイやネットワーク構成は必要ありません。
  • 軽量エージェントをオンプレミスにインストールするだけで済む。
  • 管理オーバーヘッドはありません。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
• セキュリティ保護
  • オンプレミスのパスワードは、どのような形式でもクラウドに保存されることはありません。
  • 多要素認証 (MFA) を含む Microsoft Entra 条件付きアクセス ポリシーとのシームレスな連携、レガシ認証のブロック、ブルート フォース パスワード攻撃の除去により、ユーザー アカウントを保護します。
  • エージェントは、ネットワーク内からの送信接続のみを行います。 そのため、DMZ とも呼ばれる境界ネットワークにエージェントをインストールする必要はありません。
  • エージェントと Microsoft Entra ID の間の通信は、証明書ベースの認証を使用してセキュリティで保護されます。 これらの証明書は、Microsoft Entra ID によって数か月ごとに自動的に更新されます。
• 高可用性
  • 複数のオンプレミス サーバーに追加のエージェントをインストールして、サインイン要求の高可用性を実現できます。

機能概要

• ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
• サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Microsoft Entra Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
• この機能は、多要素認証 (MFA) など、ユーザーをセキュリティで保護するのに役立つ条件付きアクセス機能とシームレスに連携します。
• クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
• ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
• これは無料の機能であり、使用するために Microsoft Entra ID の有料エディションは必要ありません。
• この機能は、Microsoft Entra Connect を使用して有効にできます。
• パスワード検証要求をリッスンして応答する軽量のオンプレミス エージェントを使用します。
• 複数のエージェントをインストールすると、サインイン要求の高可用性が提供されます。
• これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ

• クイック スタート - Microsoft Entra パススルー認証を稼働させます。
• アプリを Microsoft Entra ID に移行する: アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース。
• スマート ロックアウト - ユーザー アカウントを保護するため、テナントのスマート ロックアウト機能を構成します。
• Microsoft Entra hybrid join: クラウドとオンプレミス リソース全体の SSO 用に、テナントで Microsoft Entra hybrid join 機能を構成します。
• 現在の制限 - サポートされているシナリオと、サポートされていないシナリオを確認します。
• 技術的な詳細 - この機能のしくみを確認します。
• よく寄せられる質問 - よく寄せられる質問と回答です。
• トラブルシューティング - この機能に関する一般的な問題を解決する方法を確認します。
• セキュリティの詳細 - この機能に関する追加の詳細な技術情報です。
• Microsoft Entra シームレス SSO - この補完的な機能の詳細を確認します。
• UserVoice - 新しい機能の要求を提出します。