Microsoft Entra シームレス シングル サインオン

Microsoft Entra シームレス シングル サインオンとは?

Microsoft Entra シームレス シングル サインオン (Microsoft Entra シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。 この機能を有効にすると、ユーザーは Microsoft Entra ID にサインインするためにパスワードを入力する必要がなくなり、通常はユーザー名の入力も不要です。 この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ません

Seamless single sign-on

プライマリ更新トークンを介した SSO とシームレス SSO

Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合は、プライマリ更新トークン (PRT) を介した SSO を使用することをお勧めします。 Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。 シームレス SSO では、ユーザーのデバイスがドメインに参加している必要がありますが、Windows 10 の Microsoft Entra 参加済みデバイスMicrosoft Entra ハイブリッド参加済みデバイスでは使用されません。 プライマリ更新トークン (PRT) に基づいて、Microsoft Entra 参加済み、Microsoft Entra ハイブリッド参加済み、Microsoft Entra 登録済みデバイスの SSO が機能します

Microsoft Entra ハイブリッド参加済み、Microsoft Entra 参加済み、または個人登録済みのデバイスに対して PRT を介した SSO が機能するのは、[職場または学校アカウントを追加] を使用してデバイスが Azure AD に登録された後になります。 PRT を使用した Windows 10 での SSO のしくみについて詳しくは、「プライマリ更新トークン (PRT) と Microsoft Entra ID」を参照してください

主な利点

  • 優れたユーザー エクスペリエンス
    • ユーザーはオンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。
    • ユーザーはパスワードを何度も入力する必要がありません。
  • デプロイと管理が容易
    • オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。
    • パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。
    • グループ ポリシーを使用して一部またはすべてのユーザーに展開できます。
    • AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Microsoft Entra ID に登録できます。 この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。

機能概要

  • サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Microsoft Entra Connect (Alternate ID) で構成された別の属性を指定できます。 シームレス SSO は Kerberos チケットの securityIdentifier 要求を使用して Microsoft Entra ID で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。
  • シームレス SSO は便宜的な機能です。 なんらかの理由で実行に失敗した場合は、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。
  • アプリケーション (たとえば、https://myapps.microsoft.com/contoso.com) が Microsoft Entra サインイン要求で domain_hint (OpenID Connect) パラメーターや whr (SAML) パラメーター (テナントを識別する)、または login_hint ユーザーを識別するパラメーター を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。
  • アプリケーション (たとえば、https://contoso.sharepoint.com) がサインイン要求を、Microsoft Entra ID のエンドポイント (つまり、https://login.microsoftonline.com/common/<...>) ではなく、Microsoft Entra ID のテナントとして設定されているエンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com/<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。
  • サインアウトがサポートされています。 そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Microsoft Entra アカウントを使用することを選択できます。
  • Microsoft 365 Win32 クライアント (Outlook、Word、Excel など) のバージョン 16.0.8730.xxxx 以降は、非インタラクティブ フローを使用することでサポートされます。 OneDrive の場合、サイレント サインオン エクスペリエンス用の OneDrive サイレント構成機能をアクティブにする必要があります。
  • この機能は Microsoft Entra コネクトで有効にできます。
  • 無料の機能であるため、Microsoft Entra ID の有料版は必要ありません。
  • この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートしている Office クライアントでサポートされています。
OS\ブラウザー Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 はい* はい はい あり*** 該当なし
Windows 8.1 はい* あり**** はい あり*** 該当なし
Windows 8 はい* N/A はい あり*** 該当なし
Windows Server 2012 R2 以降 はい** N/A はい あり*** 該当なし
Mac OS X 該当なし なし あり*** あり*** あり***

注意

Microsoft Edge レガシはサポートされなくなりました

*Internet Explorer バージョン 11 以降が必要です。 (2021 年 8 月 17 日以降、Microsoft 365 のアプリとサービスは IE 11 をサポートしなくなります。)

**Internet Explorer バージョン 11 以降が必要です。 拡張保護モードを無効にします。

***別途構成が必要です。

****Chromium に基づく Microsoft Edge

次のステップ