Microsoft Entra シームレス シングル サインオンとは?
Microsoft Entra シームレス シングル サインオン (Microsoft Entra シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。 この機能を有効にすると、ユーザーは Microsoft Entra ID にサインインするためにパスワードを入力する必要がなくなり、通常はユーザー名の入力も不要です。 この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。
シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ません。
プライマリ更新トークンを介した SSO とシームレス SSO
Windows 10、Windows Server 2016、およびそれ以降のバージョンでは、プライマリ更新トークン (PRT) を介して SSO を使用することをお勧めします。 Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。 シームレス SSO では、ユーザーのデバイスがドメインに参加している必要がありますが、Windows 10 の Microsoft Entra 参加済みデバイスや Microsoft Entra ハイブリッド参加済みデバイスでは使用されません。 プライマリ更新トークン (PRT) に基づいて、Microsoft Entra 参加済み、Microsoft Entra ハイブリッド参加済み、Microsoft Entra 登録済みデバイスの SSO が機能します
Microsoft Entra ハイブリッド参加済み、Microsoft Entra 参加済み、または個人登録済みのデバイスに対して PRT を介した SSO が機能するのは、[職場または学校アカウントを追加] を使用してデバイスが Azure AD に登録された後になります。 PRT を使用した Windows 10 での SSO のしくみについて詳しくは、「プライマリ更新トークン (PRT) と Microsoft Entra ID」を参照してください
主な利点
- 優れたユーザー エクスペリエンス
- ユーザーはオンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。
- ユーザーはパスワードを何度も入力する必要がありません。
- デプロイと管理が容易
- オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。
- パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。
- グループ ポリシーを使用して一部またはすべてのユーザーに展開できます。
- AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Microsoft Entra ID に登録できます。 この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。
機能概要
- サインイン ユーザー名には、オンプレミスの既定のユーザー名 (
userPrincipalName) または Microsoft Entra Connect (Alternate ID) で構成された別の属性を指定できます。 シームレス SSO は Kerberos チケットのsecurityIdentifier要求を使用して Microsoft Entra ID で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。 - シームレス SSO は便宜的な機能です。 これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。
- アプリケーション (たとえば、
https://myapps.microsoft.com/contoso.com) が Microsoft Entra サインイン要求でdomain_hint(OpenID Connect) パラメーターやwhr(SAML) パラメーター (テナントを識別する)、またはlogin_hintユーザーを識別するパラメーター を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。 - アプリケーション (たとえば、
https://contoso.sharepoint.com) がサインイン要求を、Microsoft Entra ID のエンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..>) ではなく、Microsoft Entra ID のテナントとして設定されているエンドポイント (つまり、https://login.microsoftonline.com/<tenant_ID>/<..>またはhttps://login.microsoftonline.com/common/<...>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。 - サインアウトがサポートされています。 そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Microsoft Entra アカウントを使用することを選択できます。
- Microsoft 365 Win32 クライアント (Outlook、Word、Excel など) のバージョン 16.0.8730.xxxx 以降は、非インタラクティブ フローを使用することでサポートされます。 OneDrive の場合は、サイレント サインオン エクスペリエンスのために、OneDrive サイレント構成機能 をアクティブにする必要があります。
- この機能は Microsoft Entra コネクトで有効にできます。
- 無料の機能であるため、Microsoft Entra ID の有料版は必要ありません。
- この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートしている Office クライアントでサポートされています。
| OS\ブラウザー | Internet Explorer | Microsoft Edge**** | グーグルクローム | Mozilla Firefox | Safari |
|---|---|---|---|---|---|
| Windows 10/11 | はい* | はい | はい | あり*** | 該当なし |
| Windows 8.1 | はい* | はい**** | はい | あり*** | 該当なし |
| Windows 8 | はい* | 該当なし | はい | あり*** | 該当なし |
| Windows Server 2012 R2 以降 | はい** | はい**** | はい | あり*** | 該当なし |
| Mac OS X | 該当なし | 該当なし | あり*** | あり*** | あり*** |
注
Microsoft Edge レガシはサポートされなくなりました
*Internet Explorer バージョン 11 以降が必要です。 (2021 年 8 月 17 日以降、Microsoft 365 のアプリとサービスは Internet Explorer 11 をサポートしなくなります。)
**Internet Explorer バージョン 11 以降が必要です。 拡張保護モードを無効にします。
***別途構成が必要です。
****Chromium に基づく Microsoft Edge