Azure Active Directory シームレス シングル サインオン
Azure Active Directory シームレス シングル サインオンとは
Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。 この機能を有効にすると、ユーザーは Azure AD にサインインするためにパスワードを入力する必要がなくなります。また、通常はユーザー名の入力も不要です。 この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。
シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ません。
プライマリ更新トークンを介した SSO とシームレス SSO
Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合は、プライマリ更新トークン (PRT) を介した SSO を使用することをお勧めします。 Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。 シームレス SSO では、ユーザーのデバイスがドメインに参加している必要がありますが、これは、Windows 10 の Azure AD 参加済みデバイスや Hybrid Azure AD 参加済みデバイスでは使用されません。 Azure AD 参加済み、Hybrid Azure AD 参加済み、および Azure AD 登録済みデバイスでの SSO は、プライマリ更新トークン (PRT) に基づいて機能します。
Hybrid Azure AD 参加済み、Azure AD 参加済み、または個人登録済みのデバイスに対して PRT を介した SSO が機能するのは、[職場または学校アカウントを追加] を使用してデバイスが Azure AD に登録された後になります。 PRT を使用した Windows 10 での SSO のしくみについて詳しくは、「プライマリ更新トークン (PRT) と Azure AD」を参照してください。
主な利点
- 優れたユーザー エクスペリエンス
- ユーザーは、オンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。
- ユーザーは、パスワードを繰り返し入力する必要はありません。
- デプロイと管理が容易
- オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。
- パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。
- グループ ポリシーを使用して、一部のユーザーまたはすべてのユーザーに展開できます。
- AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Azure AD に登録できます。 この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。
機能概要
- サインインのユーザー名には、オンプレミスの既定のユーザー名 (
userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID) を指定できます。 シームレス SSO は Kerberos チケットのsecurityIdentifier要求を使用して Azure AD で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。 - シームレス SSO は便宜的な機能です。 これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。
- アプリケーション (たとえば、
https://myapps.microsoft.com/contoso.com) が Azure AD サインイン要求でdomain_hint(OpenID Connect) パラメーターやwhr(SAML) パラメーター (テナントを識別する)、またはlogin_hintパラメーター (ユーザーを識別する) を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。 - アプリケーション (たとえば、
https://contoso.sharepoint.com) がサインイン要求を、Azure AD の共通エンドポイント (つまり、https://login.microsoftonline.com/common/<...>) ではなく、Azure AD のテナントとして設定されているエンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..>またはhttps://login.microsoftonline.com/<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。 - サインアウトがサポートされています。 そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Azure AD アカウントを使用することを選択できます。
- バージョン 16.0.8730.xxxx 以降の Microsoft 365 Win32 クライアント (Outlook、Word、Excel など) は、非対話型フローを使用してサポートされています。 OneDrive の場合、サイレント サインオン エクスペリエンス用の OneDrive サイレント構成機能をアクティブにする必要があります。
- この機能は、Azure AD Connect を使用して有効にできます。
- これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
- この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートする Office クライアントでサポートされています。
| OS\ブラウザー | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
|---|---|---|---|---|---|
| Windows 10 | はい* | はい | はい | あり*** | 該当なし |
| Windows 8.1 | はい* | あり**** | はい | あり*** | 該当なし |
| Windows 8 | はい* | N/A | はい | あり*** | 該当なし |
| Windows Server 2012 R2 以降 | はい** | N/A | はい | あり*** | 該当なし |
| Mac OS X | 該当なし | なし | あり*** | あり*** | あり*** |
注意
Microsoft Edge レガシはサポートされなくなりました
*Internet Explorer バージョン 11 以降が必要です。 (2021 年 8 月 17 日以降、Microsoft 365 のアプリとサービスでは IE 11 はサポートされなくなります。)
**Internet Explorer バージョン 11 以降が必要です。 拡張保護モードを無効にします。
***別途構成が必要です。
****Chromium に基づく Microsoft Edge