Q: シームレス SSO で使用できるサインイン方法

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期 または パススルー認証 のどちらとも組み合わせることができます。 ただし、この機能は、Active Directory フェデレーション サービス (AD FS) で使用できません。

Q: シームレス SSO は Microsoft Azure Germany クラウドおよび Microsoft Azure Government クラウドで使用できますか。

シームレス SSO は Azure Government クラウド で使用できます。 詳細については、「 Azure Government のハイブリッド ID に関する考慮事項 」を参照してください。

Q: シームレス SSO では、"userPrincipalName" ではなく、ユーザー名として "代替 ID" がサポートされていますか。

はい。 こちら で示されているように、Microsoft Entra Connect で構成されている場合、シームレス SSO はユーザー名として Alternate ID をサポートしています。 すべての Microsoft 365 アプリケーションで Alternate ID をサポートしているわけではありません。 サポートの説明については、それぞれのアプリケーションのドキュメントを参照してください。

Q: Microsoft Entra ID に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。 代わりにシームレス SSO を使用できますか。

はい、このシナリオでは ワークプレース ジョイン クライアント のバージョン 2.1 以降が必要です。

Question 1

シームレス SSO で使用できるサインイン方法

Accepted Answer

シームレス SSO は、サインインの方法として、パスワードハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。ただし、この機能は、Active Directory フェデレーションサービス (AD FS) で使用できません。

Question 2

シームレス SSO は無料の機能ですか。

Accepted Answer

シームレス SSO は無料の機能です。この機能を使用するために Microsoft Entra ID の有料エディションは不要です。

Question 3

シームレス SSO は Microsoft Azure Germany クラウドおよび Microsoft Azure Government クラウドで使用できますか。

Accepted Answer

シームレス SSO は Azure Government クラウドで使用できます。詳細については、「Azure Government のハイブリッド ID に関する考慮事項」を参照してください。

Question 4

どのアプリケーションがシームレス SSO の "domain_hint" または "login_hint" パラメーター機能を利用しますか。

Accepted Answer

次の表に、これらのパラメーターを Microsoft Entra ID に送信できるアプリケーションの一覧を示します。このアクションにより、シームレス SSO を使用したサイレントサインオンエクスペリエンスがユーザーに提供されます。

アプリケーション名	使用するアプリケーションの URL
アクセスパネル	https://myapps.microsoft.com/contoso.com
Web 上の Outlook	https://outlook.office365.com/contoso.com
Office 365 ポータル	https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

また、アプリケーションからのサインイン要求が、共通の Microsoft Entra エンドポイント (https://login.microsoftonline.com/common/<...>) 宛てではなく、テナントとして設定された Microsoft Entra エンドポイント (https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com//<..>) 宛てに送信される場合も、サイレントサインオンエクスペリエンスはユーザーに提供されます。次の表に、これらの種類のサインイン要求を行うアプリケーションの一覧を示します。

アプリケーション名	使用するアプリケーションの URL
SharePoint Online	https://contoso.sharepoint.com
Microsoft Entra 管理センター	https://portal.azure.com/contoso.com

テナントの適切なアプリケーションの URL を取得するには、上記の表の "contoso.com" をご利用のドメイン名で置き換えます。

他のアプリケーションでサイレントサインオンエクスペリエンスを使用する場合は、フィードバックセクションからお知らせください。

Question 5

シームレス SSO では、"userPrincipalName" ではなく、ユーザー名として "代替 ID" がサポートされていますか。

Accepted Answer

はい。こちらで示されているように、Microsoft Entra Connect で構成されている場合、シームレス SSO はユーザー名として Alternate ID をサポートしています。すべての Microsoft 365 アプリケーションで Alternate ID をサポートしているわけではありません。サポートの説明については、それぞれのアプリケーションのドキュメントを参照してください。

Question 6

Microsoft Entra Join とシームレス SSO のシングル サインオン エクスペリエンスの違いは何ですか?

Accepted Answer

Microsoft Entra join は、Microsoft Entra ID に登録されているデバイスのユーザーに SSO を提供します。そのデバイスは、必ずしもドメインに参加する必要があるとは限りません。 SSO は、Kerberos ではなく、"プライマリ更新トークン" (PRT) を使用して提供されます。 Windows 10 デバイスで、最適なユーザーエクスペリエンスが実現します。 SSO は、Microsoft Edge ブラウザーで自動的に実行されます。ブラウザー拡張機能を使用することで Chrome でも動作します。

お客様のテナントでは、Microsoft Entra join とシームレス SSO を使用できます。この 2 つは補完的な機能です。両方の機能が有効な場合は、Microsoft Entra Join がシームレス SSO に優先します。

Question 7

Microsoft Entra ID に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。 代わりにシームレス SSO を使用できますか。

Accepted Answer

はい、このシナリオではワークプレースジョインクライアントのバージョン 2.1 以降が必要です。

Question 8

"AZUREADSSOACC" コンピューター アカウントの Kerberos 復号化キーをロールオーバーするにはどうすればよいですか。

Accepted Answer

オンプレミスの AD フォレストで作成した AZUREADSSO コンピューターアカウント (Microsoft Entra ID を表します) の Kerberos 解読キーを頻繁にロールオーバーすることが重要です。

重要

少なくとも 30 日ごとに Kerberos の復号化キーをロールオーバーすることを強くお勧めします。

Microsoft Entra Connect を実行しているオンプレミスサーバーで、以下の手順を実行します。

Note

この手順を実行するには、ドメイン管理者とグローバル管理者またはハイブリッド ID 管理者の資格情報が必要です。ドメイン管理者ではなく、ドメイン管理者によってアクセス許可が割り当てられた場合は、Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount を呼び出す必要があります

手順 1. シームレス SSO が有効になっている AD フォレストのリストの取得

最初に Azure AD PowerShell をダウンロードしてインストールします。
$env:programfiles"\Microsoft Azure Active Directory Connect" フォルダーに移動します。
以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1
PowerShell を管理者として実行します。 PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。このコマンドでは、テナントのグローバル管理者またはハイブリッド ID の管理者の資格情報を入力するポップアップが表示されます。
Get-AzureADSSOStatus | ConvertFrom-Json を呼び出します。このコマンドでは、この機能が有効になっている AD フォレストのリスト ("ドメイン" リストを参照) が表示されます。

手順 2. Kerberos の復号化キーが設定された各 AD フォレストでキーを更新します。

$creds = Get-Credential を呼び出します。メッセージが表示されたら、目的の AD フォレストのドメイン管理者の資格情報を入力します。

注意

ドメイン管理者の資格情報ユーザー名は、SAM アカウント名の形式 (contoso\johndoe または contoso.com\johndoe) で入力する必要があります。 Microsoft はユーザー名のドメイン部分を使用して、DNS を使用してドメイン管理者のドメインコントローラーを検索します。

注意

使用するドメイン管理者アカウントは、保護されているユーザーグループのメンバーであってはなりません。そうである場合、操作は失敗します。

Update-AzureADSSOForest -OnPremCredentials $creds を呼び出します。このコマンドは、この特定の AD フォレスト内で AZUREADSSO コンピューターアカウントの Kerberos 復号化キーを更新し、Microsoft Entra ID 内でこのキーを更新します。
機能が有効に設定されている AD フォレストごとに、上記の手順を繰り返します。

Note

Microsoft Entra Connect 以外のフォレストを更新する場合は、グローバルカタログサーバー (TCP 3268 および TCP 3269) への接続が可能であることを確認してください。

重要

Microsoft Entra Connect をステージングモードで実行しているサーバーでは、これを実行する必要はありません。 Update-AzureADSSOForest コマンドは、1 つのフォレストで複数回実行 "しない" でください。複数回実行すると、ユーザーの Kerberos チケットの期限が切れてオンプレミスの Active Directory によって再発行されるまで、この機能は動作を停止します。

Question 9

シームレス SSO はどのように無効にできますか。

Accepted Answer

ステップ 1. テナントで機能を無効にする

オプション A: Microsoft Entra Connect を使用して無効にする

Microsoft Entra Connect を実行し、[Change user sign-in page](ユーザーサインインページの変更) を選択して [次へ] をクリックします。
[シングルサインオンを有効にする] オプションのチェックマークをオフにします。ウィザードの手順を続行します。

ウィザードの完了後、シームレス SSO はテナントで無効になります。ただし、画面に次のようなメッセージが表示されます。

「シングルサインオンは現在無効ですが、クリーンアップを完了するために実行できるその他の手動手順があります。詳細をご覧ください」

クリーンアッププロセスを完了するには、Microsoft Entra Connect を実行しているオンプレミスサーバーで手順 2 と手順 3 を実行します。

オプション B: PowerShell を使用して無効にする

Microsoft Entra Connect を実行しているオンプレミスサーバーで以下の手順を実行します。

この時点では、シームレス SSO は無効ですが、シームレス SSO を有効に戻したい場合のために、ドメインでは構成されたままです。ドメインに対するシームレス SSO の構成を完全に削除するには、上記の手順 5 を完了した後で、Disable-AzureADSSOForest -DomainFqdn のコマンドレットを呼び出します。

重要

PowerShell を使用してシームレス SSO を無効にした場合、Microsoft Entra Connect の状態は変更されません。シームレス SSO は、 [ユーザーサインインの変更] ページに有効と表示されます。

手順 2. シームレス SSO が有効になっている AD フォレストのリストの取得

Microsoft Entra Connect を使用してシームレス SSO を無効にした場合は、以下の手順 1 から手順 4 を実行します。代わりに PowerShell を使用してシームレス SSO を無効にした場合は、タスク 5 に進みます。

最初に Azure AD PowerShell をダウンロードしてインストールします。
$env:ProgramFiles"\Microsoft Azure Active Directory Connect" フォルダーに移動します。
以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1
PowerShell を管理者として実行します。 PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。このコマンドでは、テナントのグローバル管理者またはハイブリッド ID の管理者の資格情報を入力するポップアップが表示されます。
Get-AzureADSSOStatus | ConvertFrom-Json を呼び出します。このコマンドでは、この機能が有効になっている AD フォレストのリスト ("ドメイン" リストを参照) が表示されます。

手順 3. 表示されている各 AD フォレストから AZUREADSSO コンピューターアカウントを手動で削除します。

Microsoft Entra シームレスシングルサインオン - よく寄せられる質問

シームレス SSO で使用できるサインイン方法

シームレス SSO は無料の機能ですか。

シームレス SSO は Microsoft Azure Germany クラウドおよび Microsoft Azure Government クラウドで使用できますか。

シームレス SSO では、"userPrincipalName" ではなく、ユーザー名として "代替 ID" がサポートされていますか。

Microsoft Entra Join とシームレス SSO のシングルサインオンエクスペリエンスの違いは何ですか?

Microsoft Entra ID に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。代わりにシームレス SSO を使用できますか。

"AZUREADSSOACC" コンピューターアカウントの Kerberos 復号化キーをロールオーバーするにはどうすればよいですか。

シームレス SSO はどのように無効にできますか。

次のステップ

フィードバック

その他のリソース

Microsoft Entra シームレス シングル サインオン - よく寄せられる質問

シームレス SSO で使用できるサインイン方法

シームレス SSO は無料の機能ですか。

シームレス SSO は Microsoft Azure Germany クラウドおよび Microsoft Azure Government クラウドで使用できますか。

どのアプリケーションがシームレス SSO の "domain_hint" または "login_hint" パラメーター機能を利用しますか。

シームレス SSO では、"userPrincipalName" ではなく、ユーザー名として "代替 ID" がサポートされていますか。

Microsoft Entra Join とシームレス SSO のシングル サインオン エクスペリエンスの違いは何ですか?

Microsoft Entra ID に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。 代わりにシームレス SSO を使用できますか。

"AZUREADSSOACC" コンピューター アカウントの Kerberos 復号化キーをロールオーバーするにはどうすればよいですか。

シームレス SSO はどのように無効にできますか。

次のステップ

フィードバック

その他のリソース

Microsoft Entra シームレスシングルサインオン - よく寄せられる質問

Microsoft Entra Join とシームレス SSO のシングルサインオンエクスペリエンスの違いは何ですか?

Microsoft Entra ID に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。代わりにシームレス SSO を使用できますか。

"AZUREADSSOACC" コンピューターアカウントの Kerberos 復号化キーをロールオーバーするにはどうすればよいですか。