フェデレーションからクラウド認証に移行する

この記事では、Azure Active Directory パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) のいずれかを使用してクラウド ユーザー認証をデプロイする方法について学習します。 Active Directory フェデレーション サービス (AD FS) からクラウド認証方法に移行する場合のユース ケースを示しますが、ガイダンスの大部分は他のオンプレミス システムにも適用されます。

続行する前に、適切な認証方法の選択に関するガイドを確認し、組織に最適な方法を比較してください。

クラウド認証には PHS を使用することをお勧めします。

段階的なロールアウト

段階的なロールアウトは、ドメインを切り替える前に、Azure AD Multi-Factor Authentication (MFA)、条件付きアクセス、漏洩した資格情報の ID 保護、ID 管理などのクラウド認証機能を使用して、一連のユーザーを選択的にテストすることができる優れた方法です。

サポートされるシナリオサポートされていないシナリオについては、段階的なロールアウトの実装計画を参照してください。 ドメインを切り替える前に、段階的なロールアウトを使用してテストすることをお勧めします。

段階的なロールアウトを構成する方法については、Azure AD で段階的なロールアウトを使用したクラウド認証への移行に関する段階的なロールアウトの対話型ガイドを参照してください。

移行プロセス フロー

クラウド認証に移行するためのプロセス フロー

前提条件

移行を開始する前に、これらの前提条件を満たしていることを確認してください。

必要なロール

段階的なロールアウトを使用するには、テナントのハイブリッド ID 管理者である必要があります。

特定の Windows Active Directory フォレストでシームレス SSO を有効にするには、ドメイン管理者である必要があります。

Azure AD Connect サーバーのステップアップ

Azure Active Directory Connect (Azure AD Connect) をインストールするか、最新バージョンにアップグレードします。 Azure AD Connect サーバーをステップアップすると、AD FS からクラウド認証方法への移行にかかる時間を数時間から数分に短縮できる可能性があります。

現在のフェデレーション設定をドキュメント化する

現在のフェデレーション設定を確認するには、Get-MgDomainFederationConfiguration を実行します。

Get-MgDomainFederationConfiguration –DomainID yourdomain.com

ご利用のフェデレーションの設計とデプロイのドキュメント用にカスタマイズされた可能性のある、すべての設定を確認します。 具体的には、PreferredAuthenticationProtocolfederatedIdpMfaBehaviorSupportsMfa (federatedIdpMfaBehavior が設定されていない場合)、PromptLoginBehavior 内のカスタマイズを探します。

フェデレーション設定をバックアップする

このデプロイでは、AD FS ファーム内の他の証明書利用者は変更されませんが、設定をバックアップできます。

  • Microsoft AD FS Rapid Restore Tool を使用して、既存のファームを復元するか、新しいファームを作成します。

  • 次の PowerShell の例を使用して、Microsoft 365 ID プラットフォームの証明書利用者信頼と、追加したすべての関連カスタム要求規則をエクスポートします。

    
    (Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
    
    

プロジェクトを計画する

テクノロジ プロジェクトが失敗した場合、その原因は通常、影響、結果、および責任に対する想定の不一致です。 これらの落とし穴を回避するには、適切な利害関係者が担当していることを確認し、プロジェクトにおけるその利害関係者の役割がよく理解されていることを確認します。

連絡を計画する

クラウド認証に移行した後、Azure AD を通じて認証される Microsoft 365 およびその他のリソースにアクセスするためのユーザーのサインイン エクスペリエンスが変更されます。 ネットワークの外部のユーザーには、Azure AD サインイン ページのみが表示されます。

ユーザー エクスペリエンスがどのように変わるのか、いつ変わるのか、問題が発生したときにサポートを受ける方法について、ユーザーに事前に連絡します。

メンテナンス期間の計画

ドメイン変換の後、Azure AD では最大 4 時間、何らかのレガシ認証要求を Exchange Online から AD FS サーバーに送信し続ける可能性があります。 遅延は、レガシ アプリケーション認証用の Exchange Online キャッシュがフェデレーションからクラウド認証へのカットオーバーを認識するために最大 4 時間かかる可能性があるためです。

この 4 時間の期間中、レガシ認証を使用するアプリケーションに再認証するときに、ユーザーに資格情報の入力を繰り返し求める場合があります。 ユーザーはまだ AD FS に対して正常に認証できますが、フェデレーションの信頼は削除されるため、Azure AD ではユーザーの発行したトークンが受け入れられなくなります。

既存のレガシ クライアント (Exchange ActiveSync、Outlook 2010/2013) に影響することはありません。Exchange Online では、一定の期間、それらの資格情報のキャッシュが保持されるためです。 キャッシュは、ユーザーを自動的に再認証するために使用されます。 ユーザーが AD FS に戻る必要はありません。 これらのクライアントのためにデバイスに格納されている資格情報は、キャッシュがクリアされた後、自身を自動的に再認証するために使用されます。 ドメイン変換プロセスの結果として、パスワードの入力を求めるメッセージがユーザーに表示されることはありません。

先進認証クライアント (Office 2016 と Office 2013、iOS、および Android アプリ) では、リソースへのアクセスを継続するための新しいアクセス トークンを取得するために、AD FS に戻るのではなく、有効な更新トークンが使用されます。 これらのクライアントに、ドメイン変換プロセスの結果としてパスワードの入力を求めるメッセージを表示する必要はありません。 クライアントは、追加の構成を行わなくても機能し続けます。

注意

フェデレーション認証からクラウド認証に移行する場合、ドメインをフェデレーションからマネージドに変換するプロセスには、最大 60 分かかる場合があります。 このプロセス中、Azure AD で保護された Azure portal またはその他のブラウザー ベースのアプリケーションへの新しいログインでユーザーに資格情報の入力が求められない場合もあります。 この遅延をメンテナンス期間に含めることをお勧めします。

ロールバックのための計画

ヒント

ロールバックする必要がある場合は、営業時間外にドメインのカットオーバーを計画してください。

ロールバックを計画する場合は、ドキュメント化された現在のフェデレーション設定を使用して、フェデレーションの設計とデプロイに関するドキュメントを確認してください。

ロールバック プロセスでは、Convert-MSOLDomainToFederated コマンドレットを使用して、マネージド ドメインをフェデレーション ドメインに変換する必要があります。 必要に応じて、追加の要求規則を構成します。

移行に関する注意事項

移行に関する主な注意事項を次に示します。

カスタマイズ設定を計画する

Azure AD では onload.js ファイルを複製できません。 AD FS インスタンスが大幅にカスタマイズされ、onload.js ファイル内の特定のカスタマイズ設定に依存している場合は、Azure AD が現在のカスタマイズ要件を満たしていることを確認し、適切に計画します。 これらの今後の変更をユーザーに伝えます。

サインイン エクスペリエンス

Azure AD サインイン エクスペリエンスは、カスタマイズできません。 Azure AD にサインインするには、ユーザーが以前にサインインした方法に関係なく、ユーザー プリンシパル名 (UPN) や電子メールなどの完全修飾ドメイン名が必要です。

組織のブランド化

Azure AD サインイン ページをカスタマイズできます。 サインイン ページでの AD FS からの一部の視覚的変更は、変換後に行う必要があります。

注意

無料の Azure AD ライセンスでは、Microsoft 365 ライセンスを持っている場合を除いて、組織のブランド化を使用できません。

条件付きアクセス ポリシーを計画する

現在認証に条件付きアクセスを使用しているかどうか、または AD FS でアクセス制御ポリシーを使用しているかどうかを評価します。

AD FS アクセス制御ポリシーを同等の Azure AD 条件付きアクセス ポリシーExchange Online のクライアント アクセス規則に置き換えることを検討します。 条件付きアクセスには Azure AD またはオンプレミスのグループを使用できます。

レガシ認証を無効にする - レガシ認証プロトコルに関連してリスクが増加するため、レガシ認証をブロックする条件付きアクセス ポリシーを作成します。

MFA のサポートを計画する

フェデレーション ドメインの場合は、Azure AD 条件付きアクセスまたはオンプレミス フェデレーション プロバイダーによって MFA が適用されることがあります。 セキュリティ設定の federatedIdpMfaBehavior を構成することで、Azure MFA のバイパスを防ぐ保護を有効にできます。 Azure AD テナントでフェデレーション ドメインの保護を有効にすると、MFA を必要とする条件付きアクセス ポリシーによって管理されるアプリケーションにフェデレーション ユーザーがアクセスするときに、Azure MFA が常に実行されます。 これには、オンプレミスの MFA が実行されたというフェデレーション トークン クレームがフェデレーション ID プロバイダーによって発行されていても Azure MFA を実行することが含まれます。 Azure MFA を毎回適用すると、ID プロバイダーによって MFA が既に実行されていることを不正なアクターが模倣して Azure MFA をバイパスすることができなくなるため、これは、サードパーティの MFA プロバイダーを使用してフェデレーション ユーザーに対して MFA を実行しない限り強く推奨されます。

次の表で、各オプションの動作について説明します。 詳細については、federatedIdpMfaBehavior に関する記事を参照してください。

説明
acceptIfMfaDoneByFederatedIdp Azure AD は、フェデレーション ID プロバイダーによって実行された MFA を受け入れます。 MFA がフェデレーション ID プロバイダーによって実行されなかった場合、Azure AD によって実行されます。
enforceMfaByFederatedIdp Azure AD は、フェデレーション ID プロバイダーによって実行された MFA を受け入れます。 フェデレーション ID プロバイダーによって MFA が実行されなかった場合、その要求が MFA を実行するフェデレーション ID プロバイダーにリダイレクトされます。
rejectMfaByFederatedIdp 常に Azure AD によって MFA が実行され、フェデレーション ID プロバイダーによって実行される MFA は拒否されます。

注意

federatedIdpMfaBehavior 設定は、Set-MsolDomainFederationSettings MSOnline v1 PowerShell コマンドレットSupportsMfa プロパティの進化したバージョンです。

SupportsMfa プロパティを既に設定しているドメインの場合、これらの規則によって、federatedIdpMfaBehaviorSupportsMfa の連携方法が決まります。

  • federatedIdpMfaBehaviorSupportsMfa の切り替えはサポートされていません。
  • federatedIdpMfaBehavior プロパティが設定されると、Azure AD では SupportsMfa 設定が無視されます。
  • federatedIdpMfaBehavior プロパティが設定されていない場合、Azure AD は引き続き SupportsMfa 設定に従います。
  • federatedIdpMfaBehaviorSupportsMfa のどちらも設定されていない場合、Azure AD でacceptIfMfaDoneByFederatedIdp 動作が既定となります。

保護の状態を確認するには、 Get-MgDomainFederationConfiguration を実行します。

Get-MgDomainFederationConfiguration -DomainId yourdomain.com

Get-MsolDomainFederationSettings を使用して SupportsMfa フラグの状態を確認することもできます。

Get-MsolDomainFederationSettings –DomainName yourdomain.com

注意

Microsoft MFA Server はサポート終了間近です。使用している場合は、Azure AD MFA に移行する必要があります。 詳細については、 Microsoft MFA Server から Azure Multi-Factor Authentication への移行に関するドキュメント を参照してください。 Azure AD MFA の使用を計画している場合は、 セルフサービス パスワード リセット (SSPR) と Multi-Factor Authentication の統合された登録 を使用して、ユーザーが認証方法を 1 回で登録できるようにすることをお勧めします。

実装を計画する

このセクションでは、サインイン方法を切り替えてドメインを変換する前の事前作業について説明します。

段階的なロールアウトに必要なグループを作成する

段階的なロールアウトを使用していない場合は、この手順をスキップします。

段階的なロールアウト用のグループを作成します。 また、条件付きアクセス ポリシーを追加する場合は、条件付きアクセス ポリシー用のグループも作成する必要があります。

クラウド専用グループとも呼ばれる、Azure AD で管理されているグループを使用することをお勧めします。 ユーザーを MFA に移動する場合と条件付きアクセス ポリシーの両方に、Azure AD セキュリティ グループまたは Microsoft 365 グループを使用できます。 詳細については、Azure AD セキュリティ グループの作成管理者向け Microsoft 365 グループの概要に関するページを参照してください。

グループ内のメンバーは、段階的なロールアウトに対して自動的に有効になります。 段階的なロールアウトでは、入れ子になったグループと動的グループはサポートされていません。

SSO の事前作業

使用する SSO のバージョンは、デバイスの OS と参加状態によって異なります。

PHS と PTA の事前作業

サインイン方法の選択に応じて、PHS または PTA の事前作業を完了します。

ソリューションを実装する

最後に、サインイン方法を計画どおりに PHS または PTA に切り替え、ドメインをフェデレーションからクラウド認証に変換します。

段階的なロールアウトを使用する場合

段階的なロールアウトを使用している場合は、次のリンクの手順に従ってください。

  1. テナントの特定の機能の段階的なロールアウトを有効にします。

  2. テストが完了したら、ドメインをフェデレーションからマネージドに変換します

段階的なロールアウトを使用しない場合

この変更を有効にするには、2 つのオプションがあります。

  • オプション A: Azure AD Connect を使用して切り替える

    最初に Azure AD Connect を使用して AD FS/ping フェデレーション環境を構成した場合に使用できます

  • オプション B: Azure AD Connect と PowerShell を使用して切り替える

    最初に Azure AD Connect を使用してフェデレーション ドメインを構成しなかった場合、またはサードパーティのフェデレーション サービスを使用している場合に使用できます

これらのオプションのいずれかを選択するには、現在の設定を把握している必要があります。

現在の Azure AD Connect 設定を確認する

次の図に示すように、Azure AD ポータルにサインインし、 [Azure AD Connect] を選択して、USER SIGN_IN の設定を確認します。

現在の Azure AD Connect 設定を確認する

フェデレーションが構成された方法を確認するには:

  1. Azure AD Connect サーバーで、Azure AD Connect を開き、 [構成] を選択します。

  2. [追加のタスク] > [フェデレーションの管理] で、[フェデレーション構成の表示] を選択します。

    [フェデレーションの管理] を表示する

    このセクションに AD FS 構成が表示される場合は、AD FS が最初に Azure AD Connect を使用して構成されたと見なすことができます。 例として、次の図を参照してください。

    AD FS 構成を表示する

    AD FS が現在の設定の一覧に表示されていない場合は、PowerShell を使用して、ドメインをフェデレーション ID からマネージド ID に手動で変換する必要があります。

オプション A

Azure AD Connect を使用してフェデレーションから新しいサインイン方法に切り替える

  1. Azure AD Connect サーバーで、Azure AD Connect を開き、 [構成] を選択します。

  2. [追加のタスク] ページで、 [ユーザー サインインの変更] を選択し、 [次へ] を選択します。

    [追加のタスク] を表示する

  3. [Azure AD に接続] ページで、全体管理者アカウントの資格情報を入力します。

  4. [ユーザー サインイン] ページで次の操作を行います。

    • [パススルー認証] オプション ボタンを選択した場合は、 [シングル サインオンを有効にする] をオンにしてから、 [次へ] を選択します。

    • [パスワード ハッシュの同期] オプション ボタンを選択した場合は、 [ユーザー アカウントを変換しない] チェック ボックスがオンになっていることを確認します。 このオプションは非推奨になりました。 [シングル サインオンを有効にする] をオンにしてから、 [次へ] を選択します。

    [ユーザー サインイン] ページで [シングル サインオンを有効にする] をオンにする

  5. [シングル サインオンを有効にする] ページで、ドメイン管理者アカウントの資格情報を入力し、 [次へ] を選択します。

    [シングル サインオンを有効にする] ページ

    シームレス SSO を有効にするには、ドメイン管理者アカウントの資格情報が必要です。 このプロセスでは、管理者特権のアクセス許可を必要とする、以下のアクションが実行されます。

    • オンプレミスの Active Directory インスタンスに、(Azure AD を表す) AZUREADSSO という名前のコンピューター アカウントが作成されます。
    • コンピューター アカウントの Kerberos 復号化キーが、Azure AD と安全に共有されます。
    • Azure AD のサインイン時に使用される 2 つの URL を表す、2 つの Kerberos サービス プリンシパル名 (SPN) が作成されます。

    ドメイン管理者の資格情報は Azure AD Connect または Azure AD に格納されず、プロセスが正常に終了したときに破棄されます。 これらは、この機能を有効にするために使用されます。

  6. [構成の準備完了] ページで、 [構成が完了したら、同期プロセスを開始してください] チェック ボックスがオンになっていることを確認します。 次に、 [構成] を選択します。

    [構成の準備完了] ページ

重要

この時点で、すべてのフェデレーション ドメインがマネージド認証に変更されます。 選択したユーザー サインイン方法は、新しい認証方法です。

  1. Azure AD ポータルで、 [Azure Active Directory] を選択してから、 [Azure AD Connect] を選びます。

  2. 以下の設定を確認します。

    • [フェデレーション][無効] に設定されている。
    • [シームレス シングル サインオン][有効] に設定されている。
    • [パスワード ハッシュの同期][有効] に設定されている。

 現在のユーザー設定を再確認する

  1. PTA に切り替える場合は、次の手順に従います。
PTA 用に追加の認証エージェントをデプロイする

注意

PTA では、Azure AD Connect サーバー、および Windows サーバーを実行しているオンプレミス コンピューターで軽量のエージェントをデプロイする必要があります。 待ち時間を短縮するには、Active Directory ドメイン コントローラーのできるだけ近くにエージェントをインストールします。

ほとんどのお客様の場合、高可用性と必要な容量を提供するのに、2 つまたは 3 つの認証エージェントがあれば十分です。 テナントには、最大 12 個のエージェントを登録できます。 最初のエージェントは、常に Azure AD Connect サーバー自体にインストールされます。 エージェントの制限事項とエージェントのデプロイ オプションの詳細については、「Azure Active Directory パススルー認証:現在の制限事項」を参照してください。

  1. [パススルー認証] を選択します。

  2. [パススルー認証] ページで、 [ダウンロード] ボタンを選択します。

  3. [エージェントのダウンロード] ページで、 [Accept terms and download](利用規約に同意してダウンロード) を選択します。

    追加の認証エージェントのダウンロードが開始されます。 セカンダリ認証エージェントは、ドメイン参加済みサーバーにインストールします。

  4. 認証エージェントのインストールを実行します。 インストール中に、グローバル管理者アカウントの資格情報を入力する必要があります。

     Microsoft Azure AD Connect 認証エージェント

  5. 認証エージェントがインストールされたら、PTA の正常性ページに戻って、追加のエージェントの状態を確認できます。

オプション B

Azure AD Connect と PowerShell を使用してフェデレーションから新しいサインイン方法に切り替える

最初に Azure AD Connect を使用してフェデレーション ドメインを構成しなかった場合、またはサードパーティのフェデレーション サービスを使用している場合に使用できます。

Azure AD Connect サーバーで、オプション A の手順 1 ~ 5 に従います。[ユーザー サインイン] ページで、 [構成しない] オプションが事前に選択されていることがわかります。

 [ユーザー サインイン] ページの [構成しない] オプションを参照する

  1. Azure AD ポータルで、 [Azure Active Directory] を選択してから、 [Azure AD Connect] を選びます。

  2. 以下の設定を確認します。

  • [フェデレーション][有効] に設定されている。

  • [シームレス シングル サインオン][無効] に設定されている。

  • [パスワード ハッシュの同期][有効] に設定されている。

     Azure portal で現在のユーザー設定を確認する

PTA のみの場合は、次の手順に従って、追加の PTA エージェント サーバーをインストールします。

  1. Azure AD ポータルで、 [Azure Active Directory] を選択してから、 [Azure AD Connect] を選びます。

  2. [パススルー認証] を選択します。 状態が [アクティブ] であることを確認します。

     パススルー認証の設定

    認証エージェントがアクティブでない場合は、次の手順でドメインの変換プロセスを続行する前に、これらのトラブルシューティング手順を完了します。 PTA エージェントが正常にインストールされたことと、Azure portal でそれらの状態が [アクティブ] になっていることを確認する前にドメインを変換すると、認証が停止する危険性があります。

  3. 追加の認証エージェントをデプロイします

ドメインをフェデレーションからマネージドに変換する

この時点では、フェデレーション認証はまだアクティブであり、ドメインのために機能しています。 デプロイを続行するには、各ドメインをフェデレーション ID からマネージド ID に変換する必要があります。

重要

すべてのドメインを同時に変換する必要はありません。 運用環境テナントのテスト ドメインや、ユーザー数が最も少ないドメインから開始することができます。

Azure AD PowerShell モジュールを使用して、変換を完了します。

  1. PowerShell で、全体管理者アカウントを使用して Azure AD にサインインします。

  2. 最初のドメインを変換するには、次のコマンドを実行します。

     Set-MsolDomainAuthentication -Authentication Managed -DomainName <domain name>
    

    Set-MsolDomainAuthentication」を参照してください

  3. Azure AD ポータルで、[Azure Active Directory] > [Azure AD Connect] の順に選択します。

  4. 次のコマンドを実行して、ドメインがマネージドに変換されたことを確認します。

    Get-MsolDomain -DomainName <domain name>
    

移行を完了する

サインアップ方法を確認し、変換プロセスを完了するには、次のタスクを実行します。

新しいサインイン方法をテストする

テナントでフェデレーション ID が使用されていたときに、ユーザーは Azure AD サインイン ページから AD FS 環境にリダイレクトされていました。 フェデレーション認証の代わりに新しいサインイン方法を使用するようにテナントが構成されたので、ユーザーは AD FS にリダイレクトされません。

代わりに、ユーザーは Azure AD サインイン ページから直接サインインします。

次のリンクの手順に従います - PHS/PTA とシームレス SSO を使用したサインインの検証 (必要な場合)

段階的なロールアウトからユーザーを削除する

段階的なロールアウトを使用した場合は、カットオーバーが完了したら、段階的ロールアウト機能を無効にすることを忘れないでください。

段階的ロールアウト機能を無効にするには、コントロールを [無効] に戻します。

UserPrincipalName の更新を同期する

これまで、次の条件が両方とも当てはまらない限り、オンプレミス環境から同期サービスを使用する、UserPrincipalName 属性の更新はブロックされていました。

  • ユーザーがマネージド (非フェデレーション) ID ドメインに存在する。
  • ユーザーにライセンスが割り当てられていない。

この機能を確認または有効にする方法については、「userPrincipalName の更新を同期する」を参照してください。

実装を管理する

シームレス SSO の Kerberos 復号化キーのロールオーバー

Active Directory ドメイン メンバーがパスワードの変更を送信する方法に合わせて、少なくとも 30 日ごとに Kerberos 復号化キーをロールオーバーすることをお勧めします。 関連するデバイスが AZUREADSSO コンピューター アカウント オブジェクトにアタッチされていないため、ロールオーバーは手動で実行する必要があります。

FAQ の「AZUREADSSO コンピューター アカウントの Kerberos 復号化キーをロールオーバーするにはどうすればよいですか」を参照してください。

監視およびログ記録

ソリューションの可用性を維持するには、認証エージェントを実行するサーバーを監視します。 認証エージェントでは、一般的なサーバー パフォーマンス カウンターに加えて、認証の統計情報とエラーを把握するのに役立つパフォーマンス オブジェクトが公開されます。

認証エージェントによって、操作のログが、アプリケーションとサービス ログにある Windows イベント ログに記録されます。 トラブルシューティングのためのログを有効にすることもできます。

段階的なロールアウトで実行されるさまざまなアクションを確認するために、PHS、PTA、またはシームレス SSO のイベントを監査できます

トラブルシューティング

お客様のサポート チームは、フェデレーションからマネージドへの変更中または変更後に発生する認証の問題のトラブルシューティング方法を理解する必要があります。 以下のトラブルシューティングのドキュメントは、お客様のサポート チームが一般的なトラブルシューティングの手順と、問題の特定および解決に役立つ適切な対処を理解するために役立ちます。

AD FS インフラストラクチャの使用を停止する

アプリ認証を AD FS から Azure AD に移行する

移行では、まずアプリケーションがオンプレミスでどのように構成されているかを評価し、その構成を Azure AD にマッピングすることが必要です。

SAML/WS-FED または Oauth プロトコルを使用してオンプレミス アプリケーション & SaaS アプリケーションで AD FS を引き続き使用する予定の場合は、ユーザー認証のためにドメインを変換した後、AD FS と Azure AD の両方を使用します。 この場合、Azure AD アプリケーション プロキシまたはいずれかの Azure AD パートナー統合を使用したセキュリティで保護されたハイブリッド アクセス (SHA) により、オンプレミスのアプリケーションとリソースを保護できます。 アプリケーション プロキシまたはいずれかのパートナーを使用すると、お使いのオンプレミスのアプリケーションにセキュリティで保護されたリモート アクセスを提供できます。 ユーザーは シングル サインオンの後、簡単に任意のデバイスからアプリケーションに接続できるようになります。

現在 ADFS とフェデレーションされている SaaS アプリケーションを、Azure AD に移動できます。 Azure アプリ ギャラリーの組み込みコネクタを使用するか、Azure AD にアプリケーションを登録することによって、Azure AD で認証を行うように再構成します。

詳細については、次のページを参照してください。

証明書利用者信頼を削除する

Azure AD Connect Health がある場合は、Azure portal から使用状況を監視できます。 使用状況に新しい認証要求が表示されていない場合は、すべてのユーザーとクライアントが Azure AD を通じて正常に認証されていることを確認したら、Microsoft 365 の証明書利用者信頼を削除しても問題ありません。

AD FS を他の目的で (つまり、他の証明書利用者信頼で) 使用していない場合は、この時点で AD FS の使用を停止できます。

次のステップ