ホーム領域検出 (HRD) を使用すると、Microsoft Entra ID は、サインイン時にユーザー認証に適した ID プロバイダー (IDP) を識別できます。 ユーザーが Microsoft Entra テナントにサインインしてリソースまたは共通サインイン ページにアクセスする場合は、ユーザー名 (UPN) を入力します。 Microsoft Entra ID は、この情報を使用して、正しいサインイン場所を決定します。
ユーザーは、認証のために次のいずれかの ID プロバイダーに転送されます。
- ユーザーのホーム テナント (リソース テナントと同じ場合があります)。
- ユーザーがコンシューマー アカウントを使用してリソース テナント内のゲストである場合は、Microsoft アカウント。
- Active Directory フェデレーション サービス (ADFS) などのオンプレミス ID プロバイダー。
- Microsoft Entra テナントとフェデレーションされている別の ID プロバイダー。
自動高速化
組織は、ユーザー認証のために、ADFS などの別の IdP とフェデレーションするように Microsoft Entra テナント内のドメインを構成する場合があります。 ユーザーがアプリケーションにサインインすると、最初に Microsoft Entra サインイン ページが表示されます。 フェデレーション ドメインに属している場合は、そのドメインの IdP のサインイン ページにリダイレクトされます。 管理者は、特定のアプリケーション ("サインイン自動高速化" と呼ばれるプロセス) の最初の Microsoft Entra ID ページをバイパスしたい場合があります。
マイクロソフトは、自動高速化を構成しないように推奨します。それは、FIDOやコラボレーションのようなより強力な認証方法を妨げる可能性があるためです。 詳細については、「 パスワードレス セキュリティ キーのサインインを有効にする」を参照してください。 サインインの自動高速化を防止する方法については、「自動高速化サインインを無効にする」を参照してください。
自動高速化により、別の IdP とフェデレーションされているテナントのサインインを効率化できます。 個々のアプリケーションに対して構成できます。 HRD を使用して自動高速化を強制する方法については、「 自動高速化の構成」を参照してください。
Note
自動高速化用にアプリケーションを構成すると、ユーザーはマネージド資格情報 (FIDO など) を使用したり、ゲスト ユーザーがサインインしたりできなくなります。 認証のためにユーザーをフェデレーション IdP に誘導すると、Microsoft Entra サインイン ページがバイパスされ、ゲスト ユーザーが他のテナントや Microsoft アカウントなどの外部 IdP にアクセスできなくなります。
フェデレーション IdP への自動高速化を 3 つの方法で制御します。
- アプリケーションの認証要求でドメイン ヒントを使用する。
- HRD ポリシーを構成して自動高速化を強制する。
- 特定のアプリケーションまたはドメインの ドメイン ヒントを無視 するように HRD ポリシーを構成します。
[ドメインの確認] ダイアログ
2023 年 4 月以降、自動高速化またはスマート リンクを使用している組織では、サインイン UI にドメイン確認ダイアログと呼ばれる新しい画面が表示される場合があります。 この画面は Microsoft のセキュリティ強化作業の一部であり、ユーザーはサインインしているテナントのドメインを確認する必要があります。
必要な操作
[ドメインの確認] ダイアログが表示されたら、次の手順を実行します。
- ドメインを確認する: 画面のドメイン名が、サインイン先の組織 (
contoso.comなど) と一致することを確認します。- ドメインが認識された場合は、[ 確認 ] を選択して続行します。
- ドメインが認識されない場合は、サインイン プロセスをキャンセルし、IT 管理者に問い合わせてください。
[ドメインの確認] ダイアログのコンポーネント
次のスクリーンショットは、[ドメインの確認] ダイアログの表示例を示しています。
![テナント ドメインが 'contoso.com' であるサインイン識別子 '<kelly@contoso.com>' が表示されている [ドメインの確認] ダイアログのスクリーンショット。](media/home-realm-discovery-policy/domain-confirmation-dialog-new.png)
ダイアログの上部にある識別子 (kelly@contoso.com) は、サインインに使用する識別子を表しています。 ダイアログのヘッダーおよびサブヘッダーに表示されているテナント ドメインは、アカウントのホーム テナントのドメインを表しています。
このダイアログは、自動高速化またはスマート リンクのすべてのインスタンスに対して表示されない場合があります。 ブラウザー ポリシーが原因で組織が Cookie をクリアすると、ドメインの確認ダイアログが頻繁に表示されることがあります。 Microsoft Entra ID では自動高速化サインイン フローが管理されるため、ドメイン確認ダイアログではアプリケーションの破損を引き起こさないでください。
ドメイン ヒント
ドメイン ヒントは、ユーザーをフェデレーション IdP サインイン ページに高速化できるアプリケーションからの認証要求のディレクティブです。 マルチテナント アプリケーションでは、それらを使用して、テナントのブランド化された Microsoft Entra サインイン ページにユーザーを誘導できます。
たとえば、"largeapp.com" はカスタム URL "contoso.largeapp.com" を介したアクセスを許可し、認証要求に contoso.com するドメイン ヒントを含めることができます。
ドメイン ヒントの構文はプロトコルによって異なります。
- WS-Federation:
whrクエリ文字列パラメーター (たとえば、whr=contoso.com)。 - SAML: ドメイン ヒントまたは
whr=contoso.comを使用した SAML 認証要求。 - OpenID Connect:
domain_hintクエリ文字列パラメーター (たとえば、domain_hint=contoso.com)。
Microsoft Entra ID は、次の 両方 の場合に該当する場合、ドメインの構成済み IDP にサインインをリダイレクトします。
- ドメイン ヒントは認証要求に含まれています。
- そのドメインとテナントがフェデレーションされている。
ドメイン ヒントが検証済みのフェデレーション ドメインを参照していない場合は、無視できます。
Note
認証要求のドメイン ヒントは、HRD ポリシー内のアプリケーションの自動高速化セットをオーバーライドします。
自動高速化のための HRD ポリシー
一部のアプリケーションでは、認証要求の構成が許可されていません。 このような場合、ドメイン ヒントを使用して自動高速化を制御することはできません。 ホーム領域検出ポリシーを使用して自動高速化を構成します。
自動高速化を防止するための HRD ポリシー
一部の Microsoft および SaaS アプリケーションにはドメイン ヒントが自動的に含まれるため、FIDO などのマネージド資格情報のロールアウトが中断される可能性があります。 ホーム領域検出ポリシーを使用して、マネージド資格情報のロールアウト中に特定のアプリまたはドメインからのドメイン ヒントを無視します。
レガシ アプリケーションに対するフェデレーション ユーザーの直接 ROPC 認証を有効にする
ベスト プラクティスは、アプリケーションが Microsoft Entra ライブラリと対話型サインインをユーザー認証に使用することです。 リソース所有者パスワード資格情報 (ROPC) の付与を使用するレガシ アプリケーションでは、フェデレーションを理解しなくても、資格情報が Microsoft Entra ID に直接送信される場合があります。 HRD を実行したり、適切なフェデレーション エンドポイントと対話したりしません。 ホーム領域検出ポリシーを使用して、特定のレガシ アプリケーションが Microsoft Entra ID で直接認証できるようにします。 このオプションは、パスワード ハッシュ同期が有効になっている場合に機能します。
重要
パスワード ハッシュ同期がアクティブで、オンプレミスの IdP ポリシーなしでアプリケーションを認証できる場合にのみ、直接認証を有効にします。 パスワード ハッシュ同期または AD Connect とのディレクトリ同期が無効になっている場合は、古いパスワード ハッシュによる直接認証を防ぐために、このポリシーを削除します。
HRD ポリシーの設定
フェデレーション サインイン自動高速化または直接クラウドベースアプリケーションのアプリケーションに HRD ポリシーを設定するには:
- HRD ポリシーを作成します。
- ポリシーをアタッチするサービス プリンシパルを探します。
- サービス プリンシパルにポリシーをアタッチします。
ポリシーは、サービス プリンシパルにアタッチされている特定のアプリケーションに対して有効になります。 サービス プリンシパルで一度にアクティブにできる HRD ポリシーは 1 つだけです。 Microsoft Graph PowerShell コマンドレットを使用して、HRD ポリシーを作成および管理します。
HRD ポリシー定義の例:
{
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": "federated.example.edu",
"AllowCloudPasswordValidation": false
}
}
- AccelerateToFederatedDomain: 省略可能。 false の場合、ポリシーは自動高速化に影響しません。 true の場合、1 つの検証済みフェデレーション ドメインがある場合、ユーザーはフェデレーション IdP に転送されます。 複数のドメインが存在する場合は、 PreferredDomain を指定します。
- PreferredDomain: 省略可能。 アクセラレーションのドメインを示します。 フェデレーション ドメインが 1 つだけ存在する場合は省略します。 複数のドメインで省略した場合、ポリシーは無効になります。
- AllowCloudPasswordValidation: 省略可能。 true の場合、ユーザー名/パスワード資格情報を使用して Microsoft Entra トークン エンドポイントに直接フェデレーション ユーザー認証を許可し、パスワード ハッシュ同期を必要とします。
追加のテナント レベルの HRD オプション:
- AlternateIdLogin: 省略可能。 Microsoft Entra サインイン ページで UPN ではなく、電子メール サインインに 対して AlternateLoginID を有効にします。 フェデレーション IDP に自動高速化されていないユーザーに依存します。
- DomainHintPolicy: ドメイン ヒントがユーザーをフェデレーション ドメインに自動的に高速化できないように する、省略可能な複合オブジェクト。 ドメイン ヒントを送信するアプリケーションが、クラウドで管理された資格情報のサインインを妨げないようにします。
HRD ポリシーの優先順位と評価
HRD ポリシーは組織とサービス プリンシパルに割り当てることができ、複数のポリシーをアプリケーションに適用できます。 Microsoft Entra ID は、次の規則を使用して優先順位を決定します。
- ドメイン ヒントが存在する場合、テナントの HRD ポリシーはドメイン ヒントを無視する必要があるかどうかを確認します。 許可されている場合は、ドメイン ヒントの動作が使用されます。
- ポリシーが明示的にサービス プリンシパルに割り当てられている場合は、そのポリシーが適用されます。
- ドメイン ヒントまたはサービス プリンシパル ポリシーが存在しない場合は、親組織に割り当てられたポリシーが適用されます。
- ドメイン ヒントまたはポリシーが割り当てられていない場合は、既定の HRD 動作が適用されます。