次の方法で共有

Microsoft Entra パススルー認証: 技術的な深掘り

  • [アーティクル]

この記事では、Microsoft Entra パススルー認証のしくみの概要について説明します。 技術的およびセキュリティに関する詳細な情報については、セキュリティの詳細 記事を参照してください。

Microsoft Entra パススルー認証のしくみ

手記

パススルー認証が機能するための前提条件として、ユーザーは Microsoft Entra Connect を使用してオンプレミスの Active Directory から Microsoft Entra ID にプロビジョニングする必要があります。 パススルー認証は、クラウドのみのユーザーには適用されません。

ユーザーが Microsoft Entra ID で保護されたアプリケーションにサインインしようとしたときに、テナントでパススルー認証が有効になっている場合は、次の手順が実行されます。

  1. ユーザーは、アプリケーションにアクセスしようとします。例えば、Outlook Web Appなど。
  2. ユーザーがまだサインインしていない場合、ユーザーは Microsoft Entra ID ユーザー サインイン ページにリダイレクトされます。
  3. ユーザーは、Microsoft Entra サインイン ページにユーザー名を入力し、[次へ] ボタンを選択します。
  4. ユーザーが Microsoft Entra サインイン ページにパスワードを入力し、サインイン ボタンを選択します。
  5. Microsoft Entra ID は、サインイン要求の受信時に、ユーザー名とパスワード (認証エージェントの公開キーを使用して暗号化) をキューに配置します。
  6. オンプレミス認証エージェントは、キューからユーザー名と暗号化されたパスワードを取得します。 エージェントはキューからの要求を頻繁にポーリングせず、事前に確立された永続的な接続を介して要求を取得します。
  7. エージェントは、秘密キーを使用してパスワードの暗号化を解除します。
  8. エージェントは、Active Directory フェデレーション サービス (AD FS) で使用されているものと同様のメカニズムである標準の Windows API を使用して、Active Directory に対してユーザー名とパスワードを検証します。 ユーザー名には、オンプレミスの既定のユーザー名 (通常は userPrincipalName) または Microsoft Entra Connect で構成された別の属性 (Alternate ID) のいずれかを指定できます。
  9. オンプレミスの Active Directory ドメイン コントローラー (DC) は要求を評価し、適切な応答 (成功、失敗、パスワードの有効期限切れ、またはユーザーのロックアウト) をエージェントに返します。
  10. 認証エージェントは、この応答を Microsoft Entra ID に返します。
  11. Microsoft Entra ID は応答を評価し、必要に応じてユーザーに応答します。 たとえば、Microsoft Entra ID は、ユーザーをすぐにサインインさせるか、Microsoft Entra 多要素認証を要求します。
  12. ユーザーのサインインが成功した場合、ユーザーはアプリケーションにアクセスできます。

次の図は、すべてのコンポーネントと関連する手順を示しています。

パススルー認証

次の手順

  • 現在の制限: サポートされているシナリオとサポートされていないシナリオについて説明します。
  • クイック スタート: Microsoft Entra パススルー認証を素早く始める。
  • アプリを Microsoft Entra ID に移行する: アプリケーションアクセスと認証を Microsoft Entra ID に移行するのに役立つリソース。
  • スマート ロックアウト: ユーザー アカウントを保護するようにテナントのスマート ロックアウト機能を構成します。
  • よく寄せられる質問: よく寄せられる質問に対する回答を見つけます。
  • のトラブルシューティング: パススルー認証機能に関する一般的な問題を解決する方法について説明します。
  • セキュリティの詳細: パススルー認証機能に関する詳細な技術情報を取得します。
  • Microsoft Entra ハイブリッド参加: クラウドとオンプレミスのリソース全体で SSO を実現するために、テナントで Microsoft Entra ハイブリッド参加機能を構成します。    
  • Microsoft Entra シームレス SSO: この補完的な機能の詳細を確認してください。
  • UserVoice: Microsoft Entra フォーラムを使用して、新しい機能要求を提出します。