Microsoft Entra Connect を使用すると、ユーザーは同じパスワードを使用してクラウドとオンプレミスの両方のリソースにサインインできます。 この記事では、Microsoft Entra ID へのサインインに使用する ID を選択するのに役立つ、各 ID モデルの主要な概念について説明します。
Microsoft Entra ID モデルを既に理解していて、特定の方法の詳細については、適切なリンクを参照してください。
- シームレス シングル サインオン (SSO) によるパスワード ハッシュの同期
- シームレス シングル サインオン (SSO) によるパススルー認証
- フェデレーション SSO (Active Directory フェデレーション サービス (AD FS) を使用)
- PingFederate によるフェデレーション
注
Microsoft Entra ID のフェデレーションを構成することで、Microsoft Entra テナントとフェデレーション ドメインの間に信頼が確立されることを覚えておく必要があります。 この信頼により、フェデレーション ドメイン ユーザーはテナント内の Microsoft Entra クラウド リソースにアクセスできます。
組織のユーザー サインイン方法の選択
Microsoft Entra Connect を実装する最初の決定は、ユーザーがサインインに使用する認証方法を選択することです。 組織のセキュリティと高度な要件を満たす適切な方法を選択することが重要です。 クラウド内のアプリとデータにアクセスするためにユーザーの ID を検証するため、認証は重要です。 適切な認証方法を選択するには、時間、既存のインフラストラクチャ、複雑さ、選択した実装コストを考慮する必要があります。 これらの要因は組織ごとに異なり、時間の経過とともに変化する場合があります。
Microsoft Entra ID では、次の認証方法がサポートされています。
-
クラウド認証 - この認証方法を選択すると、Microsoft Entra ID がユーザーのサインインの認証プロセスを処理します。 クラウド認証では、次の 2 つのオプションから選択できます。
- パスワード ハッシュ同期 (PHS) - パスワード ハッシュ同期を使用すると、ユーザーはオンプレミスで使用するのと同じユーザー名とパスワードを使用でき、Microsoft Entra Connect 以外の追加のインフラストラクチャをデプロイする必要はありません。
- パススルー認証 (PTA) - このオプションはパスワード ハッシュ同期に似ていますが、強力なセキュリティとコンプライアンス ポリシーを持つ組織に対して、オンプレミスのソフトウェア エージェントを使用した簡単なパスワード検証を提供します。
- フェデレーション認証 - この認証方法を選択すると、Microsoft Entra ID は、ユーザーのサインインを検証するために、AD FS やサード パーティのフェデレーション システムなどの別の信頼された認証システムに認証プロセスを渡します。
Microsoft 365、SaaS アプリケーション、およびその他の Microsoft Entra ID ベースのリソースへのユーザー サインインを有効にするだけのほとんどの組織では、既定のパスワード ハッシュ同期オプションをお勧めします。
認証方法の選択の詳細については、「Microsoft Entra ハイブリッド ID ソリューションに適した認証方法を選択する」を参照してください。
パスワード ハッシュの同期
パスワード ハッシュの同期では、ユーザー パスワードのハッシュがオンプレミスの Active Directory から Microsoft Entra ID に同期されます。 パスワードがオンプレミスで変更またはリセットされると、新しいパスワード ハッシュが Microsoft Entra ID にすぐに同期されるため、ユーザーはクラウド リソースとオンプレミス リソースに対して常に同じパスワードを使用できます。 パスワードがクリア テキスト形式で Microsoft Entra ID に送信されたり、Microsoft Entra ID に格納されたりすることはありません。 パスワード ハッシュ同期とパスワード ライトバックを使用して、Microsoft Entra ID でセルフサービス パスワード リセットを有効にすることができます。
さらに、企業ネットワーク上にあるドメイン参加済みマシン上のユーザーに対して シームレス SSO を有効にすることができます。 シングル サインオンでは、有効になっているユーザーは、クラウド リソースに安全にアクセスできるようにユーザー名を入力するだけで済みます。
詳細については、 パスワード ハッシュ同期 に関する記事を参照してください。
パススルー認証
パススルー認証では、ユーザーのパスワードがオンプレミスの Active Directory コントローラーに対して検証されます。 パスワードはどの形式でも Microsoft Entra ID に存在する必要はありません。 これにより、クラウド サービスへの認証時に、サインイン時間の制限などのオンプレミス ポリシーを評価できます。
パススルー認証では、オンプレミス環境の Windows Server ドメイン参加済みマシン上の単純なエージェントを使用します。 このエージェントは、パスワード検証要求をリッスンします。 インターネットに対して受信ポートを開く必要はありません。
さらに、企業ネットワーク上にあるドメイン参加済みマシン上のユーザーに対してシングル サインオンを有効にすることもできます。 シングル サインオンでは、有効になっているユーザーは、クラウド リソースに安全にアクセスできるようにユーザー名を入力するだけで済みます。
詳細については、以下を参照してください。
Windows Server で AD FS を使用する新規または既存のファームを使用するフェデレーション
フェデレーション サインインを使用すると、ユーザーはオンプレミスのパスワードを使用して Microsoft Entra ID ベースのサービスにサインインできます。 企業ネットワーク上にいる時には、パスワードを入力する必要すらありません。 AD FS でフェデレーション オプションを使用すると、Windows Server 2022 で AD FS を使用して新規または既存のファームを展開できます。 既存のファームを指定することを選択する場合、ユーザーがサインインできるように Microsoft Entra Connect によってファームと Microsoft Entra ID との間の信頼が構成されます。
Windows Server 2022 で AD FS とのフェデレーションを展開する
新しいファームをデプロイする場合は、次のものが必要です。
フェデレーション サーバー用の Windows Server 2022 サーバー。
Web アプリケーション プロキシ用の Windows Server 2022 サーバー。
目的のフェデレーション サービス名に対して 1 つの TLS/SSL 証明書を含む .pfx ファイル。 例: fs.contoso.com。
新しいファームをデプロイする場合、または既存のファームを使用する場合は、次のものが必要です。
- フェデレーション サーバー上のローカル管理者の資格情報。
- Web アプリケーション プロキシ ロールを展開するワークグループ サーバー (ドメインに参加していない) 上のローカル管理者の資格情報。
- ウィザードを実行して、Windows リモート管理を使用して AD FS または Web アプリケーション プロキシをインストールする他のマシンに接続できるようにするコンピューター。
詳細については、「 AD FS での SSO の構成」を参照してください。
PingFederate によるフェデレーション
フェデレーション サインインを使用すると、ユーザーはオンプレミスのパスワードを使用して Microsoft Entra ID ベースのサービスにサインインできます。 企業ネットワーク上にいる時には、パスワードを入力する必要すらありません。
Microsoft Entra ID で使用するように PingFederate を構成する方法の詳細については、「 Ping ID のサポート」を参照してください。
PingFederate を使用して Microsoft Entra Connect を設定する方法については、Microsoft Entra Connect のカスタム インストールを参照してください。
以前のバージョンの AD FS またはサード パーティのソリューションを使用してサインインする
以前のバージョンの AD FS (AD FS 2.0 など) またはサード パーティのフェデレーション プロバイダーを使用してクラウド サインインを既に構成している場合は、Microsoft Entra Connect を使用してユーザー のサインイン構成をスキップすることを選択できます。 これにより、サインインに既存のソリューションを引き続き使用しながら、Microsoft Entra Connect の最新の同期やその他の機能を取得できます。
詳細については、 Microsoft Entra のサード パーティのフェデレーション互換性リストを参照してください。
ユーザーのサインインと UserPrincipalName
UserPrincipalName について
Active Directory では、既定の UserPrincipalName (UPN) サフィックスは、ユーザー アカウントが作成されたドメインの DNS 名です。 ほとんどの場合、これはインターネット上のエンタープライズ ドメインとして登録されているドメイン名です。 ただし、Active Directory ドメインと信頼を使用して、UPN サフィックスをさらに追加できます。
ユーザーの UPN には、username@domain形式があります。 たとえば、"contoso.com" という名前の Active Directory ドメインの場合、John という名前のユーザーは UPN "john@contoso.com" を持っている可能性があります。 ユーザーの UPN は RFC 822 に基づいています。 UPN と電子メールは同じ形式を共有しますが、ユーザーの UPN の値は、ユーザーのメール アドレスと同じである場合とそうでない場合があります。
Microsoft Entra ID のユーザープリンシパル名
Microsoft Entra Connect ウィザードでは、userPrincipalName 属性を使用するか、オンプレミスから使用する属性 (カスタム インストール) を Microsoft Entra ID の UserPrincipalName として指定できます。 これは、Microsoft Entra ID へのサインインに使用される値です。 userPrincipalName 属性の値が Microsoft Entra ID の検証済みドメインに対応していない場合は、Microsoft Entra ID によって既定の .onmicrosoft.com 値に置き換えられます。
Microsoft Entra ID 内のすべてのディレクトリには、contoso.onmicrosoft.com 形式の組み込みのドメイン名が付属しています。これにより、Microsoft Entra やその他の Microsoft オンライン サービスの使用を開始できます。 カスタム ドメインを使用すると、サインイン エクスペリエンスを向上させ、簡素化できます。 Microsoft Entra ID のカスタム ドメイン名とドメインの確認方法については、「 カスタム ドメイン名を Microsoft Entra ID に追加する」を参照してください。
Microsoft Entra のサインインの構成
Microsoft Entra Connect を使用した Microsoft Entra サインイン構成
Microsoft Entra サインイン エクスペリエンスは、Microsoft Entra ID が、Microsoft Entra ディレクトリで検証されるカスタム ドメインのいずれかに同期されているユーザーの UserPrincipalName サフィックスと一致できるかどうかによって異なります。 Microsoft Entra Connect では、Microsoft Entra のサインイン設定を構成するときにヘルプが提供されるため、クラウドでのユーザー サインイン エクスペリエンスはオンプレミスのエクスペリエンスと似ています。
Microsoft Entra Connect には、ドメインに対して定義されている UPN サフィックスが一覧表示され、Microsoft Entra ID のカスタム ドメインとの照合が試行されます。 その後、実行する必要がある適切なアクションに役立ちます。 Microsoft Entra サインイン ページには、オンプレミスの Active Directory に対して定義されている UPN サフィックスが一覧表示され、各サフィックスに対応する状態が表示されます。 状態の値には、次のいずれかを指定できます。
| 状態 | 説明 | 必要な対処 |
|---|---|---|
| 検証済み | Microsoft Entra Connect によって、Microsoft Entra ID に一致する検証済みドメインが見つかりました。 このドメインのすべてのユーザーは、オンプレミスの資格情報を使用してサインインできます。 | アクションは必要ありません。 |
| 未検証 | Microsoft Entra Connect では、Microsoft Entra ID に一致するカスタム ドメインが見つかりましたが、検証されていません。 ドメインが検証されていない場合、このドメインのユーザーの UPN サフィックスは、同期後に既定の .onmicrosoft.com サフィックスに変更されます。 | Microsoft Entra ID でカスタム ドメインを確認します。 |
| 未追加 | Microsoft Entra Connect では、UPN サフィックスに対応するカスタム ドメインが見つかりませんでした。 ドメインが Entra ID で追加および検証されていない場合、このドメインのユーザーの UPN サフィックスは既定の .onmicrosoft.com サフィックスに変更されます。 | UPN サフィックスに対応するカスタム ドメインを追加して確認します。 |
Microsoft Entra サインイン ページには、オンプレミスの Active Directory に対して定義されている UPN サフィックスと、Microsoft Entra ID の対応するカスタム ドメインと、現在の検証状態が一覧表示されます。 カスタム インストールでは、 Microsoft Entra サインイン ページで UserPrincipalName の属性を選択できるようになりました。
[更新] ボタンをクリックすると、Microsoft Entra ID からカスタム ドメインの最新の状態を再フェッチできます。
Microsoft Entra ID で UserPrincipalName の属性を選択する
userPrincipalName 属性は、ユーザーが Microsoft Entra ID と Microsoft 365 にサインインするときに使用する属性です。 ユーザーが同期される前に、Microsoft Entra ID で使用されているドメイン (UPN サフィックスとも呼ばれます) を確認する必要があります。
既定の属性 userPrincipalName のままにすることを強くお勧めします。 この属性がルーティング不可能で、検証できない場合は、サインイン ID を保持する属性として別の属性 (電子メールなど) を選択できます。 これは代替 ID と呼ばれます。 代替 ID 属性値は RFC 822 標準に従う必要があります。 サインイン ソリューションとして、パスワード SSO とフェデレーション SSO の両方で代替 ID を使用できます。
注
代替 ID の使用は、すべての Microsoft 365 ワークロードと互換性がありません。 詳細については、「 代替ログイン ID の構成」を参照してください。
さまざまなカスタム ドメインの状態と Entra ID サインイン エクスペリエンスへの影響
Microsoft Entra ディレクトリ内のカスタム ドメインの状態と、オンプレミスで定義されている UPN サフィックスの関係を理解することは非常に重要です。 Microsoft Entra Connect を使用して同期を設定するときに、考えられるさまざまな Entra ID サインイン エクスペリエンスについて説明します。
次の情報では、UPN サフィックス contoso.com について考えてみましょう。これは、オンプレミス ディレクトリで UPN の一部として使用されます。たとえば、 user@contoso.com。
高速設定/パスワード ハッシュ同期
| 状態 | ユーザー Entra ID サインイン エクスペリエンスへの影響 |
|---|---|
| 未追加 | この場合、Microsoft Entra ディレクトリに contoso.com のカスタム ドメインは追加されていません。 サフィックス @contoso.com を持つオンプレミスの UPN を持つユーザーは、オンプレミスの UPN を使用して Entra ID にサインインすることはできません。 代わりに、既定の Microsoft Entra ディレクトリのサフィックスを追加することで、Microsoft Entra ID によって提供される新しい UPN を使用する必要があります。 たとえば、ユーザーを Microsoft Entra ディレクトリ contoso.onmicrosoft.com に同期している場合、オンプレミスのユーザー user@contoso.com には user@contoso.onmicrosoft.com の UPN が与えられます。 |
| 未検証 | この場合、Microsoft Entra ディレクトリに追加されるカスタム ドメイン contoso.com があります。 ただし、まだ検証されていません。 ドメインを確認せずにユーザーの同期を進める場合、"追加されていない" シナリオと同様に、ユーザーには Microsoft Entra ID によって新しい UPN が割り当てられます。 |
| 検証済み | この場合、UPN サフィックスの Microsoft Entra ID で既に追加および検証されているカスタム ドメイン contoso.com があります。 ユーザーは、オンプレミスの UserPrincipalName ( user@contoso.com など) を使用して、Microsoft Entra ID に同期した後に Entra にサインインできます。 |
AD FS のフェデレーション
Microsoft Entra ID の既定の .onmicrosoft.com ドメインまたは Microsoft Entra ID の未確認のカスタム ドメインとのフェデレーションを作成することはできません。 Microsoft Entra Connect ウィザードを実行しているときに、フェデレーションを作成する未確認のドメインを選択すると、ドメインの DNS がホストされている場所で作成するために必要なレコードが Microsoft Entra Connect によって求められます。 詳細については、「 フェデレーション用に選択された Microsoft Entra ドメインを確認する」を参照してください。
ユーザー サインイン オプション [ AD FS とのフェデレーション] を選択した場合、Microsoft Entra ID でフェデレーションを作成し続けるには、カスタム ドメインが必要です。 ここでは、Microsoft Entra ディレクトリにカスタム ドメイン contoso.com 追加する必要があることを意味します。
| 状態 | ユーザー Entra ID サインイン エクスペリエンスへの影響 |
|---|---|
| 未追加 | この場合、Microsoft Entra Connect は、Microsoft Entra ディレクトリに UPN サフィックス contoso.com の一致するカスタム ドメインを見つけることができませんでした。 ユーザーがオンプレミスの UPN ( user@contoso.com など) で AD FS を使用してサインインする必要がある場合は、カスタム ドメイン contoso.com を追加する必要があります。 |
| 未検証 | この場合、Microsoft Entra Connect は、後の段階でドメインを確認する方法に関する適切な詳細を求められます。 |
| 検証済み | この場合は、追加の操作を行わずに構成を進めることができます。 |
ユーザーのサインイン方法の変更
ウィザードを使用した Microsoft Entra Connect の初期構成後に Microsoft Entra Connect で使用できるタスクを使用して、フェデレーション、パスワード ハッシュ同期、またはパススルー認証からユーザー サインイン方法を変更できます。 Microsoft Entra Connect ウィザードをもう一度実行すると、実行できるタスクの一覧が表示されます。 タスクの一覧から [ユーザー サインインの変更 ] を選択します。
次のページでは、Microsoft Entra ID の資格情報を入力するように求められます。
[ ユーザー サインイン ] ページで、目的のユーザー サインインを選択します。
注
パスワード ハッシュ同期に一時的に切り替えるだけの場合は、[ ユーザー アカウントを変換しない ] チェック ボックスをオンにします。 このオプションをオンにしないと、各ユーザーがフェデレーションに変換され、数時間かかることがあります。
次のステップ
- 詳細については、オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。
- Microsoft Entra Connect の設計概念の詳細を確認します。