この Microsoft Entra ID とクラウド サービスに関する FAQ は、IT Pro チームがリモートで作業するときに管理するのに役立ちます。
元の製品バージョン: Microsoft Entra ID Original KB number: 4559203
よく寄せられる質問
Microsoft Cloud は初めてです。 Microsoft が提供する無料ライセンスでMicrosoft Teamsを使用して従業員がリモートで作業を開始できるようにするには、どうすればよいですか?
Microsoft では、従業員が自宅からMicrosoft Teamsまでの生産性を向上させるために、6 か月間無料の E1 ライセンスを提供しています。 ライセンスの詳細と資格を確認するには、「 Office 365 E1 試用版を管理するを参照してください。
Microsoft Entra の観点からMicrosoft Teamsを設定して、既存のオンプレミス展開を操作するには、どのようなガイダンスを利用できますか?
Microsoft Teamsは、Microsoft Entra ID に格納されている ID を使用します。 Microsoft Entra ID をオンプレミスの AD 環境と統合できます。 詳細については、「 Microsoft 365 とオンプレミス環境の統合」を参照してください。
私は教育で働いていますが、既存のオンプレミスインフラストラクチャはありません。 オンライン教育などの教育目的でMicrosoft Teamsを使用するにはどうすればよいですか?
Microsoft では、教育機関向けの無料の A1 ライセンスを提供しています。 ライセンスの詳細については、「 Get Office 365 free for your schoolにアクセスしてください。 次のドキュメントでは、学校または大学でリモート学習を有効にする方法に関する有用な情報を提供します。
管理者も自宅で働いています。 セキュリティで保護された方法で内部サーバーにリモートでアクセスできるようにする方法を教えてください。
答えは、現在のデプロイによって異なります。 既に VPN ソリューションをお持ちの場合は、多要素認証 (MFA) ソリューションを使用して統合し、別のセキュリティ層を追加できます。
VPN ソリューションがまだない場合は、デプロイを続行し、セキュリティの追加レイヤーとして MFA を使用してリモート アクセスを許可する Windows ゲートウェイを使用できます。
サードパーティの VPN ソリューションまたは Microsoft Windows ゲートウェイを使用している場合に、MFA を有効にして内部サーバーへのリモート アクセスを許可するのに役立つ技術的な詳細を提供できますか?
はい。テクニカル ガイドを提供しています。
Azure MFA サーバーが既に稼働していて、それを使用する必要がある場合は、既存の VPN ソリューションまたは Windows ゲートウェイを使用して、このようなデプロイを作成できます。 (この種のデプロイは非推奨になっており、既存の顧客のみが使用できることに注意してください)。
サードパーティの VPN との MFA サーバー統合の例を次に示します。
ゲートウェイを使用して Azure MFA サーバーをする方法を次に示します。
MFA NPS 拡張機能を使用している場合は、技術的な詳細については、次の記事を参照してください。
Azure MFA を有効にしたい。 使用する MFA の種類を選択するにはどうすればよいですか?
次の表に、MFA をデプロイする複数のシナリオを示します。
シナリオ | 前提条件 |
---|---|
先進認証を使用するクラウド専用 ID 環境 | 追加の前提条件タスクはありません |
ハイブリッド ID シナリオ | Microsoft Entra Connect が展開され、ユーザー ID は Microsoft Entra ID を使用して オンプレミスの Active Directory Domain Services (AD DS) と同期またはフェデレーションされます。 |
クラウド アクセス用に公開されたオンプレミスのレガシ アプリケーション | Microsoft Entra アプリケーション プロキシが展開されています。 |
Azure MFA と RADIUS 認証の使用 | ネットワーク ポリシー サーバー (NPS) がデプロイされています。 |
ユーザーが Microsoft Office 2010 以前または Apple Mail for iOS 11 以前を使用している | Microsoft Office 2013 以降と Apple Mail for iOS 12 以降にアップグレードします。 従来の認証プロトコルでは、条件付きアクセスはサポートされていません。 |
各 MFA の種類のしくみと使用するタイミングの詳細については、「 Azure Multi-Factor Authentication のデプロイを計画するを参照してください。
ユーザーが Microsoft Entra ID から直接パスワードをリセットできるようにするには、どうすればよいですか?
Microsoft Entra ID には、現在のシナリオに基づいてこれを実現するためのいくつかの方法が用意されています。
ユーザーが Microsoft Entra ID P1 または P2 を持っていて、ユーザーに対して SSPR-U (SSPR) を有効にする場合は、次のオプションをお勧めします。
ユーザーが Microsoft Entra ID P1 または P2 を持っていなくても、フェデレーションに Active Directory フェデレーション サービス (AD FS) (AD FS) を使用しているが、SSPR がない場合は、このオプションをお勧めします。
ユーザーが Microsoft Entra ID P1 または P2 を持っていなくても、ADFS を使用してパスワード エンドポイントを変更する場合は、エンドポイントを明示的に有効にする必要があります (Update パスワードのカスタマイズ)。 プロキシ エンドポイントでもこれを行うことができます。 これにより、AD FS の機能が有効になります。
ユーザーは、要求として URL の "passwordchangeurl" という名前の要求を Microsoft Entra ID に送信できます。 Microsoft Entra ID は、Windows 10 バージョン 1703 以降を実行している Windows 10 の Microsoft Entra 参加済みワークステーションでこれを受け入れます。 ユーザーは、Ctrl + Alt + Del キーを押すと、要求に表示される URL に移動します。
AD FS のコンテキストでの要求に関するいくつかのサンプル参照を次に示します。
クラウドのみのデプロイがあり、セキュリティの追加レイヤーとして Azure MFA を追加する必要があります。 これには無料ライセンスはありますか?
はい。 Microsoft Entra ID Free またはスタンドアロンの Office 365 ライセンスでは、セキュリティの既定値を使用して、ユーザーと管理者に MFA を要求します。
ユーザーの MFA 設定を管理する方法については、「 ユーザーの状態を確認するに関するページを参照してください。
リモートで作業している間、ユーザーのデバイスを Microsoft Entra ID に接続する価値はありますか?
Microsoft Entra ID を使用すると、接続されているデバイスを介してどこからでもデバイス、アプリ、サービスにシングル サインオンできます。 IT プロフェッショナルは、組織のリソースを管理およびセキュリティで保護するために必要な制御を取得します。 詳細については、「 Microsoft Entra ID でのデバイスの取得」を参照してください。
Microsoft Entra ID に接続できるデバイスの種類は何ですか?
3 種類のデバイスを Microsoft Entra ID に接続できます。Microsoft Entra 登録済み、Microsoft Entra 参加済み、または Microsoft Entra ハイブリッド参加済み (インフラストラクチャに応じて)。 詳細については、「 Microsoft Entra ID でのデバイスの取得」を参照してください。
デバイスを Microsoft Entra ID に接続するには、追加のライセンスが必要ですか?
その必要はありません。 追加のライセンスは必要ありません。 Microsoft Entra ID Free ライセンスは Office 365 ライセンスと共に既定で有効になっているため、ユーザーはデバイスを Microsoft Entra ID に接続できます。
リモートで作業しているときに、Microsoft Entra 参加済みデバイスからパスワードをリセットした後に Office 365 サービスにアクセスできないのはなぜですか?
パスワードをリセットしたら、ログアウトして、新しいパスワードを使用して再度ログインする必要があります。
リモートで作業しているときに、Microsoft Entra ハイブリッド参加済みデバイスからパスワードをリセットした後、Office 365 サービスにアクセスできないのはなぜですか。
Microsoft Entra ハイブリッド参加済みデバイスでパスワードをリセットする場合は、ドメイン コントローラーへの通信経路が必要です。 企業ネットワークの外部にいる場合は、VPN 経由で接続していることを確認します。 次に、ログアウトし、新しいパスワードを使用して再度ログインします。
企業ネットワークの外部で作業している場合、Microsoft Entra ハイブリッド参加済みデバイスから Office 365 リソースに引き続きアクセスできますか?
はい。 パスワードを変更しない限り、企業ネットワークの外部から Microsoft Entra ハイブリッド参加済みデバイスから Office 365 リソースに引き続きアクセスできます。
会社のネットワーク外でパスワードを変更した場合でも、Microsoft Entra ハイブリッド参加済みデバイスから Office 365 リソースにアクセスし続ける方法はありますか?
Windows Hello for Business (WHfB) を使用して Microsoft Entra ハイブリッド参加済みデバイスにサインインしている場合は、パスワードを変更しても Office 365 リソースへのアクセスは保持されます。
Microsoft Entra デバイスの正常性状態を確認するにはどうすればよいですか?
デバイス登録トラブルシューティング ツールを使用して、すべての結合の種類 (Microsoft Entra ハイブリッド参加済み、Microsoft Entra 参加済み、Microsoft Entra register) の正常性状態を確認できます。
デバイスでシングル サインオン (SSO) が想定どおりに動作していることを確認するにはどうすればよいですか?
Microsoft Entra ハイブリッド参加済みデバイスまたは Microsoft Entra 参加済みデバイスから dsregcmd /status コマンドを実行し、 AzureAdPrt が YES として設定されているかどうかを確認します。 詳細については、「 SSO 状態」を参照してください。
Hybrid Microsoft Entra デバイスの登録手順は何ですか?
Microsoft Entra ハイブリッド参加のデバイス登録手順を次に示します。
- デバイスは、次のレジストリ サブキー (
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
) からテナント ID とドメイン名の取得を試みます。 - 手順 1 で失敗した場合、デバイスはローカル AD (構成パーティション) と通信して、サービス接続ポイント (SCP) からテナントの情報を取得します。 (SCP 情報は、デバイス登録 SCP ツール PowerShell を使用して取得できます)。
- デバイスは Microsoft Entra テナントと通信します。
- デバイスは、Microsoft Entra ID またはフェデレーション サービス (ADFS など) に対して認証されます。
- デバイスの登録プロセスが完了します。
詳細については、「 Hybrid Microsoft Entra Device Registration」を参照してください。
デバイス登録の問題のトラブルシューティングに最適な方法は何ですか?
デバイス登録トラブルシューティング ツールは、30 を超えるテストを実行して、すべての参加の種類 (Microsoft Entra ハイブリッド参加済み、Microsoft Entra 参加済み、Microsoft Entra register) の最も一般的なデバイス登録の問題を特定して修正します。
自宅で作業している間は、クラウド リソースにアクセスできません。 デバイスの条件付きアクセス ポリシーは登録されていませんが、デバイスは Microsoft Entra ID に接続されているようです。 何が間違っている可能性がありますか?
Microsoft Entra ID へのデバイス接続を再確認します。 Microsoft Entra PRT の値も確認します。 詳細については、「 SSO 状態」を参照してください。
ユーザーが自宅で作業する場合、ユーザーが自分のパスワードをリセットできるようにする方法はありますか?
はい。 ユーザーが自宅から自分のパスワードを変更することを許可できます。 パスワード ライトバック機能を構成する方法を次に示します。
Microsoft Entra Connect からパスワード ライトバック機能を有効にします。 詳細については、「 Enable password writeback in Microsoft Entra Connect」を参照してください。
Microsoft Entra Connect サーバーで次の PowerShell コマンドを実行して、Microsoft Entra Connect アカウントに必要なアクセス許可を設定します。
Import-Module "C:\Program Files\Microsoft Entra Connect\AdSyncConfig\AdSyncConfig.psm1"
Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountNameAADConnectAccount -ADConnectorAccountDomain domain.local
ADConnectorAccountName ADConnectorAccountDomainを取得するには値を次に示します。Get-ADSyncADConnectorAccount
Azure portal からパスワード ライトバックを有効にするには、「 SSPR のパスワード ライトバックを有効にするに移動します。
パスワード ライトバックと SSPR に必要なライセンスは何ですか?
必要なライセンスは、次の記事に記載されています。
パスワード ライトバックと SSPR に必要なポートと URL は何ですか?
ファイアウォールの内側またはプロキシ経由で実行されている Microsoft Entra Connect サーバーの場合は、この記事 記載されているポートと URL を開。
サードパーティの情報に関する免責事項
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。