代替ログイン ID とは
ほとんどのシナリオでは、ユーザーは UPN (ユーザー プリンシパル名) を使用して自分のアカウントにログインします。 ただし、企業ポリシーやオンプレミスの基幹業務アプリケーションの依存関係により、一部の環境では、ユーザーが他の形式のサインインを使用している可能性があります。
注
Microsoft の推奨されるベスト プラクティスは、UPN とプライマリ SMTP アドレスの照合です。 この記事では、一致するように UPN を修復できない顧客のごく一部について説明します。
たとえば、サインインに電子メール ID を使用でき、UPN とは異なる場合があります。 これは、UPN がルーティング不可能なシナリオで特に一般的です。 UPN jdoe@contoso.local とメールアドレス jdoe@contoso.com を持つユーザー、Jane Doe について考えてみましょう。 Jane は、サインインに電子メール ID を常に使用してきたため、UPN を認識していない可能性があります。 UPN の代わりに他のサインイン方法を使用すると、代替 ID が構成されます。 UPN の作成方法の詳細については、「Microsoft Entra UserPrincipalName の作成」を参照してください。
Active Directory フェデレーション サービス (AD FS) を使用すると、AD FS を使用するフェデレーション アプリケーションで代替 ID を使用してサインインできます。 これにより、管理者はサインインに使用する既定の UPN の代替手段を指定できます。 AD FS では、Active Directory Domain Services (AD DS) で受け入れられる任意の形式のユーザー識別子の使用が既にサポートされています。 代替 ID 用に構成されている場合、AD FS では、電子メール ID などの構成済みの代替 ID 値を使用してユーザーがサインインできるようになります。 代替 ID を使用すると、オンプレミスの UPN を変更することなく、Office 365 などの SaaS プロバイダーを採用できます。 また、コンシューマー プロビジョニング ID を使用して基幹業務サービス アプリケーションをサポートすることもできます。
Microsoft Entra ID の代替 ID
組織は、次のシナリオで代替 ID を使用する必要がある場合があります。
- オンプレミスのドメイン名は、
contoso.localなどルーティング不可能であるため、既定のユーザー プリンシパル名はルーティング不可能 (jdoe@contoso.local)。 ローカル アプリケーションの依存関係または会社のポリシーにより、既存の UPN を変更することはできません。 Microsoft Entra ID と Office 365 では、Microsoft Entra ディレクトリに関連付けられているすべてのドメイン サフィックスが完全にインターネット ルーティング可能である必要があります。 - オンプレミスの UPN はユーザーのメール アドレスと同じではなく、Office 365 にサインインする場合、ユーザーはメール アドレスを使用し、組織の制約により UPN を使用できません。 上記のシナリオでは、AD FS の代替 ID を使用すると、ユーザーはオンプレミスの UPN を変更せずに Microsoft Entra ID にサインインできます。
代替ログオン ID を構成する
Microsoft Entra Connect の使用 Microsoft Entra Connect を使用して、環境の代替ログオン ID を構成することをお勧めします。
- Microsoft Entra Connect の新しい構成については、代替 ID と AD FS ファームを構成する方法の詳細については、Microsoft Entra ID への接続に関するページを参照してください。
- 既存の Microsoft Entra Connect のインストールについては、サインイン方法を AD FS に変更する手順については、「ユーザー サインイン方法の変更」を参照してください。
Microsoft Entra Connect が AD FS 環境に関する詳細を受け取ると、AD FS に適切な KB の存在を自動的に確認し、Microsoft Entra のフェデレーション信頼に必要なすべての要求規則を含めた代替 ID 用に AD FS が構成されます。 代替 ID を構成するためにウィザードの外部で追加の手順は必要ありません。
注
Microsoft では、Microsoft Entra Connect を使用して代替ログオン ID を構成することをお勧めします。
代替 ID を手動で構成する
代替ログイン ID を構成するには、次のタスクを実行する必要があります。
代替ログイン ID を有効にするように AD FS 要求プロバイダー信頼を構成する
Windows Server 2012 R2 をお持ちの場合は、すべての AD FS サーバーにKB2919355がインストールされていることを確認します。 Windows Update Services 経由で入手することも、直接ダウンロードすることもできます。
ファーム内のいずれかのフェデレーション サーバーで次の PowerShell コマンドレットを実行して、AD FS 構成を更新します (WID ファームがある場合は、ファーム内のプライマリ AD FS サーバーでこのコマンドを実行する必要があります)。
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>
AlternateLoginID は、ログインに使用する属性の LDAP 名です。
LookupForests は、ユーザーが属しているフォレスト DNS の一覧です。
代替ログイン ID 機能を有効にするには、null 以外の有効な値を使用して -AlternateLoginID パラメーターと -LookupForests パラメーターの両方を構成する必要があります。
次の例では、contoso.com フォレストと fabrikam.com フォレスト内のアカウントを持つユーザーが、"mail" 属性を使用して AD FS 対応アプリケーションにログインできるように、代替ログイン ID 機能を有効にします。
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
- この機能を無効にするには、両方のパラメーターの値を null に設定します。
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL
代替 ID を使用したハイブリッド先進認証
重要
以下は、サード パーティの ID プロバイダーではなく、AD FS に対してのみテストされています。
Exchange と Skype for Business
Exchange と Skype for Business で代替ログイン ID を使用している場合、ユーザー エクスペリエンスは HMA を使用しているかどうかによって異なります。
注
最適なエンドユーザー エクスペリエンスを実現するために、Microsoft ではハイブリッド先進認証の使用をお勧めします。
詳細については、「ハイブリッド先進認証の概要」を参照してください。
Exchange と Skype for Business の前提条件
代替 ID で SSO を実現するための前提条件を次に示します。
- Exchange Online で先進認証が有効になっている必要があります。
- Skype for Business (SFB) Online で先進認証が有効になっている必要があります。
- Exchange オンプレミスでは、先進認証が有効になっている必要があります。 Exchange 2013 CU19 または Exchange 2016 CU18 以降は、すべての Exchange サーバーで必要です。 環境内に Exchange 2010 はありません。
- オンプレミスの Skype for Business では、先進認証が有効になっている必要があります。
- 先進認証が有効になっている Exchange クライアントと Skype クライアントを使用する必要があります。 すべてのサーバーが SFB Server 2015 CU5 を実行している必要があります。
- 先進認証が可能な Skype for Business クライアント
- iOS、Android、Windows Phone
- SFB 2016 (MA は既定では ON ですが、無効になっていないことを確認してください)。
- SFB 2013 (MA は既定では OFF なので、MA がオンになっていることを確認してください)。
- SFB Mac デスクトップ
- 先進認証が可能で、AltID レジストリ キーをサポートする Exchange クライアント
- Office Pro Plus 2016 のみ
サポートされている Office のバージョン
代替 ID を使用した SSO 用のディレクトリの構成
代替 ID を使用すると、これらの追加の構成が完了していない場合、認証の追加プロンプトが表示される可能性があります。 代替 ID を使用したユーザー エクスペリエンスに与える可能性のある影響については、記事を参照してください。
次の追加構成により、ユーザー エクスペリエンスが大幅に向上し、組織内の代替 ID ユーザーの認証を求めるプロンプトをほぼゼロにできます。
手順 1: 必要な Office バージョンに更新する
Office バージョン 1712 (ビルド番号 8827.2148) 以降では、代替 ID シナリオを処理するための認証ロジックが更新されました。 新しいロジックを利用するには、クライアント コンピューターを Office バージョン 1712 (ビルド番号 8827.2148) 以降に更新する必要があります。
手順 2: 必要な Windows バージョンに更新する
Windows バージョン 1709 以降では、代替 ID シナリオを処理するための認証ロジックが更新されました。 新しいロジックを利用するには、クライアント マシンを Windows バージョン 1709 以降に更新する必要があります。
手順 3: グループ ポリシーを使用して影響を受けたユーザーのレジストリを構成する
Office アプリケーションは、ディレクトリ管理者によってプッシュされた情報に依存して、代替 ID 環境を識別します。 Office アプリケーションが追加のプロンプトを表示せずに代替 ID でユーザーを認証できるように、次のレジストリ キーを構成する必要があります。
| レジストリキーを追加する | レジストリ キーのデータ名、型、および値 | Windows 7/8 | Windows 10 | 説明 |
|---|---|---|---|---|
| HKEY_CURRENT_USER\Software\Microsoft\AuthN | DomainHint REG_SZ contoso.com |
必須 | 必須 | この regkey の値は、組織のテナントで検証済みのカスタム ドメイン名です。 たとえば、Contoso.com がテナント Contoso.onmicrosoft.com で検証済みのカスタム ドメイン名の 1 つである場合、Contoso corp はこの regkey に Contoso.com の値を提供できます。 |
| HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity | EnableAlternateIdSupport REG_DWORD 1 (オルタネートIDのサポートを有効にする設定) |
Outlook 2016 ProPlus に必要 | Outlook 2016 ProPlus に必要 | この regkey の値は、改善された代替 ID 認証ロジックを使用する必要があるかどうかを Outlook アプリケーションに示すために 1/0 にすることができます。 |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts | * REG_DWORD 1 |
必須 | 必須 | このレジストリ キーを使用して、インターネット設定で STS を信頼済みゾーンとして設定できます。 Standard AD FS の展開では、Internet Explorer のローカル イントラネット ゾーンに AD FS 名前空間を追加することをお勧めします。 |
追加構成後の新しい認証フロー
- a: 代替 ID
b を使用して Microsoft Entra ID でユーザーがプロビジョニングされる: ディレクトリ管理者が影響を受けるクライアント マシンに必要な regkey 設定をプッシュする - ユーザーがローカル コンピューターで認証を行い、Office アプリケーションを開く
- Office アプリケーションがローカル セッション資格情報を取得する
- Office アプリケーションは、管理者とローカルの資格情報によってプッシュされたドメイン ヒントを使用して Microsoft Entra ID に対して認証を行います
- Microsoft Entra ID は、正しいフェデレーション領域に指示してトークンを発行することで、ユーザーを正常に認証します
追加の構成後のアプリケーションとユーザー エクスペリエンス
Exchange 以外および Skype for Business クライアント
| 顧客 | サポートに関する声明 | 注釈 |
|---|---|---|
| Microsoft Teams | サポートされています | |
| OneDrive for Business | サポートされている - クライアント側のレジストリ キーを推奨 | 代替 ID が構成されている場合、オンプレミスの UPN が検証フィールドに事前に設定されていることがわかります。 これは、使用されている代替 ID に変更する必要があります。 この記事に記載されているクライアント側のレジストリ キーを使用することをお勧めします。Office 2013 と Lync 2013 では、SharePoint Online、OneDrive、および Lync Online への資格情報の入力を定期的に求められます。 |
| OneDrive for Business Mobile Client | サポートされています | |
| Office 365 Pro Plus のライセンス認証ページ | サポートされている - クライアント側のレジストリ キーを推奨 | 代替 ID が構成されている場合、オンプレミスの UPN が検証フィールドに事前に設定されていることがわかります。 これは、使用されている代替 ID に変更する必要があります。 この記事に記載されているクライアント側レジストリ キーを使用することをお勧めします。Office 2013 と Lync 2013 では、SharePoint Online、OneDrive、および Lync Online への資格情報の入力を定期的に求められます。 |
Exchange と Skype for Business クライアント
| 顧客 | サポート ステートメント - HMA を使用 | サポート ステートメント - HMA なし |
|---|---|---|
| 前途 | サポートされ、追加のプロンプトはありません | サポート Exchange Online の 先進認証 : サポートされています Exchange Online の 通常の認証 : 次の注意事項でサポートされます。 |
| ハイブリッド パブリック フォルダー | サポートされています。追加のプロンプトはありません。 | Exchange Online の 先進認証 の場合: サポートされています Exchange Online の 通常の認証 を使用する: サポートされていません |
| クロスプレミス委任 | ハイブリッド展開で委任されたメールボックスのアクセス許可をサポートするように Exchange を構成するを参照してください | ハイブリッド展開で委任されたメールボックスのアクセス許可をサポートするように Exchange を構成するを参照してください |
| メールボックス アクセスのアーカイブ (オンプレミスのメールボックス - クラウドでのアーカイブ) | サポートされ、追加のプロンプトはありません | サポート - ユーザーはアーカイブにアクセスするときに資格情報の追加のプロンプトを受け取り、プロンプトが表示されたら代替 ID を指定する必要があります。 |
| Outlook Web Access | サポートされています | サポートされています |
| Android、IOS、および Windows Phone 用 Outlook Mobile Apps | サポートされています | サポートされています |
| Skype for Business/Lync | 追加のプロンプトなしでサポート | サポート (特に示されている場合を除く) が、ユーザーの混乱の可能性があります。 モバイル クライアントでは、代替 ID は、SIP アドレス = 電子メール アドレス = 代替 ID の場合にのみサポートされます。 ユーザーは Skype for Business デスクトップ クライアントに 2 回サインインする必要があります。最初にオンプレミスの UPN を使用してから、代替 ID を使用します。 (多くの場合、"サインイン アドレス" は実際には "ユーザー名" と同じではない可能性がある SIP アドレスであることに注意してください)。 最初にユーザー名の入力を求められたら、代替 ID または SIP アドレスが誤って入力されている場合でも、UPN を入力する必要があります。 ユーザーが UPN を使用してサインインをクリックすると、ユーザー名のプロンプトが再び表示されます。今回は UPN が事前設定されています。 今回は、ユーザーはこれを代替 ID に置き換え、[サインイン] をクリックしてサインイン プロセスを完了する必要があります。 モバイル クライアントでは、ユーザーは UPN 形式ではなく SAM スタイルの形式 (ドメイン\ユーザー名) を使用して、詳細ページにオンプレミスのユーザー ID を入力する必要があります サインインに成功した後、Skype for Business または Lync で "Exchange には資格情報が必要です" と表示された場合は、メールボックスが配置されている場所に対して有効な資格情報を指定する必要があります。 メールボックスがクラウド内にある場合は、代替 ID を指定する必要があります。 メールボックスがオンプレミスの場合は、オンプレミスの UPN を指定する必要があります。 |
その他の詳細と考慮事項
Microsoft Entra ID には、"代替ログイン ID" に関連するさまざまな機能が用意されています
この記事で説明する代替ログイン ID 機能は、フェデレーション1 ID インフラストラクチャ環境で使用できます。 次のシナリオではサポートされていません。
- Microsoft Entra ID では検証できないルーティング不可能なドメイン (Contoso.local など) を持つ AlternateLoginID 属性。
- AD FS がデプロイされていないマネージド環境。 Microsoft Entra Connect Sync の ドキュメント を参照するか、 代替ログイン ID ドキュメントとして電子メールで Microsoft Entra ID にサインイン してください。 マネージド2 ID インフラストラクチャ環境で Microsoft Entra Connect Sync の構成を調整する場合は、この記事の 追加の構成セクションの後にアプリケーションとユーザー エクスペリエンス が適用される可能性があります。ただし、マネージド2 ID インフラストラクチャ環境に AD FS がデプロイされていないため、特定の AD FS 構成は適用されなくなります。
有効にすると、代替ログイン ID 機能は、AD FS (SAML-P、WS-Fed、WS-Trust、OAuth) でサポートされているすべてのユーザー名/パスワード認証プロトコルのユーザー名/パスワード認証でのみ使用できます。
Windows 統合認証 (WIA) が実行されると (たとえば、ユーザーがイントラネットからドメインに参加しているコンピューター上の企業アプリケーションにアクセスしようとしたときに、AD FS 管理者がイントラネットに WIA を使用するように認証ポリシーを構成している場合)、UPN が認証に使用されます。 代替ログイン ID 機能用に証明書利用者の要求規則を構成している場合は、WIA の場合でもそれらの規則が有効であることを確認する必要があります。
代替ログイン ID 機能を有効にすると、AD FS がサポートするユーザー アカウント フォレストごとに、AD FS サーバーから少なくとも 1 つのグローバル カタログ サーバーに到達できる必要があります。 ユーザー アカウント フォレスト内のグローバル カタログ サーバーへの接続に失敗すると、AD FS は代替として UPN を使用します。 既定では、すべてのドメイン コントローラーはグローバル カタログ サーバーです。
有効にすると、構成されているすべてのユーザー アカウント フォレストで同じ代替ログイン ID 値が指定された複数のユーザー オブジェクトが AD FS サーバーによって検出されると、ログインは失敗します。
代替ログイン ID 機能が有効になっている場合、AD FS は最初に代替ログイン ID を使用してエンド ユーザーの認証を試み、代替ログイン ID で識別できるアカウントが見つからない場合は UPN の使用にフォールバックします。 UPN ログインを引き続きサポートする場合は、代替ログイン ID と UPN の間に競合がないことを確認する必要があります。 たとえば、一方のメール属性を他方の UPN に設定すると、他のユーザーが UPN でサインインできなくなります。
管理者によって構成されているフォレストのいずれかがダウンしている場合、AD FS は、構成されている他のフォレストで代替ログイン ID を持つユーザー アカウントを引き続き検索します。 AD FS サーバーが検索したフォレスト全体で一意のユーザー オブジェクトを見つけた場合、ユーザーは正常にログインします。
さらに、AD FS サインイン ページをカスタマイズして、代替ログイン ID に関するヒントをエンド ユーザーに提供することもできます。 これを行うには、カスタマイズしたサインイン ページの説明を追加します (詳細については、「 AD FS サインイン ページのカスタマイズ 」を参照するか、ユーザー名フィールドの上にある「組織のアカウントでサインイン」文字列をカスタマイズします (詳細については、「 AD FS サインイン ページの高度なカスタマイズ」を参照してください)。
代替ログイン ID 値を含む新しい要求の種類は、http:schemas.microsoft.com/ws/2013/11/alternateloginid です
1フェデレーション ID インフラストラクチャ環境は、AD FS やその他のサードパーティ IDP などの ID プロバイダーを持つ環境を表します。
2マネージド ID インフラストラクチャ環境は、 パスワード ハッシュ同期 (PHS) または パススルー認証 (PTA) でデプロイされた ID プロバイダーとして Microsoft Entra ID を持つ環境を表します。
イベントおよびパフォーマンス カウンター
代替ログイン ID が有効になっている場合の AD FS サーバーのパフォーマンスを測定するために、次のパフォーマンス カウンターが追加されました。
代替ログイン ID 認証: 代替ログイン ID を使用して実行された認証の数
代替ログイン ID 認証数/秒: 1 秒あたりの代替ログイン ID を使用して実行された認証の数
代替ログイン ID の平均検索待機時間: 管理者が代替ログイン ID 用に構成したフォレスト全体の平均検索待機時間
さまざまなエラー ケースと、AD FS によってログに記録されたイベントを使用したユーザーのサインイン エクスペリエンスへの対応する影響を次に示します。
| エラー ケース | サインイン エクスペリエンスへの影響 | イベント |
|---|---|---|
| ユーザー オブジェクトの SAMAccountName の値を取得できません | ログインエラー | イベント ID 364 と例外メッセージ MSIS8012: ユーザーの samAccountName が見つかりません: '{0}'。 |
| CanonicalName 属性にアクセスできない | ログインエラー | イベント ID 364 と例外メッセージ MSIS8013: CanonicalName: '{0}' の user:'{1}' の形式が正しくありません。 |
| 1 つのフォレストに複数のユーザー オブジェクトが存在する | ログインエラー | イベント ID 364 と例外メッセージ MSIS8015: ID '{0}' の複数のユーザー アカウントが、次の ID を持つフォレスト '{1}' で見つかりました: {2} |
| 複数のフォレストにまたがって複数のユーザー オブジェクトが見つかる | ログインエラー | イベント ID 364 と例外メッセージ MSIS8014: フォレスト内に ID '{0}' を持つ複数のユーザー アカウントが見つかりました。 {1} |