次の方法で共有


Microsoft Entra パススルー認証を使用したユーザー サインイン

Microsoft Entra パススルー認証とは?

Microsoft Entra パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方にサインインできます。 この機能により、ユーザー エクスペリエンスが向上します。ユーザーは、覚えておくパスワードが 1 つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため IT ヘルプデスクのコストが削減します。 この機能により、ユーザーが Microsoft Entra ID を使用してサインインするとき、ユーザーのパスワードがオンプレミスの Active Directory に対して直接検証されます。

これは、Microsoft Entra のパスワード ハッシュ同期の代替え機能であり、クラウド認証と同じメリットを組織にもたらします。 ただし、自身のオンプレミスの Active Directory のセキュリティとパスワード ポリシーを適用する必要がある特定の組織は、代わりにパススルー認証を使用することを選択できます。 Microsoft Entra の各種サインイン方法の比較および組織に合った適切なサインイン方法の選び方については、こちらのガイドを参照してください。

Microsoft Entra パススルー認証

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 Windows 10 以降のマシンがある場合は、Microsoft Entra hybrid join (AADJ) を使用します。 この方法では、ユーザーが企業ネットワーク内の会社のコンピューター アプリケーションにアクセスしてサインインするときに、パスワードを入力する必要がありません。

Microsoft Entra パススルー認証を使用する主なメリット

  • 優れたユーザー エクスペリエンス
    • ユーザーは、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方に同じパスワードを使用してサインインできます。
    • パスワード関連の問題を解決するのに、ユーザーが IT ヘルプデスクと対話する時間が減ります。
    • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
  • デプロイと管理が容易
    • 簡単にオンプレミスにデプロイしてネットワーク構成できます。
    • オンプレミスには、軽量エージェントのみをインストールすれば済みます。
    • 管理のオーバーヘッドを排除できます。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
  • セキュリティ保護
    • オンプレミス パスワードが何らかの形でクラウドに保存されることはありません。
    • 多要素認証 (MFA) を含む、Microsoft Entra 条件付きアクセス ポリシーレガシ認証のブロックフィルター処理によるブルート フォース パスワード攻撃の除外により、作業を中断されずに、ユーザー アカウントを保護できます。
    • エージェントは、ネットワーク内からの送信接続のみを行います。 そのため、DMZ とも呼ばれる、境界ネットワークにエージェントをインストールする必要がありません。
    • エージェントと Microsoft Entra ID の間の通信は、証明書ベースの認証を使用して保護されます。 これらの証明書は、Microsoft Entra ID によって数か月ごとに自動的に更新されます。
  • 高可用性
    • 追加のエージェントを複数のオンプレミス サーバーにインストールすることで、サインイン要求の高可用性を実現できます。

機能概要

  • ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
  • サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Microsoft Entra Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
  • この機能は、多要素認証 (MFA) など、ユーザーをセキュリティで保護するのに役立つ条件付きアクセス機能とシームレスに連携します。
  • クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
  • ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
  • これは無料の機能であり、この機能を使用するために Microsoft Entra の有料エディションは不要です。
  • Microsoft Entra Connect を使用して有効にすることができます。
  • これでは、パスワード検証要求を待ち受けて応答する、軽量オンプレミス エージェントを使用します。
  • 複数のエージェントをインストールすることにより、サインイン要求の高可用性が実現されます。
  • これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ