Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ

Azure Active Directory (Azure AD) に参加しているデバイスによって、ご利用のテナントのクラウド アプリへのシングル サインオン (SSO) エクスペリエンスが提供されることは、おそらく驚くことではありません。 ご利用の環境にオンプレミスの Active Directory (AD) がある場合は、Azure AD 参加済みデバイス上の SSO エクスペリエンスをオンプレミスの AD に依存するリソースとアプリケーションにも取得できます。

この記事では、この動作のしくみについて説明します。

前提条件

オンプレミスの SSO には、オンプレミスの AD DS ドメイン コントローラーとの見通し内通信が必要です。 Azure AD 参加済みデバイスが組織のネットワークに接続されていない場合は、VPN または他のネットワーク インフラストラクチャが必要です。

しくみ

ユーザーは Azure AD 参加済みデバイスを使用して、ご利用の環境内のクラウド アプリへの SSO エクスペリエンスを既に手に入れています。 ご利用の環境に Azure AD とオンプレミス AD がある場合は、SSO エクスペリエンスの範囲をオンプレミスの業種 (LOB) アプリ、ファイル共有、およびプリンターにまで拡張することができます。

Azure AD 参加済みデバイスには、オンプレミス AD 環境についての情報はありません (その環境に参加していないため)。 ただし、Azure AD Connect を使用して、ご利用のオンプレミス AD に関する追加情報をこれらのデバイスに提供することができます。

Azure AD とオンプレミス AD の両方を使用するハイブリッド環境がある場合は、オンプレミスの ID 情報をクラウドに同期するためにデプロイされた Azure AD Connect または Azure AD Connect クラウド同期が既に存在している可能性があります。 同期プロセスの一環として、オンプレミスのユーザーとドメインの情報は、Azure AD に同期されます。 ハイブリッド環境においてユーザーが Azure AD 参加済みデバイスにサインインしたとき:

  1. Azure AD は、ユーザーのオンプレミス ドメインの詳細をプライマリ更新トークンと共にデバイスに返送します。
  2. ローカル セキュリティ機関 (LSA) サービスによって、デバイス上の Kerberos および NTLM 認証が有効になります。

注意

Windows Hello for Business では、Azure AD 参加済みデバイスからのオンプレミスの SSO を有効にするために、追加の構成が必要です。 詳細については、「Configure Azure AD joined devices for On-premises Single-Sign On using Windows Hello for Business」 (Windows Hello for Business を使用してオンプレミス シングル サインオン用に Azure AD 参加済みデバイスを構成する) を参照してください。

Windows 10 での FIDO2 セキュリティ キーに基づくパスワードレス認証には、Azure AD 参加済みデバイスからオンプレミス SSO を有効にするための追加の構成が必要です。 詳細については、「Azure Active Directory を使用してオンプレミスのリソースへのパスワードなしのセキュリティ キー サインインを有効にする」を参照してください。

ユーザーのオンプレミス環境で Kerberos または NTLM を要求しているリソースへのアクセスが試行されると、デバイスは次のようになります。

  1. ユーザーを認証するために、見つかった DC にオンプレミス ドメインの情報とユーザーの資格情報を送信します。
  2. オンプレミスのリソースまたはアプリケーションがサポートするプロトコルに基づいて、Kerberos のチケット発行許諾チケット (TGT) または NTLM トークンを受信します。 ドメインの Kerberos TGT または NTLM トークンを取得する試みが失敗した場合 (関連する DCLocator タイムアウトが遅延の原因である可能性があります)、資格情報マネージャー エントリが試みられるか、ユーザーがターゲット リソースの資格情報を要求する認証ポップアップを受け取る可能性があります。

Windows 統合認証 の対象として構成されているすべてのアプリでは、ユーザーからのアクセスが試みられたときに、SSO がシームレスに適用されます。

取得内容

SSO を使用すると、Azure AD 参加済みデバイスで次のことができます。

  • AD のメンバー サーバー上の UNC パスへのアクセス
  • Windows 統合セキュリティ用に構成された AD メンバーである Web サーバーへのアクセス

Windows デバイスからオンプレミス AD を管理する場合は、Windows 10 用リモート サーバー管理ツールをインストールします。

使用できるもの:

  • すべての AD オブジェクトを管理するための、Active Directory ユーザーとコンピューター (ADUC) スナップイン。 ただし、手動で接続するドメインを指定する必要があります。
  • AD 参加済み DHCP サーバーを管理するための、DHCP スナップイン。 ただし、DHCP サーバーの名前またはアドレスを指定する必要があります。

知っておくべきこと

必要なドメインについてのデータが確実に同期されるように、Azure AD Connect においてドメインベースのフィルター処理を調整することが必要になる場合があります。

Azure AD 参加済みデバイス上に AD 内のコンピューター オブジェクトがないため、Active Directory のコンピューター認証に依存するアプリとリソースは機能しません。

Azure AD 参加済みデバイス上でファイルを他のユーザーと共有することはできません。

次のステップ

詳細については、「Azure Active Directory のデバイス管理とは」を参照してください。