Azure Active Directory シームレス シングル サインオン

Azure Active Directory シームレス シングル サインオンとは

Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。 この機能を有効にすると、ユーザーは Azure AD にサインインするためにパスワードを入力する必要がなくなります。また、通常はユーザー名の入力も不要です。 この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ません

シームレス シングル サインオン

プライマリ更新トークンを介した SSO とシームレス SSO

Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合は、プライマリ更新トークン (PRT) を介した SSO を使用することをお勧めします。 Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。 シームレス SSO では、ユーザーのデバイスがドメインに参加している必要がありますが、これは、Windows 10 の Azure AD 参加済みデバイスHybrid Azure AD 参加済みデバイスでは使用されません。 Azure AD 参加済み、Hybrid Azure AD 参加済み、および Azure AD 登録済みデバイスでの SSO は、プライマリ更新トークン (PRT) に基づいて機能します。

Hybrid Azure AD 参加済み、Azure AD 参加済み、または個人登録済みのデバイスに対して PRT を介した SSO が機能するのは、[職場または学校アカウントを追加] を使用してデバイスが Azure AD に登録された後になります。 PRT を使用した Windows 10 での SSO のしくみについて詳しくは、次を参照してください: プライマリ更新トークン (PRT) と Azure AD

主な利点

  • 優れたユーザー エクスペリエンス
    • ユーザーは、オンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。
    • ユーザーは、パスワードを繰り返し入力する必要はありません。
  • デプロイと管理が容易
    • オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。
    • パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。
    • グループ ポリシーを使用して、一部のユーザーまたはすべてのユーザーに展開できます。
    • AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Azure AD に登録できます。 この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。

機能概要

  • サインインのユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID) を指定できます。 シームレス SSO は Kerberos チケットの securityIdentifier 要求を使用して Azure AD で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。
  • シームレス SSO は便宜的な機能です。 これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。
  • アプリケーション (たとえば、https://myapps.microsoft.com/contoso.com) が Azure AD サインイン要求で domain_hint (OpenID Connect) パラメーターや whr (SAML) パラメーター (テナントを識別する)、または login_hint パラメーター (ユーザーを識別する) を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。
  • アプリケーション (たとえば、https://contoso.sharepoint.com) がサインイン要求を、Azure AD の共通エンドポイント (つまり、https://login.microsoftonline.com/common/<...>) ではなく、Azure AD のテナントとして設定されているエンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com/<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。
  • サインアウトがサポートされています。 そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Azure AD アカウントを使用することを選択できます。
  • バージョン 16.0.8730.xxxx 以降の Microsoft 365 Win32 クライアント (Outlook、Word、Excel など) は、非対話型フローを使用してサポートされています。 OneDrive の場合、サイレント サインオン エクスペリエンス用の OneDrive サイレント構成機能をアクティブにする必要があります。
  • この機能は、Azure AD Connect を使用して有効にできます。
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
  • この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートする Office クライアントでサポートされています。
OS\ブラウザー Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 はい* はい はい はい*** 該当なし
Windows 8.1 はい* はい**** はい はい*** 該当なし
Windows 8 はい* 該当なし はい はい*** 該当なし
Windows Server 2012 R2 以降 はい** 該当なし はい はい*** 該当なし
Mac OS X 該当なし 該当なし はい*** はい*** はい***

注意

Microsoft Edge レガシはサポートされなくなりました

*Internet Explorer バージョン 11 以降が必要です。 (2021 年 8 月 17 日以降、Microsoft 365 のアプリとサービスでは IE 11 はサポートされなくなります。)

**Internet Explorer バージョン 11 以降が必要です。 拡張保護モードを無効にする。

***別途構成が必要。

****Chromium に基づく Microsoft Edge

次のステップ