ハイブリッド展開でのシングル サインオン

シングル サインオンを使用すると、ユーザーは単一のユーザー名とパスワードでオンプレミスと Microsoft 365 またはOffice 365組織の両方にアクセスできます。 シングル サインオンは、ユーザーにとってなじみのあるサインオン エクスペリエンスであり、これにより管理者は、オンプレミスの Active Directory 管理ツールを使用して Exchange Online 組織のメールボックスのアカウント ポリシーを簡単に制御できます。 シングル サインオンが有効になっている場合は、ハイブリッド展開を構成する必要はありませんが、ハイブリッド展開を構成するよう強くお勧めします。 シングル サインオンを使用しない場合、ユーザーは、オンプレミスのorganization用と Microsoft 365 または Office 365用の 2 つの異なる資格情報セットを覚えておく必要があります。 シングル サインオンの他のいくつかのメリットを以下に示します。

• Exchange Online Archiving: シングル サインオンを展開すると、Exchange Online organizationのアーカイブされたコンテンツに初めてアクセスするときに、オンプレミスの Outlook ユーザーに資格情報の入力を求められます。 ただし、ユーザーは "パスワードの保存" を選択することで、将来の資格情報のプロンプトを一時的に回避でき、オンプレミスアカウントのパスワードが変更された場合にのみ資格情報の入力を求められます。 Exchange 組織にシングル サインオンが展開されておらず、Exchange Online Archivingが有効になっている場合、オンプレミスのユーザー プリンシパル名 (UPN) は自分のExchange Online アカウントと一致する必要があり、アーカイブにアクセスするときに、ユーザーは常にオンプレミスの資格情報の入力を求められます。

• ポリシー制御: Active Directory を使用してアカウント ポリシーを制御できます。これにより、Microsoft 365 またはOffice 365 organizationで追加のタスクを実行することなく、パスワード ポリシー、ワークステーション制限、ロックアウト制御などを管理できます。

• サポート呼び出しを減らす: パスワードの忘れは、すべての企業で一般的なサポート呼び出しのソースです。 覚えなければならないパスワードが少なくなれば、パスワードを忘れる可能性も低くなります。

シングル サインオンを展開する場合、パスワード ハッシュ同期、パススルー認証、フェデレーションの 3 つのオプションがあります (例: Active Directory フェデレーション サービス (AD FS) (AD FS)。 すべてのオプションは、Microsoft Entra Connect によって実装されます。 フェデレーションを必要とする特定のニーズがない限り、パスワード ハッシュ同期方法を使用することを強くお勧めします。 パスワード ハッシュ同期では、デプロイの複雑さなしに、フェデレーションの同じ利点の多くが提供されます。

各オプションの詳細については、「Microsoft Entra ハイブリッド ID ソリューションに適した認証方法を選択する」を参照してください。

重要

ハイブリッド展開の場合は、ユーザーまたは管理者のすべてのログインに MFA を使用することを強くお勧めします。