Azure Active Directory パススルー認証によるユーザー サインイン

Azure Active Directory パススルー認証とは

Azure Active Directory (Azure AD) パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方にサインインすることができるようになります。 この機能により、ユーザー エクスペリエンスが向上します。ユーザーは、覚えておくパスワードが 1 つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため IT ヘルプデスクのコストが削減します。 この機能により、ユーザーが Azure AD を使用してサインインするとき、ユーザーのパスワードがオンプレミスの Active Directory に対して直接検証されます。

この機能は、組織にクラウド認証を同じメリットをもたらす、Azure AD のパスワード ハッシュ同期の代わりです。 ただし、特定の組織のセキュリティとコンプライアンス ポリシーでは、ハッシュされたフォームでも内部から外にユーザー パスワードの送信を許可していません。 そのような組織にはパススルー認証が適しています。

Azure AD パススルー認証

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 この方法では、ユーザーが企業ネットワーク内の会社のコンピューター アプリケーションにアクセスしてサインインするときに、パスワードを入力する必要がありません。

重要

Azure AD パススルー認証は現在プレビュー段階です。

Azure AD パススルー認証を使用する主なメリット

  • 優れたユーザー エクスペリエンス
    • ユーザーは、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方に同じパスワードを使用してサインインできます。
    • パスワード関連の問題を解決するのに、ユーザーが IT ヘルプデスクと対話する時間が減ります。
    • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
  • 簡単にデプロイし、管理できる
    • 簡単にオンプレミスにデプロイしてネットワーク構成できます。
    • オンプレミスには、軽量エージェントのみをインストールすれば済みます。
    • 管理のオーバーヘッドを排除できます。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
  • セキュリティ保護
  • 高可用性
    • 追加のエージェントを複数のオンプレミス サーバーにインストールすることで、サインイン要求の高可用性を実現できます。

機能概要

  • ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
  • サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
  • この機能は、多要素認証 (MFA) など、ユーザーを保護する条件付きアクセスとシームレスに連携します。
  • AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
  • これは、Azure AD Connect を使用して有効にすることができます。
  • これでは、パスワード検証要求を待ち受けて応答する、軽量オンプレミス エージェントを使用します。
  • 複数のエージェントをインストールすることにより、サインイン要求の高可用性が実現されます。
  • これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ