Azure Active Directory パススルー認証によるユーザー サインイン

Azure Active Directory パススルー認証とは

Azure Active Directory (Azure AD) パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方にサインインすることができるようになります。 この機能により、ユーザー エクスペリエンスが向上します。ユーザーは、覚えておくパスワードが 1 つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため IT ヘルプデスクのコストが削減します。 この機能により、ユーザーが Azure AD を使用してサインインするとき、ユーザーのパスワードがオンプレミスの Active Directory に対して直接検証されます。

この機能は、組織にクラウド認証を同じメリットをもたらす、Azure AD のパスワード ハッシュ同期の代わりです。 ただし、特定の組織のセキュリティとコンプライアンス ポリシーでは、ハッシュされたフォームでも内部から外にユーザー パスワードの送信を許可していません。 そのような組織にはパススルー認証が適しています。

Azure AD パススルー認証

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 この方法では、ユーザーが企業ネットワーク内の会社のコンピューター アプリケーションにアクセスしてサインインするときに、パスワードを入力する必要がありません。

Azure AD パススルー認証を使用する主なメリット

  • 優れたユーザー エクスペリエンス
    • ユーザーは、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方に同じパスワードを使用してサインインできます。
    • パスワード関連の問題を解決するのに、ユーザーが IT ヘルプデスクと対話する時間が減ります。
    • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
  • 簡単にデプロイし、管理できる
    • 簡単にオンプレミスにデプロイしてネットワーク構成できます。
    • オンプレミスには、軽量エージェントのみをインストールすれば済みます。
    • 管理のオーバーヘッドを排除できます。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
  • セキュリティ保護
  • 高可用性
    • 追加のエージェントを複数のオンプレミス サーバーにインストールすることで、サインイン要求の高可用性を実現できます。

機能概要

  • ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
  • サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
  • この機能は、多要素認証 (MFA) など、ユーザーを保護する条件付きアクセスとシームレスに連携します。
  • クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
  • ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
  • これは、Azure AD Connect を使用して有効にすることができます。
  • これでは、パスワード検証要求を待ち受けて応答する、軽量オンプレミス エージェントを使用します。
  • 複数のエージェントをインストールすることにより、サインイン要求の高可用性が実現されます。
  • これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ