Microsoft Entra パススルー認証: よく寄せられる質問

Microsoft Entra の各種サインイン方法の比較および組織に合った適切なサインイン方法の選び方については、こちらのガイドを参照してください。

パススルー認証は、無料の機能です。 この機能を使用するために Microsoft Entra ID の有料エディションは不要です。

はい。 Microsoft Entra 多要素認証を含め、すべての条件付きアクセス機能がパススルー認証と連携します。

はい。連絡用メール アドレスなどの UPN 以外の値を使用したサインインは、パススルー認証 (PTA) とパスワード ハッシュ同期 (PHS) の両方でサポートされています。 詳しくは、代替ログイン IDに関するページをご覧ください。

いいえ。 パススルー認証は、パスワード ハッシュ同期に自動的にフェールオーバー されません。 ユーザーのサインイン エラーを回避するには、高可用性向けにパススルー認証を構成する必要があります。

Microsoft Entra Connect を使用して、サインイン方法をパスワード ハッシュ同期からパススルー認証に切り替えると、パススルー認証がマネージド ドメイン内でのユーザーのプライマリ サインイン方法になります。 パスワード ハッシュ同期によって以前同期されていたすべてのユーザーのパスワード ハッシュは、Microsoft Entra ID に保存されたままになります。

はい。 この構成は、パススルー認証エージェント (バージョン 1.5.193.0 以降) のブランド名変更バージョンでサポートされます。

この機能を動作させるには、Microsoft Entra Connect については 1.1.750.0 以降、パススルー認証エージェントについては 1.5.193.0 以降が必要です。 すべてのソフトウェアを、Windows Server 2012 R2 以降が搭載されたサーバーにインストールする必要があります。

アップデーター サービスが正常に動作していないか、このサービスでインストールできる新しい更新プログラムがないことが原因の可能性があります。 アップデーター サービスが実行されていて、イベント ログにエラーが記録されていない場合は、正常です ([アプリケーションとサービス ログ] -> [Microsoft] -> [AzureADConnect-Agent] -> [アップデーター] -> [管理者])。

自動アップグレードでは、メジャー バージョンのみがリリースされます。 エージェントは、必要な場合にのみ手動で更新することをお勧めします。 たとえば、既知の問題を修正したり、新機能を使用したりする必要があるため、メジャー リリースまで待てないような場合です。 新しいリリース、リリースの種類 (ダウンロード、自動アップグレード)、バグ修正、および新機能の詳細については、「Microsoft Entra パススルー認証エージェント: バージョンのリリース履歴」を参照してください。

コネクタを手動でアップグレードするには、次の手順を実行します。

• 最新バージョンのエージェントをダウンロードします。 (Microsoft Entra 管理センターの [Microsoft Entra Connect パススルー認証] の下に表示されます。 また、Microsoft Entra パススルー認証: バージョンのリリース履歴のリンクで確認することもできます。
• インストーラーによって、Microsoft Entra Connect 認証エージェント サービスが再起動します。 場合によっては、インストーラーですべてのファイルを置き換えることができない場合、サーバーの再起動が必要になります。 そのため、アップグレードを開始する前に、すべてのアプリケーション (つまり、イベント ビューアー) を終了することをお勧めします。
• インストーラーを実行します。 アップグレード プロセスは迅速であり、資格情報を提供する必要がないため、エージェントは再登録されません。

特定のユーザーに対してパスワード ライトバックを構成済みの場合、パススルー認証を使用してサインインしたユーザーは、パスワードを変更またはリセットできます。 パスワードはオンプレミス Active Directory に想定どおりに書き戻されます。

特定のユーザーにパスワード ライトバックが構成されていない場合、またはユーザーに有効な Microsoft Entra ID ライセンスが割り当てられていない場合、ユーザーはクラウドでパスワードを更新できません。 自身のパスワードの有効期限が切れた場合でも、そのパスワードを更新することはできません。 代わりにユーザーには、"このサイトでパスワードを変更することをお客様の組織が許可していません。 組織で推奨されている方法に従って更新するか、ヘルプが必要な場合は管理者に問い合わせてください。 "ユーザーや管理者は、オンプレミスの Active Directory でパスワードをリセットする必要があります。

パスワードの有効期限によって、認証トークンまたは Cookie の失効はトリガーされません。 トークンまたは Cookie が有効になるまで、ユーザーはトークンを使用できます。 これは、認証の種類 (PTA、PHS、フェデレーション シナリオ) に関係なく適用されます。

詳細については、次のドキュメントを確認してください。

Microsoft ID プラットフォーム アクセス トークン - Microsoft ID プラットフォーム | Microsoft Docs

スマート ロックアウトに関する情報をお読みください。

• 認証エージェントは、すべての機能操作について、ポート 443 で HTTPS 要求を行います。

• 認証エージェントは、TLS/SSL 証明書失効リスト (CRL) をダウンロードするために、ポート 80 で HTTP 要求を行います。

  注意

  この機能に必要なポートの数は、最近の更新で減らされています。 以前のバージョンの Microsoft Entra Connect または認証エージェントを使用している場合は、5671、8080、9090、9091、9350、9352、10100 - 10120 の各ポートも開放しておいてください。

はい。 Web プロキシ自動発見 (WPAD) がオンプレミス環境で有効になっている場合、認証エージェントは、ネットワーク上の Web プロキシ サーバーを自動的に検索し、使用しようとします。 送信プロキシ サーバーを使用する方法の詳細については、「既存のオンプレミス プロキシ サーバーと連携する」を参照してください。

環境内に WPAD がない場合は、(以下に示すように) プロキシ情報を追加して、パススルー認証エージェントが Microsoft Entra ID とやり取りすることを許可できます。

• サーバー上でパススルー認証エージェントをインストールする前に、Internet Explorer 上でプロキシ情報を構成します。 これにより、認証エージェントのインストールを完了できますが、管理者ポータルには引き続き非アクティブとして表示されます。
• サーバー上で、"C:\Program Files\Microsoft Azure AD Connect Authentication Agent" に移動します。
• "AzureADConnectAuthenticationAgentService" 構成ファイルを編集し、次の行を追加します ("http://contosoproxy.com:8080"" は実際のプロキシ アドレスに置き換えます)。

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

いいえ。1 つのサーバーにインストールできるパススルー認証エージェントは 1 つだけです。 高可用性向けにパススルー認証を構成する必要がある場合は、こちらの手順に従ってください。

各パススルー認証エージェントと Microsoft Entra ID の間の通信は、証明書ベースの認証を使用して保護されます。 これらの証明書は、Microsoft Entra ID によって数か月ごとに自動的に更新されます。 これらの証明書を手動で更新する必要はありません。 必要に応じて、有効期限が切れた古い証明書をクリーンアップできます。

パススルー認証エージェントが実行されている間はアクティブなままであり、ユーザーのサインイン要求を継続的に処理します。 認証エージェントをアンインストールするには、[コントロール パネル]>[プログラム]>[プログラムと機能] の順に選択し、Microsoft Entra Connect 認証エージェントと Microsoft Entra Connect Agent Updater プログラムの両方をアンインストールします。

ハイブリッド ID 管理者以上の権限で Microsoft Entra 管理センターの [パススルー認証] ブレードを確認した場合。 上記の手順を完了した後、認証エージェントは [非アクティブ] と表示されます。 これは "予期されること" です。 認証エージェントは 10 日後に自動的に一覧から削除されます。

AD FS (または他のフェデレーション テクノロジ) からパススルー認証に移行する場合は、クイックスタート ガイドに従うよう強くお勧めします。

はい。 ご使用の Active Directory フォレスト間にフォレストの信頼 (双方向) があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。

いいえ。複数のパススルー認証エージェントをインストールすることで高可用性のみが確保されます。 認証エージェント間の確定的な負荷分散は提供されません。 任意の認証エージェント (ランダム) が特定のユーザーのサインイン要求を処理できます。

複数のパススルー認証エージェントをインストールすることで高可用性が確保されます。 ただし認証エージェント間の確定的な負荷分散は提供されません。

テナント上で想定されるサインイン要求のピーク時の負荷および平均的な負荷を検討してください。 ベンチマークとして、1 つの認証エージェントでは、標準的な 4 コア CPU、16 GB RAM サーバー上で 1 秒あたり 300 - 400 の認証を処理できます。

ネットワーク トラフィックを見積もるには、サイズ設定に関する次のガイダンスに従ってください。

• 各要求のペイロード サイズは、(0.5K + 1K * num_of_agents) バイトです。これは、Microsoft Entra ID から認証エージェントへのデータ量に相当します。 ここで "num_of_agents" は、テナントに登録されている認証エージェントの数を示します。
• 各応答のペイロード サイズは 1K バイトです。これは、認証エージェントから Microsoft Entra ID へのデータ量に相当します。

ほとんどのお客様の場合、高可用性と大容量を確保するには、合計 2 つまたは 3 つの認証エージェントがあれば十分です。 ただし、運用環境では、テナントで少なくとも 3 つの認証エージェントを実行することをお勧めします。 サインインの待機時間を向上させるために、認証エージェントは、ドメイン コントローラーの近くにインストールする必要があります。

クラウド専用のグローバル管理者アカウントを使用してパススルー認証を有効または無効にすることが推奨されます。 クラウド専用のグローバル管理者アカウントを追加する手順については、こちらをご覧ください。 このようにすることで、テナントからロックアウトされないようになります。

Microsoft Entra Connect ウィザードを再実行し、ユーザーのサインイン方法を、パススルー認証から別の方法に変更します。 この変更により、テナントのパススルー認証が無効になり、認証エージェントがサーバーからアンインストールされます。 他のサーバーからは、手動で認証エージェントをアンインストールする必要があります。

サーバーからパススルー認証エージェントをアンインストールすると、そのサーバーでサインイン要求の受け入れが停止します。 テナントでユーザーのサインインが中断しないようにするには、パススルー認証エージェントをアンインストールする前に、別の認証エージェントが実行されていることを確認します。

次の状況においては、オンプレミスの UPN の変更点が同期されない場合があります。

• Microsoft Entra テナントが 2015 年 6 月 15 日よりも前に作成された。
• 最初に認証に AD FS を使用して、Microsoft Entra テナントとフェデレーションした。
• 管理対象ユーザーに認証として PTA を使用させるように切り替えた場合。

これは、2015 年 6 月 15 日よりも前に作成されたテナントの既定の動作が UPN の変更点のブロックであるためです。 UPN の変更点のブロックを解除する必要がある場合は、次の PowerShell コマンドレットを実行する必要があります。 Get-MgDirectoryOnPremiseSynchronization コマンドレットを使って ID を取得します。

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

2015 年 6 月 15 日以降に作成されたテナントでは、UPN の変更点を同期するのが既定の動作です。

特定のサインイン イベントに使用されたローカル サーバーまたは認証エージェントを確認するには、次の手順に従います。

1. Microsoft Entra管理センターで、サインイン イベントに移動します。

2. [認証の詳細] を選択します。 [認証方法の詳細] 列には、エージェント ID の詳細が「パススルー認証; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX」の形式で表示されています。

3. ローカル サーバーにインストールされているエージェントのエージェント ID の詳細を取得するには、ローカル サーバーにログインし、次のコマンドレットを実行します。

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   返される GUID 値が、その特定のサーバーにインストールされている認証エージェントのエージェント ID です。 環境内に複数のエージェントがある場合は、各エージェント サーバーでこのコマンドレットを実行すると、エージェント ID の詳細を取得できます。

4. ローカル サーバーと Microsoft Entra サインイン ログから取得したエージェント ID と を相互に関連付けて、どのエージェントまたはサーバーが署名要求を受信確認したかを検証します。

次のステップ

• 現時点での制限事項: サポートされているシナリオとサポートされていないシナリオを確認します。
• クイック スタート: Microsoft Entra パススルー認証を起動および実行します。
• アプリを Microsoft Entra ID に移行する: アプリケーションのアクセスと認証を Microsoft Entra ID に移行するために役立つリソース。
• スマート ロックアウト: ユーザー アカウントを保護するようにご利用のテナント上でスマート ロックアウト機能を構成する方法について説明します。
• 技術的な詳細: パススルー認証機能のしくみについて説明します。
• トラブルシューティング: パススルー認証機能に関する一般的な問題を解決する方法について説明します。
• セキュリティの詳細: パススルー認証機能に関する詳細な技術情報を取得します。
• Microsoft Entra hybrid join: クラウドとオンプレミス リソース全体の SSO 用に、テナントで Microsoft Entra hybrid join 機能を構成します。
• Microsoft Entra シームレス SSO: この補完的な機能の詳細を確認します。
• UserVoice: Microsoft Entra フォーラムを使用して新しい機能の要望を提出できます。