Azure Active Directory シームレス シングル サインオンAzure Active Directory Seamless Single Sign-On

Azure Active Directory シームレス シングル サインオンとはWhat is Azure Active Directory Seamless Single Sign-On?

Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. この機能を有効にすると、ユーザーは Azure AD にサインインするためにパスワードを入力する必要がなくなります。また、通常はユーザー名の入力も不要です。When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

シームレス SSO は、サインインの方法として、パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods.

シームレス シングル サインオン


シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき_ません_。Seamless SSO is not applicable to Active Directory Federation Services (ADFS).

主な利点Key benefits

  • 優れたユーザー エクスペリエンスGreat user experience
    • ユーザーは、オンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。Users are automatically signed into both on-premises and cloud-based applications.
    • ユーザーはパスワードを繰り返し入力する必要はありません。Users don't have to enter their passwords repeatedly.
  • デプロイと管理が容易Easy to deploy & administer
    • オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。No additional components needed on-premises to make this work.
    • パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • グループ ポリシーを使用して、一部のユーザーまたはすべてのユーザーに展開できます。Can be rolled out to some or all your users using Group Policy.
    • AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Azure AD に登録できます。Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。This capability needs you to use version 2.1 or later of the workplace-join client.

機能概要Feature highlights

  • サインインのユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID) を指定できます。Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). シームレス SSO は Kerberos チケットの securityIdentifier 要求を使用して Azure AD で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • シームレス SSO は便宜的な機能です。Seamless SSO is an opportunistic feature. これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • アプリケーション (たとえば、 が Azure AD サインイン要求で domain_hint (OpenID Connect) パラメーターや whr (SAML) パラメーター (テナントを識別する)、または login_hint パラメーター (ユーザーを識別する) を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。If an application (for example, forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • アプリケーション (たとえば、 がサインイン要求を、Azure AD の共通エンドポイント (つまり、<...>) ではなく、Azure AD のテナント エンドポイント (つまり、<..> または<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。Users also get a silent sign-on experience if an application (for example, sends sign-in requests to Azure AD's tenanted endpoints - that is,<..> or<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is,<...>.
  • サインアウトがサポートされています。Sign out is supported. そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Azure AD アカウントを使用することを選択できます。This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • Office 365 クライアント (16.0.8730.xxxx 以降) では、非対話型フローの使用がサポートされています。Office 365 clients (16.0.8730.xxxx and above) are supported using a non-interactive flow.
  • この機能は、Azure AD Connect を使用して有効にできます。It can be enabled via Azure AD Connect.
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートする Office クライアントでサポートされています。It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
OS\ブラウザーOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeEdge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 [はい]Yes いいえ No [はい]Yes はい*Yes* 該当なしN/A
Windows 8.1Windows 8.1 [はい]Yes 該当なしN/A [はい]Yes はい*Yes* 該当なしN/A
Windows 8Windows 8 [はい]Yes 該当なしN/A [はい]Yes はい*Yes* 該当なしN/A
Windows 7Windows 7 [はい]Yes 該当なしN/A [はい]Yes はい*Yes* 該当なし N/A
Mac OS XMac OS X 該当なしN/A 該当なしN/A はい*Yes* はい*Yes* はい*Yes*

*追加の構成が必要*Requires additional configuration


Windows 10 の場合、Azure AD で最適なシングル サインオン エクスペリエンスを実現するために、Azure AD Join を使用することをお勧めします。For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

次の手順Next steps