Azure Active Directory シームレス シングル サインオン: よく寄せられる質問Azure Active Directory Seamless Single Sign-On: Frequently asked questions

この記事では、Azure Active Directory シームレス シングル サインオン (シームレス SSO) に関してよく寄せられる質問に回答します。In this article, we address frequently asked questions about Azure Active Directory Seamless Single Sign-On (Seamless SSO). 最新のコンテンツを常にチェックしてください。Keep checking back for new content.

シームレス SSO は、どのようなサインイン方法と動作しますか。What sign-in methods do Seamless SSO work with?

シームレス SSO は、サインインの方法として、パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. ただし、この機能は、Active Directory フェデレーション サービス (AD FS) で使用できません。However this feature cannot be used with Active Directory Federation Services (ADFS).

シームレス SSO は無料の機能ですか。Is Seamless SSO a free feature?

シームレス SSO は無料の機能です。この機能を使用するために Azure AD の有料エディションは不要です。Seamless SSO is a free feature and you don't need any paid editions of Azure AD to use it.

シームレス SSO は Microsoft Azure Germany クラウドおよび Microsoft Azure Government クラウドで使用できますか。Is Seamless SSO available in the Microsoft Azure Germany cloud and the Microsoft Azure Government cloud?

いいえ。No. シームレス SSO は、Azure AD のワールドワイド インスタンスでのみご利用いただけます。Seamless SSO is only available in the worldwide instance of Azure AD.

どのアプリケーションがシームレス SSO の domain_hint または login_hint 機能を利用していますか。What applications take advantage of domain_hint or login_hint parameter capability of Seamless SSO?

Azure AD にこれらのパラメーターを送信し、その結果、シームレス SSO を使用するサイレント サインオン エクスペリエンスをユーザーに提供する (つまり、ユーザーが自分のユーザー名を入力する必要がない) アプリケーションの一部を以下にリストします。Listed below is a non-exhaustive list of applications that send these parameters to Azure AD, and therefore provides users a silent sign-on experience using Seamless SSO (i.e., no need for your users to input their usernames):

アプリケーション名Application name 使用するアプリケーションの URLApplication URL to be used
アクセス パネルAccess panel myapps.microsoft.com/contoso.commyapps.microsoft.com/contoso.com
Web 上の OutlookOutlook on Web outlook.office365.com/contoso.comoutlook.office365.com/contoso.com

また、アプリケーションがサインイン要求を、Azure AD の共通エンドポイント (つまり、https://login.microsoftonline.com/common/<...>) ではなく、Azure AD のテナント エンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com/<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。In addition, users get a silent sign-on experience if an application sends sign-in requests to Azure AD's tenanted endpoints - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is, https://login.microsoftonline.com/common/<...>. これらの種類のサインイン要求を行うアプリケーションの一部を以下にリストします。Listed below is a non-exhaustive list of applications that make these types of sign-in requests.

アプリケーション名Application name 使用するアプリケーションの URLApplication URL to be used
SharePoint OnlineSharePoint Online contoso.sharepoint.comcontoso.sharepoint.com
Azure ポータルAzure portal portal.azure.com/contoso.comportal.azure.com/contoso.com

テナントの適切なアプリケーションの URL を取得するには、上記の表の "contoso.com" をご利用のドメイン名で置き換えます。In the above tables, replace "contoso.com" with your domain name to get to the right application URLs for your tenant.

他のアプリケーションでサイレント サインオン エクスペリエンスを使用する場合は、フィードバック セクションからお知らせください。If you want other applications using our silent sign-on experience, let us know in the feedback section.

シームレス SSO で、ユーザー名として userPrincipalName の代わりに Alternate ID をサポートしていますか。Does Seamless SSO support Alternate ID as the username, instead of userPrincipalName?

はい。Yes. こちらで示されているように、Azure AD Connect で構成されている場合、シームレス SSO はユーザー名として Alternate ID をサポートしています。Seamless SSO supports Alternate ID as the username when configured in Azure AD Connect as shown here. すべての Office 365 アプリケーションで Alternate ID をサポートしているわけではありません。Not all Office 365 applications support Alternate ID. サポートの説明については、それぞれのアプリケーションのドキュメントを参照してください。Refer to the specific application's documentation for the support statement.

Azure AD Join とシームレス SSO のシングル サインオン エクスペリエンスの違いは何ですか。What is the difference between the single sign-on experience provided by Azure AD Join and Seamless SSO?

Azure AD Join の場合、SSO は、デバイスが Azure AD に登録されているユーザーに提供されます。Azure AD Join provides SSO to users if their devices are registered with Azure AD. そのデバイスは、必ずしもドメインに参加する必要があるとは限りません。These devices don't necessarily have to be domain-joined. SSO は、Kerberos ではなく、"プライマリ更新トークン" (PRT) を使用して提供されます。SSO is provided using primary refresh tokens or PRTs, and not Kerberos. Windows 10 デバイスで、最適なユーザー エクスペリエンスが実現します。The user experience is most optimal on Windows 10 devices. SSO は、Edge ブラウザーで自動的に実行されます。SSO happens automatically on the Edge browser. ブラウザー拡張機能を使用することで Chrome でも動作します。It also works on Chrome with the use of a browser extension.

テナントでは、Azure AD Join とシームレス SSO の両方をご利用いただけます。You can use both Azure AD Join and Seamless SSO on your tenant. この 2 つは補完的な機能です。These two features are complementary. 両方の機能が有効な場合は、Azure AD Join がシームレス SSO に優先します。If both features are turned on, then SSO from Azure AD Join takes precedence over Seamless SSO.

Azure AD に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。I want to register non-Windows 10 devices with Azure AD, without using AD FS. 代わりにシームレス SSO を使用できますか。Can I use Seamless SSO instead?

はい、このシナリオではワークプレース ジョイン クライアントのバージョン 2.1 以降が必要です。Yes, this scenario needs version 2.1 or later of the workplace-join client.

AZUREADSSOACC コンピューター アカウントの Kerberos の復号化キーをロール オーバーするにはどうすればよいですか。How can I roll over the Kerberos decryption key of the AZUREADSSOACC computer account?

オンプレミスの AD フォレストで作成した AZUREADSSOACC コンピューター アカウント (Azure AD を表します) の Kerberos の復号化キーを頻繁にロール オーバーすることが重要です。It is important to frequently roll over the Kerberos decryption key of the AZUREADSSOACC computer account (which represents Azure AD) created in your on-premises AD forest.

重要

少なくとも 30 日ごとに Kerberos の復号化キーをロールオーバーすることを強くお勧めします。We highly recommend that you roll over the Kerberos decryption key at least every 30 days.

Azure AD Connect が実行されているオンプレミス サーバーで次の手順を実行します。Follow these steps on the on-premises server where you are running Azure AD Connect:

手順 1.Step 1. シームレス SSO が有効になっている AD フォレストのリストの取得Get list of AD forests where Seamless SSO has been enabled

  1. 最初に、Microsoft Online Services サインイン アシスタントをダウンロードしてインストールします。First, download, and install the Microsoft Online Services Sign-In Assistant.
  2. 次に、 64-bit Azure Active Directory Module for Windows PowerShellをダウンロードしてインストールします。Then download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. %programfiles%\Microsoft Azure Active Directory Connect フォルダーに移動します。Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. 以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  5. PowerShell を管理者として実行します。Run PowerShell as an Administrator. PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。In PowerShell, call New-AzureADSSOAuthenticationContext. このコマンドでは、テナントのグローバル管理者の資格情報を入力するポップアップが表示されます。This command should give you a popup to enter your tenant's Global Administrator credentials.
  6. Get-AzureADSSOStatus を呼び出します。Call Get-AzureADSSOStatus. このコマンドでは、この機能が有効になっている AD フォレストのリスト ("ドメイン" リストを参照) が表示されます。This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

手順 2.Step 2. Kerberos の復号化キーが設定された各 AD フォレストでキーを更新します。Update the Kerberos decryption key on each AD forest that it was set it up on

  1. $creds = Get-Credential を呼び出します。Call $creds = Get-Credential. メッセージが表示されたら、目的の AD フォレストのドメイン管理者の資格情報を入力します。When prompted, enter the Domain Administrator credentials for the intended AD forest.
  2. Update-AzureADSSOForest -OnPremCredentials $creds を呼び出します。Call Update-AzureADSSOForest -OnPremCredentials $creds. このコマンドは、この特定の AD フォレスト内で AZUREADSSOACC コンピューター アカウントの Kerberos 復号化キーを更新し、Azure AD 内でこのキーを更新します。This command updates the Kerberos decryption key for the AZUREADSSOACC computer account in this specific AD forest and updates it in Azure AD.
  3. 機能が有効に設定されている AD フォレストごとに、上記の手順を繰り返します。Repeat the preceding steps for each AD forest that you’ve set up the feature on.

重要

Update-AzureADSSOForest コマンドは、"複数回実行しない" でください。Ensure that you don't run the Update-AzureADSSOForest command more than once. 複数回実行すると、ユーザーの Kerberos チケットの期限が切れてオンプレミスの Active Directory によって再発行されるまで、この機能は動作を停止します。Otherwise, the feature stops working until the time your users' Kerberos tickets expire and are reissued by your on-premises Active Directory.

シームレス SSO はどのように無効にできますか。How can I disable Seamless SSO?

シームレス SSO は、Azure AD Connect を使用して無効にできます。Seamless SSO can be disabled using Azure AD Connect.

Azure AD Connect を実行し、[Change user sign-in page] (ユーザー サインイン ページの変更) を選択して [次へ] をクリックします。Run Azure AD Connect, choose "Change user sign-in page" and click "Next". [シングル サインオンを有効にする] チェック ボックスをオフにします。Then uncheck the "Enable single sign on" option. ウィザードの手順を続行します。Continue through the wizard. ウィザードの完了後、シームレス SSO はテナントで無効になります。After completion of the wizard, Seamless SSO is disabled on your tenant.

ただし、画面に次のようなメッセージが表示されます。However, you see a message on screen that reads as follows:

「シングル サインオンは現在無効ですが、クリーンアップを完了するために実行できる追加の手動手順があります。"Single sign-on is now disabled, but there are additional manual steps to perform in order to complete clean-up. 詳細情報」Learn more"

プロセスを完了するには、Azure AD Connect が実行されているオンプレミス サーバーで次の手動の手順を実行します。To complete the process, follow these manual steps on the on-premises server where you are running Azure AD Connect:

手順 1.Step 1. シームレス SSO が有効になっている AD フォレストのリストの取得Get list of AD forests where Seamless SSO has been enabled

  1. 最初に、Microsoft Online Services サインイン アシスタントをダウンロードしてインストールします。First, download, and install the Microsoft Online Services Sign-In Assistant.
  2. 次に、 64-bit Azure Active Directory Module for Windows PowerShellをダウンロードしてインストールします。Then download and install the 64-bit Azure Active Directory module for Windows PowerShell.
  3. %programfiles%\Microsoft Azure Active Directory Connect フォルダーに移動します。Navigate to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  4. 以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1Import the Seamless SSO PowerShell module using this command: Import-Module .\AzureADSSO.psd1.
  5. PowerShell を管理者として実行します。Run PowerShell as an Administrator. PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。In PowerShell, call New-AzureADSSOAuthenticationContext. このコマンドでは、テナントのグローバル管理者の資格情報を入力するポップアップが表示されます。This command should give you a popup to enter your tenant's Global Administrator credentials.
  6. Get-AzureADSSOStatus を呼び出します。Call Get-AzureADSSOStatus. このコマンドでは、この機能が有効になっている AD フォレストのリスト ("ドメイン" リストを参照) が表示されます。This command provides you the list of AD forests (look at the "Domains" list) on which this feature has been enabled.

手順 2.Step 2. 表示されている各 AD フォレストから AZUREADSSOACCT コンピューター アカウントを手動で削除します。Manually delete the AZUREADSSOACCT computer account from each AD forest that you see listed.

次の手順Next steps