Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみHow SSO to on-premises resources works on Azure AD joined devices

Azure Active Directory (Azure AD) に参加しているデバイスによって、ご利用のテナントのクラウド アプリへのシングル サインオン (SSO) エクスペリエンスが提供されることは、おそらく驚くことではありません。It is probably not a surprise that an Azure Active Directory (Azure AD) joined device gives you a single sign-on (SSO) experience to your tenant's cloud apps. ご利用の環境にオンプレミスの Active Directory (AD) がある場合は、それらのデバイス上の SSO エクスペリエンスをオンプレミスの AD に依存するリソースとアプリケーションにも拡張できます。If your environment has an on-premises Active Directory (AD), you can extend the SSO experience on these devices to resources and applications that rely on on-premises AD as well.

この記事では、この動作のしくみについて説明します。This article explains how this works.

前提条件Prerequisites

Azure AD 参加済みマシンが組織のネットワークに接続されていない場合は、VPN または他のネットワーク インフラストラクチャが必要です。If Azure AD joined machines are not connected to your organization's network, a VPN or other network infrastructure is required. オンプレミスの SSO には、オンプレミスの AD DS ドメイン コントローラーとの見通し内通信が必要です。On-premises SSO requires line-of-sight communication with your on-premises AD DS domain controllers.

しくみHow it works

ユーザーは Azure AD 参加済みデバイスを使用して、ご利用の環境内のクラウド アプリへの SSO エクスペリエンスを既に手に入れています。With an Azure AD joined device, your users already have an SSO experience to the cloud apps in your environment. ご利用の環境に Azure AD とオンプレミス AD がある場合は、SSO エクスペリエンスの範囲をオンプレミスの業種 (LOB) アプリ、ファイル共有、およびプリンターにまで拡張することができます。If your environment has an Azure AD and an on-premises AD, you may want to expand the scope of your SSO experience to your on-premises Line Of Business (LOB) apps, file shares, and printers.

Azure AD 参加済みデバイスには、オンプレミス AD 環境についての情報はありません (その環境に参加していないため)。Azure AD joined devices have no knowledge about your on-premises AD environment because they aren't joined to it. ただし、Azure AD Connect を使用して、ご利用のオンプレミス AD に関する追加情報をこれらのデバイスに提供することができます。However, you can provide additional information about your on-premises AD to these devices with Azure AD Connect.

Azure AD とオンプレミス AD の両方を使用している環境は、ハイブリッド環境とも呼ばれます。An environment that has both, an Azure AD and an on-premises AD, is also known has hybrid environment. ハイブリッド環境を使用している場合は、オンプレミスの ID 情報をクラウドに同期するために、Azure AD Connect を既にデプロイ済みである可能性があります。If you have a hybrid environment, it is likely that you already have Azure AD Connect deployed to synchronize your on-premises identity information to the cloud. 同期プロセスの一部として、Azure AD Connect はオンプレミスのユーザー情報を Azure AD に同期します。As part of the synchronization process, Azure AD Connect synchronizes on-premises user information to Azure AD. ハイブリッド環境においてユーザーが Azure AD 参加済みデバイスにサインインしたとき:When a user signs in to an Azure AD joined device in a hybrid environment:

  1. Azure AD は、ユーザーのオンプレミス ドメインの詳細をプライマリ更新トークンと共にデバイスに返送します。Azure AD sends the details of the user's on-premises domain back to the device, along with the Primary Refresh Token
  2. ローカル セキュリティ機関 (LSA) サービスによって、デバイス上の Kerberos および NTLM 認証が有効になります。The local security authority (LSA) service enables Kerberos and NTLM authentication on the device.

ユーザーのオンプレミス環境で Kerberos または NTLM を要求しているリソースへのアクセスが試行されると、デバイスは次のようになります。During an access attempt to a resource requesting Kerberos or NTLM in the user's on-premises environment, the device:

  1. ユーザーを認証するために、見つかった DC にオンプレミス ドメインの情報とユーザーの資格情報を送信します。Sends the on-premises domain information and user credentials to the located DC to get the user authenticated.
  2. オンプレミスのリソースまたはアプリケーションがサポートするプロトコルに基づいて、Kerberos のチケット発行許諾チケット (TGT) または NTLM トークンを受信します。Receives a Kerberos Ticket-Granting Ticket (TGT) or NTLM token based on the protocol the on-premises resource or application supports. ドメインの Kerberos TGT または NTLM トークンの取得の試行が失敗すると (関連する DCLocator タイムアウトにより遅延が発生する可能性があります)、資格情報マネージャー エントリが試行されるか、ターゲット リソースの資格情報を要求する認証ポップアップをユーザーが受信する場合があります。If the attempt to get the Kerberos TGT or NTLM token for the domain fails (related DCLocator timeout can cause a delay), Credential Manager entries are attempted, or the user may receive an authentication popup requesting credentials for the target resource.

Windows 統合認証の対象として構成されているすべてのアプリでは、ユーザーからのアクセスが試みられたときに、SSO がシームレスに適用されます。All apps that are configured for Windows-Integrated authentication seamlessly get SSO when a user tries to access them.

Windows Hello for Business では、Azure AD 参加済みデバイスからのオンプレミスの SSO を有効にするために、追加の構成が必要です。Windows Hello for Business requires additional configuration to enable on-premises SSO from an Azure AD joined device. 詳細については、「Configure Azure AD joined devices for On-premises Single-Sign On using Windows Hello for Business」 (Windows Hello for Business を使用してオンプレミス シングル サインオン用に Azure AD 参加済みデバイスを構成する) を参照してください。For more information, see Configure Azure AD joined devices for On-premises Single-Sign On using Windows Hello for Business.

取得内容What you get

SSO を使用すると、Azure AD 参加済みデバイスで次のことができます。With SSO, on an Azure AD joined device you can:

  • AD のメンバー サーバー上の UNC パスへのアクセスAccess a UNC path on an AD member server
  • Windows 統合セキュリティ用に構成された AD メンバーである Web サーバーへのアクセスAccess an AD member web server configured for Windows-integrated security

Windows デバイスからオンプレミス AD を管理する場合は、Windows 10 用リモート サーバー管理ツールをインストールします。If you want to manage your on-premises AD from a Windows device, install the Remote Server Administration Tools for Windows 10.

使用できるもの:You can use:

  • すべての AD オブジェクトを管理するための、Active Directory ユーザーとコンピューター (ADUC) スナップイン。The Active Directory Users and Computers (ADUC) snap-in to administer all AD objects. ただし、手動で接続するドメインを指定する必要があります。However, you have to specify the domain that you want to connect to manually.
  • AD 参加済み DHCP サーバーを管理するための、DHCP スナップイン。The DHCP snap-in to administer an AD-joined DHCP server. ただし、DHCP サーバーの名前またはアドレスを指定する必要があります。However, you may need to specify the DHCP server name or address.

知っておくべきことWhat you should know

必要なドメインについてのデータが確実に同期されるように、Azure AD Connect においてドメインベースのフィルター処理を調整することが必要になる場合があります。You may have to adjust your domain-based filtering in Azure AD Connect to ensure that the data about the required domains is synchronized.

Azure AD 参加済みデバイス上に AD 内のコンピューター オブジェクトがないため、Active Directory のコンピューター認証に依存するアプリとリソースは機能しません。Apps and resources that depend on Active Directory machine authentication don't work because Azure AD joined devices don't have a computer object in AD.

Azure AD 参加済みデバイス上でファイルを他のユーザーと共有することはできません。You can't share files with other users on an Azure AD-joined device.

次のステップNext steps

詳細については、「Azure Active Directory のデバイス管理とは」を参照してください。For more information, see What is device management in Azure Active Directory?