Microsoft Entra Connect を使って Microsoft Entra ID による AD FS 信頼を管理する
概要
オンプレミス環境と Microsoft Entra ID をフェデレーションする際は、オンプレミスの ID プロバイダーと Microsoft Entra ID との間に信頼関係を構築します。 Microsoft Entra Connect では、オンプレミスの Active Directory フェデレーション サービス (AD FS) と Microsoft Entra ID との間のフェデレーションを管理することができます。 この記事では、次の項目について概説します。
- Microsoft Entra Connect によって構成される信頼に関するさまざまな設定。
- Microsoft Entra Connect によって設定される発行変換規則 (要求規則)
- アップグレード時や構成の更新時における要求規則のバックアップ方法と復元方法。
- AD FS と Microsoft Entra ID との間の信頼関係にセキュリティを確保し、それを監視するためのベスト プラクティス
Microsoft Entra Connect によって制御される設定
Microsoft Entra Connect は、Microsoft Entra ID 信頼に関連する設定をのみを管理します。 Microsoft Entra Connect では、AD FS 内にあるその他の証明書利用者の信頼に関する設定は一切変更されません。 次の表は、Microsoft Entra Connect によって制御される設定を示したものです。
| 設定 | 説明 |
|---|---|
| トークン署名証明書 | Microsoft Entra Connect を使って、Microsoft Entra ID による信頼をリセットおよび再作成できます。 Microsoft Entra Connect は、AD FS のトークン署名証明書に対する 1 回限りの即時ロールオーバーを実行し、Microsoft Entra ドメインのフェデレーション設定を更新します。 |
| トークン署名アルゴリズム | トークン署名アルゴリズムには SHA-256 を使用することをお勧めします。 Microsoft Entra Connect では、トークン署名アルゴリズムが SHA-256 よりも安全性の低い値に設定されている場合に、そのことを検出できます。 その場合、設定は次回の構成操作時に SHA-256 に更新されます。 新しいトークン署名証明書を使用するには、他の証明書利用者信頼を更新する必要があります。 |
| Microsoft Entra ID 信頼識別子 | Microsoft Entra Connect は、Microsoft Entra ID 信頼の正しい識別子値を設定します。 AD FS は、その識別子の値を使って Microsoft Entra ID 信頼を一意に識別します。 |
| Microsoft Entra エンドポイント | Microsoft Entra Connect は、Microsoft Entra ID 信頼に対して構成されたエンドポイントが、回復性とパフォーマンスを考慮した最新の推奨値に常に従っているかどうかを確認します。 |
| 発行変換規則 | フェデレーション設定での Microsoft Entra ID の機能を最適なパフォーマンスに維持するには、多数の要求規則が必要になります。 Microsoft Entra Connect は、Microsoft Entra ID 信頼が常に推奨の要求規則セットで構成されているかどうかを確認します。 |
| 代替 ID | 同期に代替 ID を使うように構成されている場合、Microsoft Entra Connect は、代替 ID を使って認証を実行するように AD FS を構成します。 |
| 自動メタデータ更新 | 自動メタデータ更新のために Microsoft Entra ID を使った信頼が構成されます。 AD FS は Microsoft Entra 信頼のメタデータを定期的にチェックし、Microsoft Entra ID 側で変更が加えられた場合には、メタデータを最新の状態に維持します。 |
| 統合 Windows 認証 (IWA) | ハイブリッド Microsoft Entra 参加の操作時には、ダウンレベル デバイスのハイブリッド Microsoft Entra 参加を容易にするために、IWA でのデバイス登録が有効化されます |
Microsoft Entra Connect によって構成される実行フローとフェデレーション設定
構成フロー中に、Microsoft Entra Connect によって Microsoft Entra ID 信頼のすべての設定が更新されるわけではありません。 変更される設定は、実行されているタスクや実行フローによって決まります。 次の表は、各種の実行フローによって影響を受ける設定を一覧で示したものです。
| 実行フロー | 影響を受ける設定 |
|---|---|
| 初回パス インストール (express) | None |
| 初回パス インストール (新しい AD FS ファーム) | 新しい AD FS ファームが作成され、Microsoft Entra ID との信頼関係が一から作成されます。 |
| 初回パス インストール (既存の AD FS ファーム、既存の Microsoft Entra ID 信頼) | Microsoft Entra ID 信頼識別子、発行変換規則、Microsoft Entra エンドポイント、代替 ID (必要な場合)、自動メタデータ更新 |
| Microsoft Entra ID 信頼をリセットする | トークン署名証明書、トークン署名アルゴリズム、Microsoft Entra ID 信頼識別子、発行変換規則、Microsoft Entra エンドポイント、代替 ID (必要な場合)、自動メタデータ更新 |
| フェデレーション サーバーの追加 | None |
| WAP サーバーの追加 | None |
| デバイス オプション | 発行変換規則、IWA でのデバイス登録 |
| フェデレーション ドメインの追加 | ドメインが最初に追加される場合 (つまり、設定が単一ドメイン フェデレーションからマルチドメイン フェデレーションに変更される場合)、Microsoft Entra Connect は信頼を一から再作成します。 Microsoft Entra ID との信頼関係が既に複数ドメイン用に構成されている場合は、発行変換規則だけが変更されます |
| TLS の更新 | なし |
設定が変更される操作の際には必ず、Microsoft Entra Connect によって、現在の信頼設定のバックアップが %ProgramData%\AADConnect\ADFS に作成されます
Note
バージョン 1.1.873.0 以前においては、バックアップは発行変換規則のみで構成され、ウィザード トレース ログ ファイルにバックアップされていました。
Microsoft Entra Connect によって設定される発行変換規則
Microsoft Entra Connect は、Microsoft Entra ID 信頼が常に推奨の要求規則セットで構成されているかどうかを確認します。 Microsoft では、Microsoft Entra ID 信頼を管理する際に Microsoft Entra Connect を使うことをお勧めします。 このセクションでは、発行変換規則のセットと、それらの説明を一覧で示します。
| 規則名 | 説明 |
|---|---|
| Issue UPN | この規則は、userprincipalname の値を、userprincipalname の同期設定で構成された属性からの値として照会します。 |
| Query objectguid and msdsconsistencyguid for custom ImmutableId claim | この規則は、objectguid と msdsconsistencyguid 値 (存在する場合) のパイプラインに一時的な値を追加します |
| Check for the existence of msdsconsistencyguid | msdsconsistencyguid の値が存在するかどうかに基づいて、ImmutableId として使用する値を指定するための一時フラグを設定します |
| Issue msdsconsistencyguid as Immutable ID if it exists | msdsconsistencyguid の値が存在する場合に、その値を ImmutableId として発行します |
| Issue objectGuidRule if msdsConsistencyGuid rule does not exist | msdsconsistencyguid の値が存在しない場合には、objectguid の値が ImmutableId として発行されます |
| Issue nameidentifier | この規則は、nameidentifier 要求の値を発行します。 |
| Issue accounttype for domain-joined computers | この規則は、認証対象のエンティティがドメイン参加済みデバイスである場合に、アカウントの種類を DJ (ドメイン参加済みデバイス) として発行します |
| Issue AccountType with the value USER when it is not a computer account | この規則は、認証対象のエンティティがユーザーである場合に、アカウントの種類をユーザーとして発行します |
| Issue issuerid when it is not a computer account | この規則は、認証元エンティティがデバイスではない場合に、issuerId 値を発行します。 値は正規表現を使って作成されます (正規表現は Microsoft Entra Connect によって構成されます)。 正規表現は、Microsoft Entra Connect を使ってフェデレーションされたすべてのドメインを考慮したうえで作成されます。 |
| Issue issuerid for DJ computer auth | この規則は、認証元エンティティがデバイスである場合に、issuerId 値を発行します |
| Issue onpremobjectguid for domain-joined computers | この規則は、認証対象のエンティティがドメイン参加済みデバイスである場合に、そのデバイスのオンプレミスの objectguid を発行します |
| Pass through primary SID | この規則は、認証元エンティティのプライマリ SID を発行します |
| Pass through claim - insideCorporateNetwork | この規則は、認証が企業ネットワーク内からものなのか、それとも外部からのものなのかを Microsoft Entra ID が確認できるようにするための要求を発行します |
| Pass Through Claim – Psso | |
| Issue Password Expiry Claims | この規則は、パスワードの有効期限、認証対象エンティティのパスワード失効までの日数、およびパスワード変更のためにルーティングされる URL に対応した、3 つの要求を発行します。 |
| Pass through claim – authnmethodsreferences | この規則の下で発行された要求の値は、エンティティに対して実行された認証の種類を示します |
| Pass through claim - multifactorauthenticationinstant | この要求の値は、多要素認証をユーザーが最後に実行した時刻 (UTC) を指定します。 |
| Pass through claim - AlternateLoginID | この規則は、認証が代替ログイン ID を使用して実行された場合に、AlternateLoginID 要求を発行します。 |
Note
Issue UPN と ImmutableId の要求規則は、Microsoft Entra Connect の構成時に既定以外の選択肢を使った場合には、異なったものになります
発行変換規則の復元
Microsoft Entra Connect バージョン 1.1.873.0 以降では、Microsoft Entra ID 信頼設定が更新されるたびに、Microsoft Entra ID 信頼設定のバックアップが作成されます。 Microsoft Entra ID 信頼設定のバックアップは、%ProgramData%\AADConnect\ADFS に作成されます。 ファイル名の形式は次のようになります: AadTrust-<date>-<time>.txt (たとえば、AadTrust-20180710-150216.txt)
発行変換規則は、次のような手順で復元できます
- サーバー マネージャーで、AD FS 管理 UI を開きます
- [AD FS] > [証明書利用者信頼] > [Microsoft Office 365 ID プラットフォーム] > [要求発行ポリシーの編集] に移動して、Microsoft Entra ID 信頼のプロパティを開きます
- [規則の追加] をクリックします
- 要求規則テンプレートから [カスタム規則を使用して要求を送信] を選択し、[次へ] をクリックします
- バックアップ ファイルから要求規則の名前をコピーし、[要求規則名] フィールドに貼り付けます
- バックアップ ファイルの要求規則を [カスタム規則] のテキスト フィールドにコピーし、[完了] をクリックします
Note
追加の規則が、Microsoft Entra Connect によって構成された規則と競合していないことを確認してください。
AD FS と Microsoft Entra ID との間の信頼関係にセキュリティを確保し、それを監視するためのベスト プラクティス
AD FS と Microsoft Entra ID との間でフェデレーションを行う際は、フェデレーション構成 (AD FS と Microsoft Entra ID との間で構成された信頼関係) を注意深く監視し、異常なアクティビティや不審なアクティビティを取り込むことが欠かせません。 そのためにはアラートを設定して、フェデレーション構成に変更が加えられるたびに通知を受け取することをお勧めします。 アラートの設定方法については、フェデレーション構成に対する変更を監視する方法に関するページを参照してください。
多要素認証にクラウド Azure MFA を使用している場合は、フェデレーション ユーザーを使用して、追加のセキュリティ保護を有効にすることを強くお勧めします。 このセキュリティ保護により、Microsoft Entra ID とのフェデレーション時にクラウド Azure MFA をバイパスすることが阻止されます。 有効にすると、Microsoft Entra テナント内のフェデレーション ドメインの場合、ID プロバイダーによって多要素認証が既に実行されていることを不正なアクターが模倣して Azure MFA をバイパスすることができなくなります。 この保護は、新しいセキュリティ設定の federatedIdpMfaBehavior を使用して有効にできます。追加情報については、「Active Directory フェデレーション サービスを保護するためのベスト プラクティス」を参照してください