Azure Active Directory パススルー認証によるユーザー サインイン

Azure Active Directory パススルー認証とは

Azure Active Directory (Azure AD) パススルー認証を使用すると、ユーザーは同じパスワードを使用して、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方にサインインできます。 この機能により、ユーザー エクスペリエンスが向上します。ユーザーは、覚えておくパスワードが 1 つ少なくなり、ユーザーがサインイン方法を忘れる可能性が低くなるため IT ヘルプデスクのコストが削減します。 この機能により、ユーザーが Azure AD を使用してサインインするとき、ユーザーのパスワードがオンプレミスの Active Directory に対して直接検証されます。

この機能は、組織にクラウド認証を同じメリットをもたらす、Azure AD のパスワード ハッシュ同期の代わりです。 ただし、自身のオンプレミスの Active Directory のセキュリティとパスワード ポリシーを適用する必要がある特定の組織は、代わりにパススルー認証を使用することを選択できます。 Azure AD の各種サインイン方法の比較および組織に合った適切なサインイン方法の選び方については、こちらのガイドをご覧ください。

Azure AD パススルー認証

パススルー認証とシームレス シングル サインオン機能は組み合わせることができます。 この方法では、ユーザーが企業ネットワーク内の会社のコンピューター アプリケーションにアクセスしてサインインするときに、パスワードを入力する必要がありません。

Azure AD パススルー認証を使用する主なメリット

  • 優れたユーザー エクスペリエンス
    • ユーザーは、オンプレミスのアプリケーションとクラウド ベースのアプリケーションの両方に同じパスワードを使用してサインインできます。
    • パスワード関連の問題を解決するのに、ユーザーが IT ヘルプデスクと対話する時間が減ります。
    • ユーザーはクラウドでセルフ サービスによるパスワード管理ができます。
  • デプロイと管理が容易
    • 簡単にオンプレミスにデプロイしてネットワーク構成できます。
    • オンプレミスには、軽量エージェントのみをインストールすれば済みます。
    • 管理のオーバーヘッドを排除できます。 エージェントは、機能強化とバグ修正を自動的に受け取ります。
  • セキュリティ保護
    • オンプレミス パスワードが何らかの形でクラウドに保存されることはありません。
    • 多要素認証 (MFA) を含む、Azure AD 条件付きアクセス ポリシーレガシ認証のブロックフィルター処理によるブルート フォース パスワード攻撃の除外により、作業を中断されずに、ユーザー アカウントを保護できます。
    • エージェントは、ネットワーク内からの送信接続のみを行います。 そのため、DMZ とも呼ばれる、境界ネットワークにエージェントをインストールする必要がありません。
    • エージェントと Azure AD の間の通信は、証明書ベースの認証を使用して保護されます。 これらの証明書は、Azure AD によって数か月ごとに自動的に更新されます。
  • 高可用性
    • 追加のエージェントを複数のオンプレミス サーバーにインストールすることで、サインイン要求の高可用性を実現できます。

機能概要

  • ユーザーが先進認証を使用する、すべての Web ブラウザー ベースのアプリケーションおよび Microsoft Office クライアント アプリケーションにサインインすることがサポートされています。
  • サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID と呼ばれます) を指定できます。
  • この機能は、多要素認証 (MFA) など、ユーザーをセキュリティで保護するのに役立つ条件付きアクセス機能とシームレスに連携します。
  • クラウド ベースのセルフサービスのパスワード管理 (オンプレミスの Active Directory へのパスワード ライトバックや、よく使用されているパスワードの禁止によるパスワードの保護を含む) と統合されています。
  • ご使用の AD フォレスト間にフォレストの信頼があり、名前サフィックス ルーティングが正しく構成されていれば、複数フォレスト環境がサポートされます。
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。
  • これは、Azure AD Connect を使用して有効にすることができます。
  • これでは、パスワード検証要求を待ち受けて応答する、軽量オンプレミス エージェントを使用します。
  • 複数のエージェントをインストールすることにより、サインイン要求の高可用性が実現されます。
  • これにより、オンプレミス アカウントがクラウドへのブルート フォース パスワード攻撃から保護されます。

次のステップ