Azure Active Directory シームレス シングル サインオンAzure Active Directory Seamless Single Sign-On

Azure Active Directory シームレス シングル サインオンとはWhat is Azure Active Directory Seamless Single Sign-On?

Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. この機能を有効にすると、ユーザーは Azure AD にサインインするためにパスワードを入力する必要がなくなります。また、通常はユーザー名の入力も不要です。When enabled, users don't need to type in their passwords to sign in to Azure AD, and usually, even type in their usernames. この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。This feature provides your users easy access to your cloud-based applications without needing any additional on-premises components.

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。Seamless SSO can be combined with either the Password Hash Synchronization or Pass-through Authentication sign-in methods. シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ませんSeamless SSO is not applicable to Active Directory Federation Services (ADFS).

シームレス シングル サインオン


シームレス SSO では、ユーザーのデバイスがドメインに参加していることのみが必要ですが、Azure AD 参加済みデバイスまたはハイブリッド Azure AD 参加済みデバイスでは使用されません。Seamless SSO needs the user's device to be domain-joined only, but it is not used on Azure AD Joined or Hybrid Azure AD joined devices. Azure AD 参加済み、ハイブリッド Azure AD 参加済み、および Azure AD 登録済みデバイスでの SSO は、プライマリ更新トークンに基づいて機能します。SSO on Azure AD joined, Hybrid Azure AD joined, and Azure AD registered devices works based on the primary refresh token.

主な利点Key benefits

  • 優れたユーザー エクスペリエンスGreat user experience
    • ユーザーは、オンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。Users are automatically signed into both on-premises and cloud-based applications.
    • ユーザーは、パスワードを繰り返し入力する必要はありません。Users don't have to enter their passwords repeatedly.
  • デプロイと管理が容易Easy to deploy & administer
    • オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。No additional components needed on-premises to make this work.
    • パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。Works with any method of cloud authentication - Password Hash Synchronization or Pass-through Authentication.
    • グループ ポリシーを使用して、一部のユーザーまたはすべてのユーザーに展開できます。Can be rolled out to some or all your users using Group Policy.
    • AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Azure AD に登録できます。Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。This capability needs you to use version 2.1 or later of the workplace-join client.

機能概要Feature highlights

  • サインインのユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Azure AD Connect で構成された別の属性 (Alternate ID) を指定できます。Sign-in username can be either the on-premises default username (userPrincipalName) or another attribute configured in Azure AD Connect (Alternate ID). シームレス SSO は Kerberos チケットの securityIdentifier 要求を使用して Azure AD で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。Both use cases work because Seamless SSO uses the securityIdentifier claim in the Kerberos ticket to look up the corresponding user object in Azure AD.
  • シームレス SSO は便宜的な機能です。Seamless SSO is an opportunistic feature. これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。If it fails for any reason, the user sign-in experience goes back to its regular behavior - i.e, the user needs to enter their password on the sign-in page.
  • アプリケーション (たとえば、 が Azure AD サインイン要求で domain_hint (OpenID Connect) パラメーターや whr (SAML) パラメーター (テナントを識別する)、または login_hint パラメーター (ユーザーを識別する) を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。If an application (for example, forwards a domain_hint (OpenID Connect) or whr (SAML) parameter - identifying your tenant, or login_hint parameter - identifying the user, in its Azure AD sign-in request, users are automatically signed in without them entering usernames or passwords.
  • アプリケーション (たとえば、 がサインイン要求を、Azure AD の共通エンドポイント (つまり、<...>) ではなく、Azure AD のテナントとして設定されているエンドポイント (つまり、<..> または<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。Users also get a silent sign-on experience if an application (for example, sends sign-in requests to Azure AD's endpoints set up as tenants - that is,<..> or<tenant_ID>/<..> - instead of Azure AD's common endpoint - that is,<...>.
  • サインアウトがサポートされています。Sign out is supported. そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Azure AD アカウントを使用することを選択できます。This allows users to choose another Azure AD account to sign in with, instead of being automatically signed in using Seamless SSO automatically.
  • バージョン 16.0.8730.xxxx 以降の Office 365 Win32 クライアント (Outlook、Word、Excel など) は、非対話型フローを使用してサポートされています。Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. OneDrive の場合、サイレント サインオン エクスペリエンス用の OneDrive サイレント構成機能をアクティブにする必要があります。For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • この機能は、Azure AD Connect を使用して有効にできます。It can be enabled via Azure AD Connect.
  • これは無料の機能であり、この機能を使用するために Azure AD の有料エディションは不要です。It is a free feature, and you don't need any paid editions of Azure AD to use it.
  • この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートする Office クライアントでサポートされています。It is supported on web browser-based clients and Office clients that support modern authentication on platforms and browsers capable of Kerberos authentication:
OS\ブラウザーOS\Browser Internet ExplorerInternet Explorer Microsoft EdgeMicrosoft Edge Google ChromeGoogle Chrome Mozilla FirefoxMozilla Firefox SafariSafari
Windows 10Windows 10 はい*Yes* はいYes はいYes はい***Yes*** 該当なしN/A
Windows 8.1Windows 8.1 はい*Yes* 該当なしN/A はいYes はい***Yes*** 該当なしN/A
Windows 8Windows 8 はい*Yes* 該当なしN/A はいYes はい***Yes*** 該当なしN/A
Windows 7Windows 7 はい*Yes* 該当なしN/A はいYes はい***Yes*** 該当なしN/A
Windows Server 2012 R2 以降Windows Server 2012 R2 or above はい**Yes** 該当なしN/A はいYes はい***Yes*** 該当なしN/A
Mac OS XMac OS X 該当なしN/A 該当なしN/A はい***Yes*** はい***Yes*** はい***Yes***

*Internet Explorer バージョン 10 以降が必要*Requires Internet Explorer versions 10 or above

**Internet Explorer バージョン 10 以降が必要。**Requires Internet Explorer versions 10 or above. 拡張保護モードを無効にするDisable Enhanced Protected Mode

***追加の構成が必要***Requires additional configuration


Windows 10 の場合、Azure AD で最適なシングル サインオン エクスペリエンスを実現するために、Azure AD Join を使用することをお勧めします。For Windows 10, the recommendation is to use Azure AD Join for the optimal single sign-on experience with Azure AD.

次のステップNext steps