Azure Active Directory シームレス シングル サインオン:クイック スタート

シームレス シングル サインオンのデプロイ

Azure Active Directory (Azure AD) シームレス シングル サインオン (シームレス SSO) により、ユーザーは企業ネットワークにつながっている会社のデスクトップを使用するときに自動でサインインできます。 シームレス SSO により、オンプレミス コンポーネントの追加を必要とすることなく、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。

シームレス SSO をデプロイするには、以下の手順に従います。

手順 1:前提条件を確認する

次の前提条件が満たされていることを確認します。

  • Azure AD Connect サーバーがセットアップされている:サインイン方法としてパススルー認証を使用する場合、他に確認すべき前提条件はありません。 サインイン方法としてパスワード ハッシュ同期を使用する場合や、Azure AD Connect と Azure AD の間にファイアウォールがある場合は、次の点を確認してください。

    • Azure AD Connect バージョン 1.1.644.0 以降を使用している。

    • ファイアウォールまたはプロキシで許可している場合は、*.msappproxy.net の URL に対するポート 443 での許可リストへの接続を追加します。 プロキシ構成でワイルドカードではなく特定の URL が必要な場合は、tenantid.registration.msappproxy.net を構成できます。ここで、tenantid は、機能を構成しているテナントの GUID です。 組織で URL ベースのプロキシの例外が許可されない場合は、代わりに Azure データセンターの IP 範囲へのアクセスを許可できます。これは毎週更新されます。 この前提条件は、その機能を有効にした場合にのみ適用されます。 実際のユーザー サインインに必要な条件ではありません。

      注意

      Azure AD Connect のバージョン 1.1.557.0、1.1.558.0、1.1.561.0、1.1.614.0 には、パスワード ハッシュ同期に関連する問題があります。 パスワード ハッシュ同期をパススルー認証と組み合わせて使用 しない 場合の詳細については、Azure AD Connect のリリース ノートをご覧ください。

      注意

      発信 HTTP プロキシを使用している場合は、この URL (autologon.microsoftazuread-sso.com) が許可されたリストに登録されていることをご確認ください。 ワイルドカードは受け入れられない場合があるため、この URL を明示的に指定してください。

  • サポートされている Azure AD Connect トポロジを使用する:使用している Azure AD Connect トポロジがこちらで説明されているサポートされているトポロジの 1 つであることを確認してください。

    注意

    シームレス SSO では、AD フォレスト間に AD 信頼があるかどうかを問わず、複数の AD フォレストがサポートされます。

  • ドメイン管理者の資格情報がセットアップされている:次の各 Active Directory フォレストについて、ドメイン管理者の資格情報が必要です。

    • Azure AD Connect を使用して Azure AD に同期している。
    • シームレス SSO を有効にさせたいユーザーが含まれている。
  • 先進認証を有効にする:この機能を作動させるには、テナントで先進認証を有効にする必要があります。

  • Microsoft 365 クライアントの最新バージョンを使用する:Microsoft 365 クライアント (Outlook、Word、Excel など) でサイレント サインオンを利用するには、ユーザーは 16.0.8730.xxxx 以上のバージョンを使用している必要があります。

手順 2:機能を有効にする

Azure AD Connect を使用してシームレス SSO を有効にします。

注意

Azure AD Connect が要件を満たしていない場合は、PowerShell を使用してシームレス SSO を有効にすることもできます。 Active Directory フォレストごとに複数のドメインがある場合に、シームレス SSO を有効にするドメインを絞り込むには、このオプションを使用します。

新しく Azure AD Connect をインストールする場合は、カスタム インストール パスを選択します。 [ユーザー サインイン] ページで、 [シングル サインオンを有効にする] チェックボックスをオンにします。

注意

このオプションは、サインオンの方法がパスワード ハッシュ同期またはパススルー認証の場合にのみ選択できます。

Azure AD Connect: User sign-in

Azure AD Connect を既にインストールしている場合は、Azure AD Connect の [ユーザー サインインの変更] ページを選択して、 [次へ] を選択します。 Azure AD Connect バージョン 1.1.880.0 以降を使用している場合、既定で [シングル サインオンを有効にする] オプションが選択されています。 それ以前のバージョンの Azure AD Connect を使用している場合は、 [シングル サインオンを有効にする] オプションを選択します。

Azure AD Connect: Change the user sign-in

[シングル サインオンを有効にする] ページが表示されるまで、ウィザードの手順を続行します。 次の各 Active Directory フォレストのドメイン管理者の資格情報を入力します。

  • Azure AD Connect を使用して Azure AD に同期している。
  • シームレス SSO を有効にさせたいユーザーが含まれている。

ウィザードの完了後、シームレスな SSO がテナントで有効になります。

注意

ドメイン管理者の資格情報は Azure AD Connect にも Azure AD にも保存されません。 機能を有効にするためにのみ使用されます。

この手順に従って、シームレス SSO の有効化を正しく行ったことを確認します。

  1. テナントのグローバル管理者またはハイブリッド ID 管理者の資格情報を使用して、Azure Active Directory 管理センターにサインインします。
  2. 左ウィンドウで、 [Azure Active Directory] を選択します。
  3. [Azure AD Connect] を選びます。
  4. [シームレスなシングル サインオン] 機能が [有効] になっていることを確認します。

Azure portal: Azure AD Connect pane

重要

シームレス SSO は、各 Active Directory (AD) フォレスト内のオンプレミスの AD に AZUREADSSOACC という名前のコンピューター アカウントを作成します。 AZUREADSSOACC コンピューター アカウントは、セキュリティ上の理由から強固に保護する必要があります。 ドメイン管理者だけがこのコンピューター アカウントを管理できるようにしてください。 コンピューター アカウント上で Kerberos 委任が無効になっていること、および Active Directory 内の他のどのアカウントにも、AZUREADSSOACC コンピューター アカウント上の委任のアクセス許可がないことを確認してください。 このコンピューター アカウントは、不注意で削除されるおそれがなく、ドメイン管理者のみがアクセスできる組織単位 (OU) に格納してください。

注意

オンプレミス環境内で Pass-the-Hash および Credential Theft Mitigation アーキテクチャを使用している場合は、適切な変更を行って AZUREADSSOACC コンピューター アカウントが最終的に検疫コンテナー内にないことを確認します。

手順 3:機能をロールアウトする

以下の指示に従い、シームレス SSO をユーザーに徐々にロールアウトできます。 まず、Active Directory のグループ ポリシーを利用し、すべてのユーザー、または選択したユーザーのイントラネット ゾーン設定に次の Azure AD URL を追加します。

  • https://autologon.microsoftazuread-sso.com

また、グループ ポリシーを使用して、 [スクリプトを介したステータス バーの更新を許可する] というイントラネットのゾーン ポリシー設定を有効にする必要があります。

注意

以下の手順は、Windows 上の Internet Explorer、Microsoft Edge、Google Chrome (信頼済みサイト URL のセットを Internet Explorer と共有する場合) でのみ機能します。 macOS 上の Mozilla Firefox と Google Chrome をセットアップする方法については、次のセクションをご覧ください。

ユーザーのイントラネット ゾーンの設定を変更する必要がある理由

既定では、ブラウザーは指定 URL から適切なゾーン (インターネットまたはイントラネット) を自動的に判断します。 たとえば、http://contoso/ はイントラネット ゾーンにマップされ、http://intranet.contoso.com/ はインターネット ゾーンにマップされます (URL にピリオドが含まれているため)。 Azure AD URL と同様に、クラウド エンドポイントの URL をブラウザーのイントラネット ゾーンに明示的に追加しなければ、ブラウザーは Kerberos チケットをクラウド エンドポイントに送信しません。

ユーザーのイントラネット ゾーン設定は 2 通りの方法で変更できます。

オプション 管理者の考慮事項 ユーザー エクスペリエンス
グループ ポリシー 管理者はイントラネット ゾーン設定の編集を禁止します ユーザーは自分の設定を変更できません
グループ ポリシーの基本設定 管理者はイントラネット ゾーン設定の編集を許可します ユーザーは自分の設定を変更できます

"グループ ポリシー" オプション - 詳しい手順

  1. グループ ポリシー管理エディター ツールを開きます。

  2. 一部またはすべてのユーザーに適用されるグループ ポリシーを編集します。 この例では、既定のドメイン ポリシーを使用します。

  3. [ユーザーの構成][ポリシー][管理用テンプレート][Windows コンポーネント][Internet Explorer][インターネット コントロール パネル][セキュリティ ページ] の順に移動します。 次に [サイトとゾーンの割り当て一覧] を選択します。 Screenshot that shows the

  4. ポリシーを有効にしてから、ダイアログ ボックスに次の値を入力します。

    • [値の名前] :Kerberos チケットの転送先となる Azure AD URL。

    • [値] (データ):1 (イントラネット ゾーンを示す)。

      結果は次のようになります。

      値の名前: https://autologon.microsoftazuread-sso.com

      値 (データ):1

    注意

    一部のユーザーに対してシームレス SSO の使用を許可したくない場合 ( ユーザー共有キオスクでサインインする場合など) は、前述の値を 4 に設定します。 この操作により、Azure AD の URL が [制限付きゾーン] に追加され、シームレス SSO は常に失敗するようになります。

  5. [OK] を選択してから、もう一度 [OK] を選択します。

    Screenshot that shows the

  6. [ユーザーの構成][ポリシー][管理用テンプレート][Windows コンポーネント][Internet Explorer][インターネット コントロール パネル][セキュリティ ページ][イントラネット ゾーン] の順に移動します。 次に、 [スクリプトを介したステータス バーの更新を許可する] を選択します。

    Screenshot that shows the

  7. ポリシー設定を有効にしてから、 [OK] を選択します。

    Screenshot that shows

"グループ ポリシーの基本設定" オプション - 詳しい手順

  1. グループ ポリシー管理エディター ツールを開きます。

  2. 一部またはすべてのユーザーに適用されるグループ ポリシーを編集します。 この例では、既定のドメイン ポリシーを使用します。

  3. [ユーザーの構成][基本設定][Windows 設定][レジストリ][新規][レジストリ項目] の順に移動します。

    Screenshot that shows

  4. 次の値を該当するフィールドに入力し、 [OK] をクリックします。

    • キー パス: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • 値の名前: https

    • 値の型: REG_DWORD

    • 値のデータ: 00000001

      Screenshot that shows the

      Single sign-on

ブラウザーの考慮事項

Mozilla Firefox (すべてのプラットフォーム)

お使いの環境で Authentication ポリシー設定を使用している場合は、Azure AD の URL () を SPNEGO セクションに確実に追加します。 PrivateBrowsing オプションを true に設定して、プライベート ブラウズ モードでシームレス SSO を許可することもできます。

Safari (macOS)

macOS を実行しているコンピューターが AD に参加していることを確認します。 macOS デバイスを AD に参加させる手順については、この記事の対象外です。

Chromium に基づく Microsoft Edge (すべてのプラットフォーム)

お使いの環境の AuthNegotiateDelegateAllowlist ポリシー設定または AuthServerAllowlist ポリシー設定をオーバーライドした場合は、それらの設定に Azure AD の URL () を確実に追加します。

Chromium に基づく Microsoft Edge (macOS および他の非 Windows プラットフォーム)

macOS および他の Windows 以外のプラットフォームの Chromium に基づく Microsoft Edge の場合、統合認証用の Azure AD の URL を許可一覧に追加する方法については、Chromium に基づく Microsoft Edge のポリシー一覧を参照してください。

Google Chrome (すべてのプラットフォーム)

お使いの環境の AuthNegotiateDelegateAllowlist ポリシー設定または AuthServerAllowlist ポリシー設定をオーバーライドした場合は、それらの設定に Azure AD の URL () を確実に追加します。

macOS

サードパーティの Active Directory グループ ポリシーの拡張機能を使用して、Firefox および Google Chrome への Azure AD の URL を macOS ユーザーにロールアウトする場合については、この記事では扱われません。

ブラウザーの既知の制限事項

拡張保護モードで実行されている場合、シームレス SSO は Internet Explorer ブラウザーでも機能しません。 シームレス SSO では、Chromium に基づく Microsoft Edge の次期バージョンがサポートされています。仕様により InPrivate とゲスト モードで機能します。 Microsoft Edge (レガシ) はサポートされなくなりました。

AmbientAuthenticationInPrivateModesEnabled は、対応するドキュメントに基づいて、InPrivate および/またはゲスト ユーザー用に構成する必要がある場合があります。

手順 4:機能をテストする

特定のユーザーについてこの機能をテストするには、次の条件がすべて満たされていることを確認してください。

  • ユーザーが会社のデバイスでサインインしている。
  • デバイスが Active Directory ドメインに参加している。 デバイスは、Azure AD 参加済みである必要は ありません
  • デバイスが、企業のワイヤードまたはワイヤレス ネットワーク上や、VPN 接続などのリモート アクセス接続を介してドメイン コントローラー (DC) に直接接続している。
  • グループ ポリシーを使用して、このユーザーに機能がロールアウトされている。

ユーザーがユーザー名のみを入力し、パスワードを入力しないシナリオをテストする場合:

  • [https://manage.visualstudio.com](https://myapps.microsoft.com/ ) にサインインします。 必ずブラウザーのキャッシュをクリアするか、サポートされているいずれかのブラウザーのプライベート モードでの新しいプライベート ブラウザー セッションを使用してください。

ユーザーがユーザー名またはパスワードを入力する必要がないシナリオをテストする場合は、次の手順のいずれかに従います。

  • https://myapps.microsoft.com/contoso.onmicrosoft.com にサインインします。必ず、ブラウザーのキャッシュをクリアするか、サポートされているいずれかのブラウザーのプライベート モードで新しいプライベート ブラウザー セッションを使用してください。 contoso を自分のテナント名に置き換えます。
  • 新しいプライベート ブラウザー セッションで https://myapps.microsoft.com/contoso.com にサインインします。 contoso.com を、自分のテナントで検証されたドメイン (フェデレーション ドメインではなく) に置き換えます。

手順 5:キーをロール オーバーする

手順 2 では、Azure AD Connect によって、シームレス SSO を有効にしたすべての Active Directory フォレスト内でコンピューター アカウント (Azure AD を表します) が作成されます。 詳細については、「Azure Active Directory シームレス シングル サインオン: 技術的な詳細情報」をご覧ください。

重要

コンピューター アカウントの Kerberos 解読キーが流出した場合、それを利用し、その AD フォレストのあらゆるユーザーに対して Kerberos チケットが生成されます。 悪意のあるアクターは、Azure AD サインインを偽装し、ユーザーを危険にさらすことがあります。 定期的に (少なくとも 30 日ごとに) Kerberos の解読キーをロールオーバーすることを強くお勧めします。

キーをロールオーバーする方法の詳細については、「Azure Active Directory シームレス シングル サインオン: よく寄せられる質問」をご覧ください。

重要

この機能を有効にした後に、"直ちに" この手順を実行する必要はありません。 少なくとも 30 日に 1 回は、Kerberos 暗号化の解除キーをロールオーバーしてください。

次のステップ

  • 技術的な詳細: シームレス シングル サインオン機能のしくみを理解します。
  • よく寄せられる質問: シームレス シングル サインオンに関してよく寄せられる質問への回答を示します。
  • トラブルシューティング: シームレス シングル サインオン機能に関する一般的な問題の解決方法を説明します。
  • UserVoice: Azure Active Directory フォーラムを使用して、新しい機能の要求を行います。