Azure AD Connect ユーザーのサインイン オプションAzure AD Connect user sign-in options

Azure Active Directory (Azure AD) Connect では、ユーザーは同じパスワードを使用して、クラウドとオンプレミス両方のリソースにサインインできます。Azure Active Directory (Azure AD) Connect allows your users to sign in to both cloud and on-premises resources by using the same passwords. この記事では、Azure AD へのサインインに使用する ID を選択できるようにするために、各 ID モデルの主要な概念について説明します。This article describes key concepts for each identity model to help you choose the identity that you want to use for signing in to Azure AD.

既に Azure AD の ID モデルについての知識があり、特定の方法の詳細を知りたい場合は、適切なリンクを参照してください。If you’re already familiar with the Azure AD identity model and want to learn more about a specific method, see the appropriate link:

注意

Azure AD に対してフェデレーションを構成することで、Azure AD テナントとフェデレーション ドメインの間に信頼が確立されるということを憶えておくことが重要です。It is important to remember that by configuring federation for Azure AD, you establish trust between your Azure AD tenant and your federated domains. この信頼により、フェデレーション ドメインのユーザーは、テナント内の Azure AD クラウド リソースにアクセスできます。With this trust federated domain users will have access to Azure AD cloud resources within the tenant.

組織のユーザー サインイン方法の選択Choosing the user sign-in method for your organization

Azure AD Connect を導入するにあたっては、まずユーザーのサインインに使用する認証方法を選択する必要があります。The first decision of implementing Azure AD Connect is choosing which authentication method your users will use to sign in. 所属する組織のセキュリティ要件と詳細な要件を満たした適切な方法を選択することが大切です。It's important to make sure you choose the right method that meets your organization's security and advanced requirements. 認証はきわめて重要です。クラウド内のアプリとデータにアクセスするユーザーの ID は認証によって確認することになるためです。Authentication is critical, because it will validate user's identities to access apps and data in the cloud. 適切な認証方法を選ぶには、時間、既存のインフラストラクチャ、複雑さ、および選んだ方法の実装にかかるコストを考慮する必要があります。To choose the right authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. これらの要因は組織ごとに異なり、時間の経過とともに変化する場合があります。These factors are different for every organization and might change over time.

Azure AD は、次の認証方法をサポートします。Azure AD supports the following authentication methods:

  • クラウド認証 - この認証方法を選ぶと、ユーザーのサインインの認証プロセスが Azure AD によって処理されます。Cloud Authentication - When you choose this authentication method Azure AD handles the authentication process for user's sign-in. クラウド認証では、2 つのオプションから選ぶことができます。With cloud authentication you can choose from two options:
    • パスワード ハッシュ同期 (PHS) - パスワード ハッシュ同期では、ユーザーはオンプレミスで使用しているものと同じユーザー名とパスワードを使用でき、Azure AD Connect 以外に追加のインフラストラクチャを展開する必要はありません。Password hash synchronization (PHS) - Password Hash Sync enables users to use the same username and password that they use on-premises without having to deploy any additional infrastructure besides Azure AD Connect.
    • パススルー認証 (PTA) - このオプションは、パスワード ハッシュ同期と似ていますが、セキュリティとコンプライアンスに関して厳格なポリシーを導入している組織のために、オンプレミスのソフトウェア エージェントを使用したシンプルなパスワード検証が提供されます。Pass-through authentication (PTA) - This option is similar to password hash sync, but provides a simple password validation using on-premises software agents for organizations with strong security and compliance policies.
  • フェデレーション認証 - この認証方法を選ぶと、信頼のおける別のシステム (AD FS やサードパーティのフェデレーション システムなど) が Azure AD から認証プロセスを引き継いでユーザーのサインインを検証します。Federated authentication - When you choose this authentication method Azure AD will hand off the authentication process to a separate trusted authentication system, such as AD FS or a third-party federation system, to validate the user's sign-in.

Office 365、SaaS アプリケーション、およびその他の Azure AD ベースのリソースへのユーザー サインインのみを有効にするほとんどの組織では、既定のパスワード ハッシュの同期オプションをお勧めします。For most organizations that just want to enable user sign-in to Office 365, SaaS applications, and other Azure AD-based resources, we recommend the default password hash synchronization option.

認証方法の選択の詳細については、「Azure Active Directory ハイブリッド ID ソリューションの適切な認証方法を選択する」を参照してください。For detailed information on choosing an authentication method, see Choose the right authentication method for your Azure Active Directory hybrid identity solution

パスワード ハッシュの同期Password hash synchronization

パスワード ハッシュの同期では、ユーザー パスワードのハッシュがオンプレミスの Active Directory から Azure AD に同期されます。With password hash synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD. オンプレミスでパスワードが変更またはリセットされると、ユーザーが常にクラウドのリソースとオンプレミスのリソースに同じパスワードを使用できるように、新しいパスワード ハッシュが直ちに Azure AD に同期されます。When passwords are changed or reset on-premises, the new password hashes are synchronized to Azure AD immediately so that your users can always use the same password for cloud resources and on-premises resources. パスワードがクリア テキストの状態で Azure AD に送信されたり Azure AD に格納されたりすることはありません。The passwords are never sent to Azure AD or stored in Azure AD in clear text. パスワード ハッシュの同期をパスワードの書き戻しと共に使用すると、Azure AD でセルフサービス パスワード リセットを有効にできます。You can use password hash synchronization together with password write-back to enable self-service password reset in Azure AD.

さらに、企業ネットワーク上にある、ドメインに参加しているマシン上のユーザーに対してシームレス SSO を有効にすることができます。In addition, you can enable Seamless SSO for users on domain-joined machines that are on the corporate network. シングル サインオンを使用すれば、有効になっているユーザーはユーザー名のみを入力して、クラウド リソースに安全にアクセスできます。With single sign-on, enabled users only need to enter a username to help them securely access cloud resources.

パスワード ハッシュの同期

詳細については、パスワード ハッシュの同期に関する記事を参照してください。For more information, see the password hash synchronization article.

パススルー認証Pass-through authentication

パススルー認証では、ユーザーのパスワードはオンプレミスの Active Directory コントローラーに対して検証されます。With pass-through authentication, the user’s password is validated against the on-premises Active Directory controller. パスワードを何らかの形式で Azure AD に保存する必要はありません。The password doesn't need to be present in Azure AD in any form. そのため、クラウド サービスへの認証時に、オンプレミスのポリシー (ログオン時間制限など) を評価することができます。This allows for on-premises policies, such as sign-in hour restrictions, to be evaluated during authentication to cloud services.

パススルー認証では、オンプレミス環境内の Windows Server 2012 R2 ドメイン参加済みコンピューター上にある、シンプルなエージェントが使用されます。Pass-through authentication uses a simple agent on a Windows Server 2012 R2 domain-joined machine in the on-premises environment. このエージェントが、パスワードの検証要求をリッスンします。This agent listens for password validation requests. インターネットに対して受信ポートを開放する必要は一切ありません。It doesn't require any inbound ports to be open to the Internet.

さらに、企業ネットワーク上にあるドメイン参加済みコンピューターのユーザーに対しても、シングル サインオンを有効化できます。In addition, you can also enable single sign-on for users on domain-joined machines that are on the corporate network. シングル サインオンを使用すれば、有効になっているユーザーはユーザー名のみを入力して、クラウド リソースに安全にアクセスできます。With single sign-on, enabled users only need to enter a username to help them securely access cloud resources. パススルー認証Pass-through authentication

詳細については、次を参照してください。For more information, see:

Windows Server 2012 R2 の AD FS を使用した新規または既存のファームを使用するフェデレーションFederation that uses a new or existing farm with AD FS in Windows Server 2012 R2

フェデレーション サインインでは、ユーザーはオンプレミスのパスワードを使用して Azure AD ベースのサービスにサインインできます。With federated sign-in, your users can sign in to Azure AD-based services with their on-premises passwords. 企業ネットワーク上にいる時には、パスワードを入力する必要すらありません。While they're on the corporate network, they don't even have to enter their passwords. AD FS によるフェデレーション オプションを使用すれば、Windows Server 2012 R2 の AD FS を使用した新規または既存のファームをデプロイできます。By using the federation option with AD FS, you can deploy a new or existing farm with AD FS in Windows Server 2012 R2. 既存のファームを指定する場合は、Azure AD Connect によってファームと Azure AD との間に信頼が構成され、それにより、ユーザーがサインインできるようになります。If you choose to specify an existing farm, Azure AD Connect configures the trust between your farm and Azure AD so that your users can sign in.

Windows Server 2012 R2 の AD FS を使用したフェデレーション

Federation with AD FS in Windows Server 2012 R2

Windows Server 2012 R2 の AD FS を使用してフェデレーションをデプロイするDeploy federation with AD FS in Windows Server 2012 R2

新しいファームをデプロイする場合は、次のものが必要です。If you're deploying a new farm, you need:

  • フェデレーション サーバー用の Windows Server 2012 R2 サーバー。A Windows Server 2012 R2 server for the federation server.
  • Web アプリケーション プロキシ用の Windows Server 2012 R2 サーバー。A Windows Server 2012 R2 server for the Web Application Proxy.
  • 目的のフェデレーション サービス名に対する TLS/SSL 証明書を 1 つ含んだ .pfx ファイル。A .pfx file with one TLS/SSL certificate for your intended federation service name. サービス名の例: www.contoso.com。For example: fs.contoso.com.

新しいファームをデプロイするか、既存のファームを使用する場合は、次のものが必要です。If you're deploying a new farm or using an existing farm, you need:

  • フェデレーション サーバー上のローカル管理者の資格情報。Local administrator credentials on your federation servers.
  • Web アプリケーション プロキシ ロールをデプロイするワークグループ サーバー (ドメイン不参加) 上の、ローカル管理者の資格情報。Local administrator credentials on any workgroup servers (not domain-joined) that you intend to deploy the Web Application Proxy role on.
  • ウィザードを実行するコンピューター。これにより、Windows リモート管理を使用して、AD FS または Web アプリケーション プロキシをインストールする他のコンピューターに接続できるようになります。The machine that you run the wizard on to be able to connect to any other machines that you want to install AD FS or Web Application Proxy on by using Windows Remote Management.

詳しくは、「AD FS を使用した SSO の構成」をご覧ください。For more information, see Configuring SSO with AD FS.

PingFederate によるフェデレーションFederation with PingFederate

フェデレーション サインインでは、ユーザーはオンプレミスのパスワードを使用して Azure AD ベースのサービスにサインインできます。With federated sign-in, your users can sign in to Azure AD-based services with their on-premises passwords. 企業ネットワーク上にいる時には、パスワードを入力する必要すらありません。While they're on the corporate network, they don't even have to enter their passwords.

Azure Active Directory で使用するための PingFederate の構成の詳細については、「PingFederate Integration with Azure Active Directory and Office 365」 (Azure Active Directory および Office 365 との PingFederate の統合) を参照してください。For more information on configuring PingFederate for use with Azure Active Directory, see PingFederate Integration with Azure Active Directory and Office 365

PingFederate を使用して Azure AD Connect を設定する方法については、「Azure AD Connect のカスタム インストール」を参照してください。For information on setting up Azure AD Connect using PingFederate, see Azure AD Connect custom installation

以前のバージョンの AD FS またはサード パーティのソリューションを使用してサインインするSign in by using an earlier version of AD FS or a third-party solution

以前のバージョンの AD FS (AD FS 2.0 など) またはサード パーティのフェデレーション プロバイダーを使用して、クラウド サインインを既に構成している場合は、Azure AD Connect を通じてユーザー サインインの構成をスキップできます。If you've already configured cloud sign-in by using an earlier version of AD FS (such as AD FS 2.0) or a third-party federation provider, you can choose to skip user sign-in configuration through Azure AD Connect. これにより、既存のソリューションをサインインに使用しながら、最新の同期内容と Azure AD Connect のその他の機能を使用できるようになります。This will enable you to get the latest synchronization and other capabilities of Azure AD Connect while still using your existing solution for sign-in.

詳しくは、「Azure AD のサードパーティ フェデレーション互換性リスト」をご覧ください。For more information, see the Azure AD third-party federation compatibility list.

ユーザーのサインインとユーザー プリンシパル名User sign-in and user principal name

ユーザー プリンシパル名についてUnderstanding user principal name

Active Directory では、既定のユーザー プリンシパル名 (UPN) サフィックスは、ユーザー アカウントが作成されたドメインの DNS 名です。In Active Directory, the default user principal name (UPN) suffix is the DNS name of the domain where the user account was created. ほとんどの場合、これはインターネット上で企業ドメインとして登録されたドメイン名です。In most cases, this is the domain name that's registered as the enterprise domain on the Internet. ただし、Active Directory ドメインと信頼関係を使用して、複数の UPN サフィックスを追加することもできます。However, you can add more UPN suffixes by using Active Directory Domains and Trusts.

ユーザーの UPN は、username@domain という形式で表されます。The UPN of the user has the format username@domain. たとえば、"contoso.com" という名前の Active Directory ドメインの場合、John という名前のユーザーの UPN は "john@contoso.com" になります。For example, for an Active Directory domain named "contoso.com", a user named John might have the UPN "john@contoso.com". ユーザーの UPN は RFC 822 に基づいています。The UPN of the user is based on RFC 822. UPN と電子メールは形式が同じですが、ユーザーの UPN の値は、ユーザーの電子メール アドレスと必ずしも同じものになるとは限りません。Although the UPN and email share the same format, the value of the UPN for a user might or might not be the same as the email address of the user.

Azure AD のユーザー プリンシパル名User principal name in Azure AD

Azure AD Connect ウィザードでは、userPrincipalName 属性を使用することもできますが、Azure AD のユーザー プリンシパル名として使用される属性をオンプレミスから指定することもできます (後者はカスタム インストールの場合です)。The Azure AD Connect wizard uses the userPrincipalName attribute or lets you specify the attribute (in a custom installation) to be used from on-premises as the user principal name in Azure AD. この値が、Azure AD へのサインインに使用されます。This is the value that is used for signing in to Azure AD. ユーザー プリンシパル名の属性値が Azure AD の確認済みドメインに対応しない場合は、値が既定値 (.onmicrosoft.com) に置き換えられます。If the value of the userPrincipalName attribute doesn't correspond to a verified domain in Azure AD, then Azure AD replaces it with a default .onmicrosoft.com value.

Azure Active Directory のすべてのディレクトリには、contoso.onmicrosoft.com という形式のドメイン名があらかじめ設定されており、これによってユーザーは、Azure をはじめとする Microsoft の各種サービスを利用できるようになっています。Every directory in Azure Active Directory comes with a built-in domain name, with the format contoso.onmicrosoft.com, that lets you get started using Azure or other Microsoft services. カスタム ドメインを使用すれば、サインイン エクスペリエンスを改善したり、簡素化することもできます。You can improve and simplify the sign-in experience by using custom domains. Azure AD のカスタム ドメイン名とドメインの確認方法については、「Azure Active Directory へのカスタム ドメイン名の追加」をご覧ください。For information on custom domain names in Azure AD and how to verify a domain, see Add your custom domain name to Azure Active Directory.

Azure AD サインインの構成Azure AD sign-in configuration

Azure AD Connect による Azure AD サインインの構成Azure AD sign-in configuration with Azure AD Connect

Azure AD のサインイン エクスペリエンスは、同期するユーザーのユーザー プリンパル名のサフィックスが、Azure AD ディレクトリで確認済みのカスタム ドメインのいずれかと一致するかどうかによって変わります。The Azure AD sign-in experience depends on whether Azure AD can match the user principal name suffix of a user that's being synced to one of the custom domains that are verified in the Azure AD directory. Azure AD Connect を使用すれば、Azure AD のサインイン設定を効率的に行って、クラウドでのユーザー サインイン エクスペリエンスをオンプレミスでのエクスペリエンスと同様のものにすることができます。Azure AD Connect provides help while you configure Azure AD sign-in settings, so that the user sign-in experience in the cloud is similar to the on-premises experience.

Azure AD Connect は、ドメインに対して定義されているUPN サフィックスをリストし、それらを Azure AD 内のカスタム ドメインと照合しようとします。Azure AD Connect lists the UPN suffixes that are defined for the domains and tries to match them with a custom domain in Azure AD. その後、ユーザーが実行するべき適切な操作を支援します。Then it helps you with the appropriate action that needs to be taken. Azure AD のサインイン ページには、オンプレミスの Active Directory に対して定義されている UPN サフィックスの一覧と、各サフィックスの状態が表示されます。The Azure AD sign-in page lists the UPN suffixes that are defined for on-premises Active Directory and displays the corresponding status against each suffix. 状態値は、次のいずれかになります。The status values can be one of the following:

StateState 説明Description 必要な対処Action needed
VerifiedVerified Azure AD Connect が、Azure AD で一致する確認済みのドメインを検出しました。Azure AD Connect found a matching verified domain in Azure AD. このドメインのすべてのユーザーは、オンプレミスの資格情報を使用してサインインできます。All users for this domain can sign in by using their on-premises credentials. 対処は必要ありません。No action is needed.
未確認Not verified Azure AD Connect が Azure AD 内の一致するカスタム ドメインを検出しましたが、そのドメインはまだ確認されていません。Azure AD Connect found a matching custom domain in Azure AD, but it isn't verified. ドメインが確認されなかった場合、そのドメインのユーザーの UPN サフィックスは、同期後に既定のサフィックス (.onmicrosoft.com) へと変更されます。The UPN suffix of the users of this domain will be changed to the default .onmicrosoft.com suffix after synchronization if the domain isn't verified. Azure AD でカスタム ドメインを確認します。Verify the custom domain in Azure AD.
追加されていませんNot added Azure AD Connect が、UPN サフィックスに対応するカスタム ドメインを検出できませんでした。Azure AD Connect didn't find a custom domain that corresponded to the UPN suffix. ドメインが追加されて確認されなかった場合、そのドメインのユーザーの UPN サフィックスは、既定のサフィックス (.onmicrosoft.com) へと変更されます。The UPN suffix of the users of this domain will be changed to the default .onmicrosoft.com suffix if the domain isn't added and verified in Azure. UPN サフィックスに対応するカスタム ドメインを追加し、確認します。Add and verify a custom domain that corresponds to the UPN suffix.

Azure AD サインイン ページには、オンプレミス Active Directory に対して定義されている UPN サフィックスの一覧と、対応する Azure AD のカスタム ドメインおよび現在の確認状態が表示されます。The Azure AD sign-in page lists the UPN suffixes that are defined for on-premises Active Directory and the corresponding custom domain in Azure AD with the current verification status. カスタム インストールでは、 [Azure AD のサインイン] ページでユーザー プリンシパル名の属性を選択できるようになりました。In a custom installation, you can now select the attribute for the user principal name on the Azure AD sign-in page.

Azure AD サインイン ページ

更新ボタンをクリックすると、カスタム ドメインの最新の状態を Azure AD から再取得することができます。You can click the refresh button to re-fetch the latest status of the custom domains from Azure AD.

Azure AD でのユーザー プリンシパル名の属性の選択Selecting the attribute for the user principal name in Azure AD

userPrincipalName 属性は、ユーザーが Azure AD と Office 365 にサインインするときに使用する属性です。The attribute userPrincipalName is the attribute that users use when they sign in to Azure AD and Office 365. ユーザーを同期できるようにするには、まず Azure AD で使用するドメイン (UPN サフィックス) を確認する必要があります。You should verify the domains (also known as UPN suffixes) that are used in Azure AD before the users are synchronized.

サインインには、既定の userPrincipalName 属性をそのまま使用することを強くお勧めします。We strongly recommend that you keep the default attribute userPrincipalName. ただし、この属性がルーティング不可能で確認できない場合には、サインイン ID を保持する属性として、別の属性 (電子メールなど) を選択することができます。If this attribute is nonroutable and can't be verified, then it's possible to select another attribute (email, for example) as the attribute that holds the sign-in ID. これを代替 ID といいます。This is known as the Alternate ID. 代替 ID の属性値は、RFC822 標準に従う必要があります。The Alternate ID attribute value must follow the RFC 822 standard. 代替 ID は、サインイン ソリューションとして、パスワード SSO とフェデレーション SSO の両方で使用できます。You can use an Alternate ID with both password SSO and federation SSO as the sign-in solution.

注意

代替 ID の使用は、すべての Office 365 ワークロードと互換性があるわけではありません。Using an Alternate ID isn't compatible with all Office 365 workloads. 詳しくは、「Configuring Alternate Login ID (代替ログイン ID の構成)」をご覧ください。For more information, see Configuring Alternate Login ID.

カスタム ドメインの状態と Azure サインイン エクスペリエンスへの影響Different custom domain states and their effect on the Azure sign-in experience

Azure AD ディレクトリのカスタム ドメインの状態と、オンプレミスで定義された UPN サフィックスの間の関係を理解することは非常に重要です。It's very important to understand the relationship between the custom domain states in your Azure AD directory and the UPN suffixes that are defined on-premises. ここでは、Azure AD Connect を使用して同期を設定する際に遭遇しうる、いくつかの Azure サインイン エクスペリエンスについて見ていきましょう。Let's go through the different possible Azure sign-in experiences when you're setting up synchronization by using Azure AD Connect.

以下の説明では、UPN サフィックスが contoso.com である場合を想定しています。これは、オンプレミス ディレクトリで UPN の一部分として使用されます (例: user@contoso.com)。For the following information, let's assume that we're concerned with the UPN suffix contoso.com, which is used in the on-premises directory as part of UPN--for example user@contoso.com.

簡易設定/パスワード ハッシュの同期Express settings/Password hash synchronization
StateState ユーザーの Azure サインイン エクスペリエンスへの影響Effect on user Azure sign-in experience
追加されていませんNot added この場合、contoso.com のカスタム ドメインは Azure AD ディレクトリに追加されていません。In this case, no custom domain for contoso.com has been added in the Azure AD directory. オンプレミスの UPN にサフィックス @contoso.com が付いているユーザーは、オンプレミスの UPN を使用して Azure にサインインすることができません。Users who have UPN on-premises with the suffix @contoso.com won't be able to use their on-premises UPN to sign in to Azure. 代わりに、Azure AD によって提供された新しい UPN を使用する必要があります。この UPN は、既定の Azure AD ディレクトリのサフィックスを追加して作成されます。They'll instead have to use a new UPN that's provided to them by Azure AD by adding the suffix for the default Azure AD directory. たとえば、azurecontoso.onmicrosoft.com という Azure AD ディレクトリにユーザーを同期する場合、オンプレミス ユーザー user@contoso.com には、user@azurecontoso.onmicrosoft.com という UPN が与えられます。For example, if you're syncing users to the Azure AD directory azurecontoso.onmicrosoft.com, then the on-premises user user@contoso.com will be given a UPN of user@azurecontoso.onmicrosoft.com.
未確認Not verified この場合、カスタム ドメイン contoso.com は既に Azure AD ディレクトリに追加されています。In this case, we have a custom domain contoso.com that's added in the Azure AD directory. ただし、まだ確認されていません。However, it's not yet verified. ドメインを確認しないままユーザーの同期を進めようとすると、"追加されていません" のシナリオの場合と同様の方法で、Azure AD からユーザーに新しい UPN が割り当てられます。If you go ahead with syncing users without verifying the domain, then the users will be assigned a new UPN by Azure AD, just like in the "Not added" scenario.
VerifiedVerified この場合、カスタム ドメイン contoso.com は既に Azure AD に追加され、UPN サフィックスに対して既に確認されています。In this case, we have a custom domain contoso.com that's already added and verified in Azure AD for the UPN suffix. ユーザーは Azure AD に同期された後、オンプレミスのユーザー プリンシパル名 (例: user@contoso.com) を使用して Azure にサインインできます。Users will be able to use their on-premises user principal name, for example user@contoso.com, to sign in to Azure after they're synced to Azure AD.
AD FS のフェデレーションAD FS federation

フェデレーションを作成する場合、Azure AD の既定の .onmicrosoft.com ドメインや、Azure AD 内のまだ確認されていないカスタム ドメインを使用することはできません。You can't create a federation with the default .onmicrosoft.com domain in Azure AD or an unverified custom domain in Azure AD. Azure AD Connect ウィザードを実行している場合、未確認のドメインを選択してフェデレーションを作成しようとすると、そのドメインの DNS のホスト先に作成する必要があるレコードが、Azure AD Connect の確認メッセージに表示されます。When you're running the Azure AD Connect wizard, if you select an unverified domain to create a federation with, then Azure AD Connect prompts you with the necessary records to be created where your DNS is hosted for the domain. 詳しくは、「フェデレーション用に選択された Azure AD ドメインの検証」をご覧ください。For more information, see Verify the Azure AD domain selected for federation.

ユーザー サインイン オプションとして [AD FS とのフェデレーション] を選択した場合、Azure AD でのフェデレーションの作成を続行するには、カスタム ドメインが必要です。If you selected the user sign-in option Federation with AD FS, then you must have a custom domain to continue creating a federation in Azure AD. この例では、カスタム ドメイン contoso.com が Azure AD ディレクトリに追加されている必要があります。For our discussion, this means that we should have a custom domain contoso.com added in the Azure AD directory.

StateState ユーザーの Azure サインイン エクスペリエンスへの影響Effect on the user Azure sign-in experience
追加されていませんNot added これは、Azure AD Connect が、UPN サフィックス contoso.com と一致するカスタム ドメインを Azure AD ディレクトリ内に検出できなかったことを意味します。In this case, Azure AD Connect didn't find a matching custom domain for the UPN suffix contoso.com in the Azure AD directory. ユーザーが AD FS を使用して、オンプレミス UPN (user@contoso.com など) でサインインできるようにするには、カスタム ドメイン contoso.com を追加する必要があります。You need to add a custom domain contoso.com if you need users to sign in by using AD FS with their on-premises UPN (like user@contoso.com).
未確認Not verified この場合は、Azure AD Connect の確認メッセージに、後でドメインを確認する方法についての適切な情報が示されます。In this case, Azure AD Connect prompts you with appropriate details on how you can verify your domain at a later stage.
VerifiedVerified この場合、特に対処は必要なく、そのまま構成を続行できます。In this case, you can go ahead with the configuration without any further action.

ユーザーのサインイン方法の変更Changing the user sign-in method

ウィザードによる Azure AD Connect の初期構成の後、Azure AD Connect で使用可能なタスクを使用して、ユーザーのサインイン方法をフェデレーション、パスワード ハッシュの同期、またはパススルー認証から変更できます。You can change the user sign-in method from federation, password hash synchronization, or pass-through authentication by using the tasks that are available in Azure AD Connect after the initial configuration of Azure AD Connect with the wizard. Azure AD Connect ウィザードを再実行すると、実行できるタスクの一覧が表示されます。Run the Azure AD Connect wizard again, and you'll see a list of tasks that you can perform. タスクの一覧から [ユーザー サインインの変更] を選択します。Select Change user sign-in from the list of tasks.

ユーザー サインインの変更

次のページで、Azure AD の資格情報の入力を求められます。On the next page, you're asked to provide the credentials for Azure AD.

Azure への接続

ユーザーのサインイン」ページで、目的のユーザーのサインインを選択します。On the User sign-in page, select the desired user sign-in.

Azure への接続

注意

パスワード ハッシュの同期への一時的な切り替えを行なっているだけの場合は、 [ユーザー アカウントを変換しない] チェック ボックスをオンにします。If you're only making a temporary switch to password hash synchronization, then select the Do not convert user accounts check box. このオプションをオンにしないと、各ユーザーがフェデレーション ディレクトリに変換されることになり、数時間かかることがあります。Not checking the option will convert each user to federated, and it can take several hours.

次のステップNext steps