Azure Active Directory ハイブリッド ID ソリューションの適切な認証方法を選択するChoose the right authentication method for your Azure Active Directory hybrid identity solution

正しい認証方法の選択は、クラウドにアプリを移行しようとしている組織にとって最大の関心事です。Choosing the correct authentication method is the first concern for organizations wanting to move their apps to the cloud. 次の理由により、この決定を軽く考えてはなりません。Don't take this decision lightly, for the following reasons:

  1. クラウドに移行する必要がある組織が最初に決定することです。It's the first decision for an organization that wants to move to the cloud.

  2. 認証方法は、クラウドにおける組織のプレゼンスの重要なコンポーネントです。The authentication method is a critical component of an organization’s presence in the cloud. これによって、クラウドのすべてのデータとリソースへのアクセスが制御されます。It controls access to all cloud data and resources.

  3. これは、Azure AD での他の高度なセキュリティやユーザー エクスペリエンス機能すべての基盤となります。It's the foundation of all the other advanced security and user experience features in Azure AD.

  4. 認証方法を実装した後に変更するのは困難です。The authentication method is difficult to change after it's implemented.

ID は IT セキュリティの新しいコントロール プレーンです。Identity is the new control plane of IT security. したがって、認証は、新しいクラウド環境に対する組織のアクセスの保護です。So authentication is an organization’s access guard to the new cloud world. 組織には、セキュリティを強化し、クラウド アプリを侵入者から保護する ID コントロール プレーンが必要です。Organizations need an identity control plane that strengthens their security and keeps their cloud apps safe from intruders.

対象範囲外Out of scope

オンプレミスに既存のディレクトリ フットプリントを持たない組織は、この記事の対象範囲外です。Organizations that don't have an existing on-premises directory footprint aren't the focus of this article. 通常、このような組織は企業はクラウド内にのみ ID を作成し、ハイブリッド ID ソリューションを必要としません。Typically, those businesses create identities only in the cloud, which doesn’t require a hybrid identity solution. クラウド専用の ID はクラウドにのみ存在し、対応するオンプレミスの ID とは関連付けられません。Cloud-only identities exist solely in the cloud and aren't associated with corresponding on-premises identities.

認証方法Authentication methods

新しいコントロール プレーンとして Azure AD ハイブリッド ID ソリューションを採用する場合、認証がクラウド アクセスの基盤です。When the Azure AD hybrid identity solution is your new control plane, authentication is the foundation of cloud access. 正しい認証方法の選択は、Azure AD ハイブリッド ID ソリューションのセットアップにおける最初の重要な決定です。Choosing the correct authentication method is a crucial first decision in setting up an Azure AD hybrid identity solution. Azure AD Connect (クラウドでのユーザーのプロビジョニングも行います) を使用することで構成される認証方法を実装します。Implement the authentication method that is configured by using Azure AD Connect, which also provisions users in the cloud.

認証方法を選ぶには、時間、既存のインフラストラクチャ、複雑さ、および選んだ方法の実装にかかるコストを考慮する必要があります。To choose an authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. これらの要因は組織ごとに異なり、時間の経過とともに変化する場合があります。These factors are different for every organization and might change over time.

Azure AD は、ハイブリッド ID ソリューションに対して次の認証方法をサポートします。Azure AD supports the following authentication methods for hybrid identity solutions.

クラウド認証Cloud authentication

この認証方法を選ぶと、Azure AD がユーザーのサインイン プロセスを処理します。When you choose this authentication method, Azure AD handles users' sign-in process. シームレスなシングル サインオン (SSO) と組み合わせることで、ユーザーは資格情報を再入力しなくてもクラウド アプリにサインインできます。Coupled with seamless single sign-on (SSO), users can sign in to cloud apps without having to reenter their credentials. クラウド認証では、2 つのオプションから選ぶことができます。With cloud authentication, you can choose from two options:

Azure AD のパスワード ハッシュ同期Azure AD password hash synchronization. Azure AD でオンプレミスのディレクトリ オブジェクトの認証を有効にする最も簡単な方法です。The simplest way to enable authentication for on-premises directory objects in Azure AD. ユーザーはオンプレミスで使用しているものと同じユーザー名とパスワードを使用でき、追加のインフラストラクチャを展開する必要はありません。Users can use the same username and password that they use on-premises without having to deploy any additional infrastructure. Identity Protection およびAzure AD Domain Servicesなど、Azure AD の一部のプレミアム機能には、認証方法の選択に関係なく、パスワード ハッシュ同期が必要です。Some premium features of Azure AD, like Identity Protection and Azure AD Domain Services, require password hash synchronization, no matter which authentication method you choose.

注意

パスワードがクリア テキストで保存されたり、Azure AD の復元可能なアルゴリズムで暗号化されたりすることはありません。Passwords are never stored in clear text or encrypted with a reversible algorithm in Azure AD. パスワード ハッシュ同期の実際のプロセスについて詳しくは、「Azure AD Connect 同期を使用したパスワード ハッシュ同期の実装」をご覧ください。For more information on the actual process of password hash synchronization, see Implement password hash synchronization with Azure AD Connect sync.

Azure AD パススルー認証Azure AD Pass-through Authentication. 1 つ以上のオンプレミス サーバーで実行されているソフトウェア エージェントを使用して、Azure AD 認証サービスに簡単なパスワード検証を提供します。Provides a simple password validation for Azure AD authentication services by using a software agent that runs on one or more on-premises servers. オンプレミスの Active Directory を使用してサーバーで直接ユーザーが検証され、クラウドでパスワードの検証が行われることはありません。The servers validate the users directly with your on-premises Active Directory, which ensures that the password validation doesn't happen in the cloud.

オンプレミスのユーザー アカウントの状態、パスワード ポリシー、およびサインイン時間をすぐに適用するセキュリティ要件のある企業は、この認証方法を使用します。Companies with a security requirement to immediately enforce on-premises user account states, password policies, and sign-in hours might use this authentication method. パススルー認証の実際のプロセスについて詳しくは、「Azure Active Directory パススルー認証によるユーザー サインイン」をご覧ください。For more information on the actual pass-through authentication process, see User sign-in with Azure AD pass-through authentication.

フェデレーション認証Federated authentication

この認証方法を選ぶと、Azure AD は別の信頼された認証システム (オンプレミスの Active Directory フェデレーション サービス (AD FS) など) に、ユーザーのパスワードを検証する認証プロセスを引き継ぎます。When you choose this authentication method, Azure AD hands off the authentication process to a separate trusted authentication system, such as on-premises Active Directory Federation Services (AD FS), to validate the user’s password.

認証システムでは、追加の高度な認証要件を指定できます。The authentication system can provide additional advanced authentication requirements. たとえば、スマートカード ベースの認証やサードパーティの多要素認証です。Examples are smartcard-based authentication or third-party multifactor authentication. 詳しくは、「Azure での Active Directory フェデレーション サービスのデプロイ」をご覧ください。For more information, see Deploying Active Directory Federation Services.

次のセクションは、デシジョン ツリーを使用することで組織に適した認証方法を決定するのに役立ちます。The following section helps you decide which authentication method is right for you by using a decision tree. Azure AD ハイブリッド ID ソリューションにクラウド認証とフェデレーション認証のどちらを展開すればよいかを判断できます。It helps you determine whether to deploy cloud or federated authentication for your Azure AD hybrid identity solution.

デシジョン ツリーDecision tree

Azure AD での認証のデシジョン ツリー

デシジョン ツリーに関する詳細情報:Details on decision questions:

  1. Azure AD は、パスワードを検証するためのオンプレミス コンポーネントに依存せずにユーザーのサインインを処理できます。Azure AD can handle sign-in for users without relying on on-premises components to verify passwords.
  2. Azure AD は、Microsoft の AD FS などの信頼された認証プロバイダーにユーザーのサインイン情報を渡すことができます。Azure AD can hand off user sign-in to a trusted authentication provider such as Microsoft’s AD FS.
  3. ユーザー レベルの Active Directory のセキュリティ ポリシー (アカウントの期限切れ、無効なアカウント、パスワードの期限切れ、アカウントのロックアウト、ユーザーのサインインごとのサインイン時間など) を適用する必要がある場合、Azure AD では一部のオンプレミス コンポーネントが必要です。If you need to apply, user-level Active Directory security policies such as account expired, disabled account, password expired, account locked out, and sign-in hours on each user sign-in, Azure AD requires some on-premises components.
  4. Azure AD によってネイティブでサポートされてないサインイン機能:Sign-in features not natively supported by Azure AD:
    • スマート カードまたは証明書を使用したサインイン。Sign-in using smartcards or certificates.
    • オンプレミスの MFA サーバーを使用したサインイン。Sign-in using on-premises MFA Server.
    • サード パーティの認証ソリューションを使用したサインイン。Sign-in using third party authentication solution.
    • 複数サイトのオンプレミス認証ソリューション。Multi-site on-premises authentication solution.
  5. Azure AD Identity Protection では、「資格情報が漏洩したユーザー」レポートを提供するために、選択されたサインイン方法には関係なくパスワード ハッシュの同期が必要です。Azure AD Identity Protection requires Password Hash Sync regardless of which sign-in method you choose, to provide the Users with leaked credentials report. 組織は主要なサインイン方法が失敗した場合、パスワード ハッシュ同期が失敗イベントの前に構成されていれば、パスワード ハッシュ同期にフェールオーバーできます。Organizations can fail over to Password Hash Sync if their primary sign-in method fails and it was configured before the failure event.

注意

Azure AD Identity Protection には、Azure AD Premium P2 ライセンスが必要です。Azure AD Identity Protection require Azure AD Premium P2 licenses.

詳細な考慮事項Detailed considerations

クラウド認証: パスワード ハッシュの同期Cloud authentication: Password hash synchronization

  • 作業量Effort. パスワード ハッシュ同期は、展開、メンテナンス、インフラストラクチャに関して最小の作業量を必要とします。Password hash synchronization requires the least effort regarding deployment, maintenance, and infrastructure. ユーザーに必要なことが、Office 365、SaaS アプリ、およびその他の Azure AD ベースのリソースへのサインインのみである組織に対しては、典型的にこのレベルの作業量が適用されます。This level of effort typically applies to organizations that only need their users to sign in to Office 365, SaaS apps, and other Azure AD-based resources. パスワード ハッシュ同期をオンにすると、Azure AD Connect 同期プロセスの一部となって 2 分ごとに実行されます。When turned on, password hash synchronization is part of the Azure AD Connect sync process and runs every two minutes.

  • ユーザー エクスペリエンスUser experience. ユーザーのサインイン エクスペリエンスを向上させるには、パスワード ハッシュ同期と共にシームレス SSO を展開します。To improve users' sign-in experience, deploy seamless SSO with password hash synchronization. シームレス SSO によって、ユーザーのサインイン時に不要なプロンプトが表示されないようになります。Seamless SSO eliminates unnecessary prompts when users are signed in.

  • 高度なシナリオAdvanced scenarios. 組織は、Azure AD Premium P2 で Azure AD Identity Protection のレポートを使用して ID からの分析情報を使用することを選択できます。If organizations choose to, it's possible to use insights from identities with Azure AD Identity Protection reports with Azure AD Premium P2. その 1 つの例が漏洩した資格情報レポートです。An example is the leaked credentials report. Windows Hello for Business には、パスワード ハッシュ同期を使用するときの特定の要件があります。Windows Hello for Business has specific requirements when you use password hash synchronization. Azure AD Domain Services では、ユーザーが会社の資格情報を使用してマネージド ドメインでプロビジョニングできるよう、パスワードのハッシュ同期が必要です。Azure AD Domain Services requires password hash synchronization to provision users with their corporate credentials in the managed domain.

    パスワード ハッシュ同期を使用する多要素認証が必要な組織は、Azure AD の多要素認証または条件付きアクセス カスタム コントロールを使用する必要があります。Organizations that require multifactor authentication with password hash synchronization must use Azure AD multifactor authentication or Conditional Access custom controls. これらの組織は、フェデレーションに依存する、サード パーティ製またはオンプレミスの多要素認証方法を使用できません。Those organizations can't use third-party or on-premises multifactor authentication methods that rely on federation.

注意

Azure AD の条件付きアクセスでは Azure AD Premium P1 ライセンスが必要です。Azure AD Conditional Access require Azure AD Premium P1 licenses.

  • ビジネス継続性Business continuity. クラウド認証と共にパスワード ハッシュ同期を使用することは、すべての Microsoft データセンターに対応するようにスケーリングするクラウド サービスとして、高い可用性を実現します。Using password hash synchronization with cloud authentication is highly available as a cloud service that scales to all Microsoft datacenters. パスワード ハッシュ同期が長期間ダウンしないようにするには、2 つめ Azure AD Connect サーバーを、スタンバイ構成のステージング モードで展開します。To make sure password hash synchronization does not go down for extended periods, deploy a second Azure AD Connect server in staging mode in a standby configuration.

  • 考慮事項Considerations. 現在、パスワード ハッシュ同期では、オンプレミスのアカウントの状態の変化はすぐには適用されません。Currently, password hash synchronization doesn't immediately enforce changes in on-premises account states. このような状況では、ユーザーは、Azure AD にユーザー アカウントの状態が同期されるまで、クラウド アプリにアクセスできます。In this situation, a user has access to cloud apps until the user account state is synchronized to Azure AD. 組織がこのような制限を回避する方法の 1 つは、管理者がオンプレミスのユーザー アカウントの状態を一括更新した後に、新しい同期サイクルを実行することです。Organizations might want to overcome this limitation by running a new synchronization cycle after administrators do bulk updates to on-premises user account states. たとえば、アカウントを無効にします。An example is disabling accounts.

注意

現在、パスワードの期限切れとアカウントのロックアウトの状態は、Azure AD と Azure AD Connect では同期されません。The password expired and account locked-out states aren't currently synced to Azure AD with Azure AD Connect. ユーザーのパスワードを変更し、 [ユーザーは次回ログオン時にパスワードの変更が必要] フラグを設定した場合、ユーザーが自分のパスワードを変更するまで Azure AD と Azure AD Connect ではパスワード ハッシュは同期されません。When you change a user's password and set the user must change password at next logon flag, the password hash will not be synced to Azure AD with Azure AD Connect, until the user change their password.

展開手順については、パスワード ハッシュ同期の実装に関する記事をご覧ください。Refer to implementing password hash synchronization for deployment steps.

クラウド認証: パススルー認証Cloud authentication: Pass-through Authentication

  • 作業量Effort. パススルー認証の場合、既存のサーバーに、1 つまたは複数 (推奨は 3 つ) の軽量のエージェントをインストールする必要があります。For pass-through authentication, you need one or more (we recommend three) lightweight agents installed on existing servers. これらのエージェントは、オンプレミスの AD ドメイン コントローラーなど、オンプレミスの Active Directory Domain Services にアクセスできる必要があります。These agents must have access to your on-premises Active Directory Domain Services, including your on-premises AD domain controllers. これらは、インターネットへの発信アクセスと、ドメイン コントローラーへのアクセスが必要です。They need outbound access to the Internet and access to your domain controllers. このため、境界ネットワーク内にエージェントを展開することはできません。For this reason, it's not supported to deploy the agents in a perimeter network.

    パススルー認証には、ドメイン コントローラーへの制約なしのネットワーク アクセスが必要です。Pass-through Authentication requires unconstrained network access to domain controllers. すべてのネットワーク トラフィックは暗号化され、認証要求に制限されます。All network traffic is encrypted and limited to authentication requests. このプロセスの詳細については、パススルー認証でのセキュリティの詳細に関する記事をご覧ください。For more information on this process, see the security deep dive on pass-through authentication.

  • ユーザー エクスペリエンスUser experience. ユーザーのサインイン エクスペリエンスを向上させるには、パススルー認証と共にシームレス SSO を展開します。To improve users' sign-in experience, deploy seamless SSO with Pass-through Authentication. シームレス SSO によって、ユーザーのサインイン後に不要なプロンプトが表示されないようになります。Seamless SSO eliminates unnecessary prompts after users sign in.

  • 高度なシナリオAdvanced scenarios. パススルー認証では、サインインの時点でオンプレミスのアカウント ポリシーが適用されます。Pass-through Authentication enforces the on-premises account policy at the time of sign-in. たとえば、オンプレミスのユーザーのアカウントの状態が、無効、ロックアウト、パスワード期限切れ、またはユーザーに許可されているサインイン時間の超過の場合、アクセスは拒否されます。For example, access is denied when an on-premises user’s account state is disabled, locked out, or password expired or falls outside the hours when the user is allowed to sign in.

    パススルー認証を使用する多要素認証が必要な組織は、Azure Multi-Factor Authentication (MFA) または条件付きアクセス カスタム コントロールを使用する必要があります。Organizations that require multifactor authentication with pass-through authentication must use Azure Multi-Factor Authentication (MFA) or Conditional Access custom controls. これらの組織は、フェデレーションに依存する、サード パーティ製またはオンプレミスの多要素認証方法を使用できません。Those organizations can't use a third-party or on-premises multifactor authentication method that relies on federation. 高度な機能では、パススルー認証を選択するかどうかにかかわらず、パスワード ハッシュ同期が必要になります。Advanced features require that password hash synchronization is deployed whether or not you choose pass-through authentication. たとえば、Identity Protection の漏洩した資格情報のレポートです。An example is the leaked credentials report of Identity Protection.

  • ビジネス継続性Business continuity. 2 つの追加パススルー認証エージェントを展開することをお勧めします。We recommend that you deploy two extra pass-through authentication agents. Azure AD Connect サーバー上の最初のエージェントに加えて、これらを追加します。These extras are in addition to the first agent on the Azure AD Connect server. この追加の展開によって、認証要求の高可用性が保証されます。This additional deployment ensures high availability of authentication requests. 3 つのエージェントを展開すると、メンテナンスのために 1 つのエージェントを停止しても、まだ 1 つのエージェントの障害に対応できます。When you have three agents deployed, one agent can still fail when another agent is down for maintenance.

    パススルー認証だけでなくパスワード ハッシュ同期も展開することの利点は、もう 1 つあります。There's another benefit to deploying password hash synchronization in addition to pass-through authentication. それは、プライマリ認証方法を利用できなくなった場合に、バックアップの認証方法として機能することです。It acts as a backup authentication method when the primary authentication method is no longer available.

  • 考慮事項Considerations. エージェントがオンプレミスで発生した重大な障害によってユーザーの資格情報を検証できない場合は、パススルー認証のバックアップの認証方法としてパスワード ハッシュ同期を使用できます。You can use password hash synchronization as a backup authentication method for pass-through authentication, when the agents can't validate a user's credentials due to a significant on-premises failure. パスワードハッシュ同期へのフェールオーバーは自動的には行われないため、Azure AD Connect を使用してサインイン方法を手動で切り替える必要があります。Fail over to password hash synchronization doesn't happen automatically and you must use Azure AD Connect to switch the sign-on method manually.

    代替 ID のサポートなど、パススルー認証におけるその他の考慮事項については、よく寄せられる質問をご覧ください。For other considerations on Pass-through Authentication, including Alternate ID support, see frequently asked questions.

展開手順については、パススルー認証の実装に関する記事をご覧ください。Refer to implementing pass-through authentication for deployment steps.

フェデレーション認証Federated authentication

  • 作業量Effort. フェデレーション認証システムでは、信頼できる外部システムを利用してユーザーを認証します。A federated authentication system relies on an external trusted system to authenticate users. フェデレーション システムへの既存の投資を Azure AD ハイブリッド ID ソリューションで再利用したい会社もあります。Some companies want to reuse their existing federated system investment with their Azure AD hybrid identity solution. フェデレーション システムの管理とメンテナンスは、Azure AD のコントロールの範囲外です。The maintenance and management of the federated system falls outside the control of Azure AD. フェデレーション システムが安全に展開されていて、認証の負荷を処理できるかどうかを確認するのは、フェデレーション システムを使用している組織の責任です。It's up to the organization by using the federated system to make sure it's deployed securely and can handle the authentication load.

  • ユーザー エクスペリエンスUser experience. フェデレーション認証のユーザー エクスペリエンスは、機能、トポロジ、およびフェデレーション ファーム構成の実装に依存します。The user experience of federated authentication depends on the implementation of the features, topology, and configuration of the federation farm. 組織によっては、セキュリティ要件に合わせてフェデレーション ファームへのアクセスを調整したり構成したりするために、この柔軟性が必要になります。Some organizations need this flexibility to adapt and configure the access to the federation farm to suit their security requirements. たとえば、内部的に接続されているユーザーとデバイスを構成して、資格情報の入力を要求することなく、自動的にユーザーをサインインさせることができます。For example, it's possible to configure internally connected users and devices to sign in users automatically, without prompting them for credentials. この構成が機能するのは、ユーザーが既にデバイスにサインインしているためです。This configuration works because they already signed in to their devices. 必要な場合は、高度なセキュリティ機能を利用してユーザーのサインイン プロセスをさらに困難にすることもできます。If necessary, some advanced security features make users' sign-in process more difficult.

  • 高度なシナリオAdvanced scenarios. 通常、フェデレーション認証ソリューションが必要になるのは、Azure AD によってネイティブにサポートされていない認証要件がある場合です。A federated authentication solution is usually required when customers have an authentication requirement that Azure AD doesn't support natively. 適切なサインイン オプションを選択するのに役立つ詳しい情報をご覧ください。See detailed information to help you choose the right sign-in option. 次の一般的な要件で考えてみましょう。Consider the following common requirements:

    • スマートカードまたは証明書を必要とする認証。Authentication that requires smartcards or certificates.
    • フェデレーション ID プロバイダーを必要とするオンプレミスの MFA サーバーまたはサード パーティの多要素プロバイダー。On-premises MFA servers or third-party multifactor providers requiring a federated identity provider.
    • サード パーティの認証ソリューションを使用する認証。Authentication by using third-party authentication solutions. Azure AD のフェデレーション互換性リスト」をご覧ください。See the Azure AD federation compatibility list.
    • ユーザー プリンシパル名 (UPN) (例: user@domain.com) ではなく、sAMAccountName (例: DOMAIN\username) を必要とするサインイン。Sign in that requires an sAMAccountName, for example, DOMAIN\username, instead of a User Principal Name (UPN), for example, user@domain.com.
  • ビジネス継続性Business continuity. フェデレーション システムでは、通常、負荷分散されたサーバーのアレイ (ファームとも呼ばれます) が必要になります。Federated systems typically require a load-balanced array of servers, known as a farm. このファームは、認証要求の高可用性を保証するために、内部ネットワークおよび境界ネットワークのトポロジに構成されます。This farm is configured in an internal network and perimeter network topology to ensure high availability for authentication requests.

    プライマリ認証方法を使用できないときのために、フェデレーション認証と共に、パスワード ハッシュ同期をバックアップ認証方法として展開します。Deploy password hash synchronization along with federated authentication as a backup authentication method when the primary authentication method is no longer available. たとえば、オンプレミスのサーバーが利用できない場合です。An example is when the on-premises servers aren't available. 大規模なエンタープライズ組織では、認証要求の待機時間を短くするため、geo-DNS で構成された複数のインターネット イングレス ポイントをフェデレーション ソリューションでサポートすることが必要になる場合があります。Some large enterprise organizations require a federation solution to support multiple Internet ingress points configured with geo-DNS for low-latency authentication requests.

  • 考慮事項Considerations. フェデレーション システムでは通常、オンプレミスのインフラストラクチャへのより大きな投資が必要です。Federated systems typically require a more significant investment in on-premises infrastructure. オンプレミスのフェデレーションに既に投資している組織のほとんどは、このオプションを選択します。Most organizations choose this option if they already have an on-premises federation investment. または、ビジネス上の理由から、単一の ID プロバイダーを使用することがどうしても必要な場合です。And if it's a strong business requirement to use a single-identity provider. 運用とトラブルシューティングは、クラウド認証ソリューションよりフェデレーション認証の方が複雑です。Federation is more complex to operate and troubleshoot compared to cloud authentication solutions.

Azure AD では検証できないルーティング不可能なドメインの場合、ユーザー ID によるサインインを実装するには追加の構成が必要になります。For a nonroutable domain that can't be verified in Azure AD, you need extra configuration to implement user ID sign in. この要件は、代替ログイン ID のサポートと呼ばれます。This requirement is known as Alternate login ID support. 制限事項と要件については、「Configuring Alternate Login ID」(代替ログイン ID の構成) をご覧ください。See Configuring Alternate Login ID for limitations and requirements. フェデレーションを使用したサード パーティの多要素認証プロバイダーを使用する場合は、デバイスが Azure AD に接続できるよう、プロバイダーが WS-Trust をサポートしていることを確認してください。If you choose to use a third-party multi-factor authentication provider with federation, ensure the provider supports WS-Trust to allow devices to join Azure AD.

展開手順については、「Deploying Federation Servers」(フェデレーション サーバーの展開) をご覧ください。Refer to Deploying Federation Servers for deployment steps.

注意

Azure AD ハイブリッド ID ソリューションを展開するときは、Azure AD Connect のサポートされているトポロジの 1 つを実装する必要があります。When you deploy your Azure AD hybrid identity solution, you must implement one of the supported topologies of Azure AD Connect. サポートされている構成とサポートされていない構成について詳しくは、「Azure AD Connect のトポロジ」をご覧ください。Learn more about supported and unsupported configurations at Topologies for Azure AD Connect.

アーキテクチャの図Architecture diagrams

以下の図では、Azure AD ハイブリッド ID ソリューションで使用できる各認証方法に必要な、アーキテクチャ コンポーネントの概要を示します。The following diagrams outline the high-level architecture components required for each authentication method you can use with your Azure AD hybrid identity solution. これにより、ソリューション間の相違点を比較することができます。They provide an overview to help you compare the differences between the solutions.

  • パスワード ハッシュ同期ソリューションのシンプルさ:Simplicity of a password hash synchronization solution:

    パスワード ハッシュ同期を使用する Azure AD ハイブリッド ID

  • 冗長性のために 2 つのエージェントを使用する、パススルー認証のエージェントの要件:Agent requirements of pass-through authentication, using two agents for redundancy:

    パススルー認証を使用する Azure AD ハイブリッド ID

  • 組織の境界ネットワークと内部ネットワークでのフェデレーションに必要なコンポーネントの概要:Components required for federation in your perimeter and internal network of your organization:

    フェデレーション認証を使用する Azure AD ハイブリッド ID

方法の比較Comparing methods

考慮事項Consideration パスワード ハッシュ同期 + シームレス SSOPassword hash synchronization + Seamless SSO パススルー認証 + シームレス SSOPass-through Authentication + Seamless SSO AD FS とのフェデレーションFederation with AD FS
認証が行われる場所Where does authentication happen? クラウド内In the cloud クラウド内で、オンプレミスの認証エージェントとのセキュリティで保護されたパスワード検証の交換後In the cloud after a secure password verification exchange with the on-premises authentication agent オンプレミスOn-premises
プロビジョニング システム以外のオンプレミスのサーバーの要件: Azure AD ConnectWhat are the on-premises server requirements beyond the provisioning system: Azure AD Connect? なしNone 追加の認証エージェントごとに 1 つのサーバーOne server for each additional authentication agent 2 つ以上の AD FS サーバーTwo or more AD FS servers

境界/DMZ ネットワークに 2 つ以上の WAP サーバーTwo or more WAP servers in the perimeter/DMZ network
プロビジョニング システム以外のオンプレミスのインターネットおよびネットワークの要件What are the requirements for on-premises Internet and networking beyond the provisioning system? なしNone 認証エージェントを実行しているサーバーからの発信インターネット アクセスOutbound Internet access from the servers running authentication agents 境界の WAP サーバーへの着信インターネット アクセスInbound Internet access to WAP servers in the perimeter

境界の WAP サーバーから AD FS サーバーへの着信ネットワーク アクセスInbound network access to AD FS servers from WAP servers in the perimeter

ネットワークの負荷分散Network load balancing
SSL 証明書の要件Is there an SSL certificate requirement? いいえNo いいえNo はいYes
正常性の監視ソリューションIs there a health monitoring solution? 必要なしNot required エージェントの状態は Azure Active Directory 管理センターによって提供されるAgent status provided by Azure Active Directory admin center Azure AD Connect HealthAzure AD Connect Health
会社のネットワーク内のドメインに参加しているデバイスからクラウドのリソースへのユーザーのシングル サインオンDo users get single sign-on to cloud resources from domain-joined devices within the company network? シームレス SSO を使用して実行Yes with Seamless SSO シームレス SSO を使用して実行Yes with Seamless SSO はいYes
サポートされているサインインの種類What sign-in types are supported? UserPrincipalName + パスワードUserPrincipalName + password

シームレス SSO を使用した Windows 統合認証Windows-Integrated Authentication by using Seamless SSO

代替ログイン IDAlternate login ID
UserPrincipalName + パスワードUserPrincipalName + password

シームレス SSO を使用した Windows 統合認証Windows-Integrated Authentication by using Seamless SSO

代替ログイン IDAlternate login ID
UserPrincipalName + パスワードUserPrincipalName + password

sAMAccountName + パスワードsAMAccountName + password

Windows 統合認証Windows-Integrated Authentication

証明書とスマート カード認証Certificate and smart card authentication

代替ログイン IDAlternate login ID
Windows Hello for Business のサポートIs Windows Hello for Business supported? キー信頼モデルKey trust model キー信頼モデルKey trust model
Windows Server 2016 ドメインの機能レベルが必要Requires Windows Server 2016 Domain functional level
キー信頼モデルKey trust model

証明書信頼モデルCertificate trust model
多要素認証のオプションWhat are the multifactor authentication options? Azure MFAAzure MFA

条件付きアクセスを使用するカスタム コントロール*Custom Controls with Conditional Access*
Azure MFAAzure MFA

条件付きアクセスを使用するカスタム コントロール*Custom Controls with Conditional Access*
Azure MFAAzure MFA

Azure MFA サーバーAzure MFA server

サード パーティの MFAThird-party MFA

条件付きアクセスを使用するカスタム コントロール*Custom Controls with Conditional Access*
サポートされるユーザー アカウントの状態What user account states are supported? 無効なアカウントDisabled accounts
(最大 30 分の遅延)(up to 30-minute delay)
無効なアカウントDisabled accounts

アカウントのロックアウトAccount locked out

アカウント期限切れAccount expired

パスワード期限切れPassword expired

サインイン時間Sign-in hours
無効なアカウントDisabled accounts

アカウントのロックアウトAccount locked out

アカウント期限切れAccount expired

パスワード期限切れPassword expired

サインイン時間Sign-in hours
条件付きアクセスのオプションWhat are the Conditional Access options? Azure AD の条件付きアクセス、Azure AD Premium を使用Azure AD Conditional Access, with Azure AD Premium Azure AD の条件付きアクセス、Azure AD Premium を使用Azure AD Conditional Access, with Azure AD Premium Azure AD の条件付きアクセス、Azure AD Premium を使用Azure AD Conditional Access, with Azure AD Premium

AD FS の要求規則AD FS claim rules
サポートされる従来のプロトコルのブロックIs blocking legacy protocols supported? はいYes はいYes はいYes
サインイン ページのロゴ、イメージ、説明のカスタマイズ可能性Can you customize the logo, image, and description on the sign-in pages? Azure AD Premium を使用して可能Yes, with Azure AD Premium Azure AD Premium を使用して可能Yes, with Azure AD Premium はいYes
サポートされる高度なシナリオWhat advanced scenarios are supported? Smart Password LockoutSmart password lockout

漏洩した資格情報レポート、Azure AD Premium P2 を使用Leaked credentials reports, with Azure AD Premium P2
Smart Password LockoutSmart password lockout 複数サイトの低待機時間の認証システムMultisite low-latency authentication system

AD FS エクストラネットのロックアウトAD FS extranet lockout

サード パーティの ID システムとの統合Integration with third-party identity systems

注意

Azure AD の条件付きアクセスでのカスタム コントロールは、現時点ではデバイスの登録をサポートしていません。Custom controls in Azure AD Conditional Access does not currently support device registration.

RecommendationsRecommendations

ID システムによって、クラウドに移行して利用できるようにしたクラウド アプリと基幹業務アプリに対するユーザーのアクセスが保証されます。Your identity system ensures your users' access to cloud apps and the line-of-business apps that you migrate and make available in the cloud. 承認されたユーザーの生産性を向上させ、不正なユーザーを組織の機密データから締め出すために、認証によってアプリへのアクセスが制御されます。To keep authorized users productive and bad actors out of your organization’s sensitive data, authentication controls access to apps.

どの認証方法を選択する場合でも、次の理由により、パスワード ハッシュ同期を使用するか有効にします。Use or enable password hash synchronization for whichever authentication method you choose, for the following reasons:

  1. 高可用性とディザスター リカバリーHigh availability and disaster recovery. パススルー認証とフェデレーションは、オンプレミスのインフラストラクチャに依存します。Pass-through Authentication and federation rely on on-premises infrastructure. パススルー認証の場合、オンプレミスのフットプリントには、パススルー認証エージェントに必要なサーバー ハードウェアとネットワークが含まれます。For pass-through authentication, the on-premises footprint includes the server hardware and networking the Pass-through Authentication agents require. フェデレーションの場合、オンプレミスのフットプリントはさらに大きくなります。For federation, the on-premises footprint is even larger. 認証要求と内部フェデレーション サーバーをプロキシするために、境界ネットワーク内にサーバーが必要になるためです。It requires servers in your perimeter network to proxy authentication requests and the internal federation servers.

    単一障害点を回避するには、冗長サーバーを展開します。To avoid single points of failures, deploy redundant servers. これにより、いずれかのコンポーネントで障害が発生しても、認証要求サービスが常に提供されるようにします。Then authentication requests will always be serviced if any component fails. また、パススルー認証とフェデレーションは、認証要求に応答するために、両方ともドメイン コントローラーにも依存しますが、ここでも障害が発生する可能性があります。Both pass-through authentication and federation also rely on domain controllers to respond to authentication requests, which can also fail. これらのコンポーネントの多くは、正常性を保つためにメンテナンスが必要です。Many of these components need maintenance to stay healthy. メンテナンスの計画や実装が適切でない場合は、システムが停止する可能性が高くなります。Outages are more likely when maintenance isn't planned and implemented correctly. Microsoft の Azure AD クラウド認証サービスはグローバルにスケーリングして常に利用できるため、パスワード ハッシュ同期を使うことで停止を回避してください。Avoid outages by using password hash synchronization because the Microsoft Azure AD cloud authentication service scales globally and is always available.

  2. オンプレミスの停止への対応On-premises outage survival. サイバー攻撃や災害によるオンプレミスの停止の影響は、ブランドの評判が損なわれることから、組織が麻痺して攻撃に対処できなくなることまで、大きな範囲に及ぶ可能性があります。The consequences of an on-premises outage due to a cyber-attack or disaster can be substantial, ranging from reputational brand damage to a paralyzed organization unable to deal with the attack. 近年でも、オンプレミスのサーバーがダウンする原因となった特定対象へのランサムウェアなど、多くの組織がマルウェア攻撃の被害を受けました。Recently, many organizations were victims of malware attacks, including targeted ransomware, that caused their on-premises servers to go down. Microsoft は、この種の攻撃への対処を支援するなかで、組織には 2 つのカテゴリがあることに気付きました。When Microsoft helps customers deal with these kinds of attacks, it sees two categories of organizations:

    • 事前にパスワード ハッシュ同期をオンにしていた組織は、パスワード ハッシュ同期を使用するように認証方法を変更しました。Organizations that previously turned on password hash synchronization changed their authentication method to use password hash synchronization. このような組織は、数時間でオンラインに復帰しました。They were back online in a matter of hours. Office 365 を介して電子メールにアクセスすることで、問題解決と他のクラウド ベースのワークロードへのアクセスのために作業することができました。By using access to email via Office 365, they worked to resolve issues and access other cloud-based workloads.

    • 事前にパスワード ハッシュ同期を有効にしていなかった組織は、問題解決のために、信頼されていない外部のコンシューマー向けメール システムを通信に利用するしかありませんでした。Organizations that didn’t previously enable password hash synchronization had to resort to untrusted external consumer email systems for communications to resolve issues. その場合、ユーザーがクラウドベースのアプリに再度サインインできるようになるまでに、オンプレミスの ID インフラストラクチャを復元するのに数週間かかりました。In those cases, it took them weeks to restore their on-premises identity infrastructure, before users were able to sign in to cloud-based apps again.

  3. ID 保護Identity protection. クラウド内のユーザーを保護するための最適な方法の 1 つは、Azure AD Premium P2 を使用した Azure AD Identity Protection です。One of the best ways to protect users in the cloud is Azure AD Identity Protection with Azure AD Premium P2. Microsoft は常にインターネットを精査して、闇サイトで販売され利用されているユーザーやパスワードのリストを入手しています。Microsoft continually scans the Internet for user and password lists that bad actors sell and make available on the dark web. Azure AD はこの情報を使って、組織のユーザー名やパスワードのいずれかが侵害されているかどうかを確認します。Azure AD can use this information to verify if any of the usernames and passwords in your organization are compromised. したがって、使用している認証方法がフェデレーション認証かパススルー認証かに関係なく、パスワード ハッシュ同期を有効にすることが重要になります。So it's critical to enable password hash synchronization no matter what authentication method you use, whether that's federated or pass-through authentication. 漏洩した資格情報は、レポートとして示されます。Leaked credentials are presented as a report. ユーザーが漏洩したパスワードでのサインインを試みた場合、この情報を使用してユーザーをブロックするか、パスワードの変更を強制します。Use this information to block or force users to change their passwords when they try to sign in with leaked passwords.

まとめConclusion

この記事では、組織がクラウド アプリへのアクセスをサポートするために構成して展開できるさまざまな認証オプションの概要を説明しました。This article outlines various authentication options that organizations can configure and deploy to support access to cloud apps. ビジネス、セキュリティ、テクノロジに関するさまざまな要件を満たすため、組織は、パスワード ハッシュ同期、パススルー認証、およびフェデレーション認証のいずれかを選択できます。To meet various business, security, and technical requirements, organizations can choose between password hash synchronization, Pass-through Authentication, and federation.

各認証方法を検討してください。Consider each authentication method. ソリューションを展開するための作業量や、サインイン プロセスでのユーザーのエクスペリエンスは、ビジネス要件に合っているでしょうか。Does the effort to deploy the solution, and the user's experience of the sign-in process, address your business requirements? 各認証方法において、組織が高度なシナリオとビジネス継続性機能を必要とするかどうかを評価してください。Evaluate whether your organization needs the advanced scenarios and business continuity features of each authentication method. 最後に、各認証方法の考慮事項を評価してください。Finally, evaluate the considerations of each authentication method. 選択した方法を実装する妨げになる項目はありませんか。Do any of them prevent you from implementing your choice?

次の手順Next steps

今日の脅威は、常に、あらゆる場所に存在します。In today’s world, threats are present 24 hours a day and come from everywhere. 適切な認証方法を実装することで、セキュリティ リスクが軽減され、ID が保護されます。Implement the correct authentication method, and it will mitigate your security risks and protect your identities.

Azure AD を利用して、組織に適した認証ソリューションを展開してください。Get started with Azure AD and deploy the right authentication solution for your organization.

フェデレーション認証からクラウド認証への移行を検討している場合は、サインイン方法の変更についてさらに学習してください。If you're thinking about migrating from federated to cloud authentication, learn more about changing the sign-in method. 移行の計画と実装の助けになるように、これらのプロジェクトのデプロイ計画を利用するか、段階的な方法でクラウド認証を使用するようにフェデレーション ユーザーを移行する新しい段階的なロールアウトの機能を使用することを検討してください。To help you plan and implement the migration, use these project deployment plans or consider using the new Staged Rollout feature to migrate federated users to using cloud authentication in a staged approach.