フェデレーションの実装と管理
フェデレーションでは、Windows Server 2012 R2 (以降) の新規または既存のオンプレミスの Active Directory ファームを使用でき、Microsoft Entra Connect では、ユーザーはオンプレミスのパスワードを使って Microsoft Entra リソースにログインできます。
フェデレーションとは、信頼が確立されたドメインのコレクションのことです。 信頼のレベルはさまざまですが、通常は認証を含み、ほとんどの場合、認可を含みます。 標準的なフェデレーションには、一連のリソースへの共有アクセスのために信頼が確立された多くの組織が含まれる場合があります。
オンプレミス環境と Microsoft Entra ID とのフェデレーションを行い、認証と承認のためにこのフェデレーションを使用することができます。 このサインイン方法では、すべてのユーザー認証が確実にオンプレミスで行われます。 この方法では、管理者はより厳しいレベルのアクセス制御を実装することができます。 AD FS および PingFederate とのフェデレーションを使用できます。
フェデレーション サインインでは、ユーザーはオンプレミスのパスワードを使用して Microsoft Entra ベースのサービスにサインインできます。 企業ネットワーク上にいる時には、パスワードを入力する必要すらありません。 AD FS によるフェデレーション オプションを使用すれば、Windows Server 2012 R2 以降の AD FS を使用した新規または既存のファームをデプロイできます。 既存のファームを指定する場合は、Microsoft Entra Connect によってファームと Microsoft Entra ID との間に信頼が構成され、それにより、ユーザーがサインインできるようになります。
AD FS と Microsoft Entra Connect とのフェデレーションをデプロイするための要件
AD FS ファームにデプロイするには、次が必要です。
- フェデレーション サーバー上のローカル管理者の資格情報。
- Web アプリケーション プロキシ ロールをデプロイするワークグループ サーバー (ドメイン不参加) 上の、ローカル管理者の資格情報。
- ウィザードを実行するコンピューター。これにより、Windows リモート管理を使用して、AD FS または Web アプリケーション プロキシをインストールする他のコンピューターに接続できるようになります。
Microsoft Entra Connect を使用して AD FS ファームに接続するフェデレーションを設定する
AD FS サーバーを指定する: AD FS をインストールするサーバーを指定します。 容量ニーズに基づいて 1 つまたは複数のサーバーを追加することができます。 この構成を設定する前に、すべての AD FS サーバーを Active Directory に参加させてください。 Web アプリケーション プロキシ サーバーでは、この手順は必要ありません。 テスト デプロイとパイロット デプロイ用に単一の AD FS サーバーをインストールすることをお勧めします。 初期構成の後、Microsoft Entra Connect をもう一度実行することで、スケーリングのニーズを満たすようにサーバーをさらに追加してデプロイできます。
Web アプリケーション プロキシ サーバーを指定する: Web アプリケーション プロキシ サーバーを指定します。 Web アプリケーション プロキシ サーバーは、エクストラネットに接続している境界ネットワークにデプロイされます。 エクストラネットからの認証要求をサポートします。 容量ニーズに基づいて 1 つまたは複数のサーバーを追加することができます。 初期構成の後、Microsoft Entra Connect をもう一度実行することで、スケーリングのニーズを満たすようにサーバーをさらに追加してデプロイできます。
AD FS サービスのサービス アカウントをする: AD FS サービスでは、ユーザーを認証し、Active Directory でユーザー情報を調べるためのドメイン サービス アカウントが必要です。 次の 2 種類のサービス アカウントがサポートされます。
- グループの管理されたサービス アカウント
- ドメイン ユーザー アカウント
フェデレーションする Microsoft Entra ドメインを選択する [Microsoft Entra ドメイン] ページを使用して、AD FS と Microsoft Entra ID 間のフェデレーション関係を設定します。 ここでは、Microsoft Entra ID にセキュリティ トークンを提供するように AD FS を構成します。 また、この AD FS インスタンスからのトークンを信頼するように Microsoft Entra ID を構成します。 このページでは、初期インストールで 1 つのドメインしか構成できません。 後で Microsoft Entra Connect をもう一度実行することで、さらにドメインを構成できます。
フェデレーションを管理するための Microsoft Entra Connect ツール
Microsoft Entra Connect では、Microsoft Entra Connect ウィザードを使用することで、ユーザーの介入を最小限に抑えてさまざまな AD FS 関連のタスクを完了できます。 ウィザードを実行して Microsoft Entra Connect のインストールを完了した後でも、もう一度ウィザードを実行して他のタスクを行うことができます。 たとえば、ウィザードを使用して、Microsoft 365 との信頼の修復、代替サインイン ID を使った Microsoft Entra ID とのフェデレーション、AD FS Web アプリケーション プロキシ (WAP) サーバーの追加を行うことができます。
信頼を修復する Microsoft Entra Connect を使用して、AD FS と Microsoft Entra ID の信頼の現在の正常性を確認し、信頼を修復するための適切なアクションを実行できます。
AlternateID を使用して Microsoft Entra ID とフェデレーションする オンプレミスのユーザー プリンシパル名 (UPN) とクラウドのユーザー プリンシパル名は同じにしておくことをお勧めします。 オンプレミスの UPN がルーティング不可能なドメイン (Contoso.local など) を使用している場合、またはローカル アプリケーションの依存関係のために変更できない場合は、代替サインイン ID を設定することをお勧めします。 代替サインイン ID を使うと、ユーザーがメールなどの UPN 以外の属性でサインイン可能になるサインイン エクスペリエンスを構成できます。 Microsoft Entra ID Connect でユーザー プリンシパル名として選択した名前が、Active Directory の userPrincipalName 属性の既定値となります。 他の属性をユーザー プリンシパル名として選び、AD FS を使ってフェデレーションを行う場合、Microsoft Entra Connect は、AD FS を代替サインイン ID 用に構成します。
フェデレーション ドメインを追加する Microsoft Entra Connect を使用することで、Microsoft Entra ID でフェデレーションするドメインを簡単に追加できます。 Microsoft Entra Connect によりフェデレーション用のドメインが追加され、Microsoft Entra ID とのフェデレーションを設定したドメインが複数ある場合に発行者を正しく反映するように要求規則が変更されます。
「AD FS サーバーの追加」と「AD FS Web アプリケーション プロキシ サーバーの追加」と併せて実行します。
デバイスの書き戻し
ADFS で保護されたデバイスでデバイスベースの条件付きアクセスを有効にするために、デバイスの書き戻しが使用されます。 この条件付きアクセスにより、セキュリティが強化され、アプリケーションへのアクセスが、信頼されたデバイスに対してのみ許可されることが保証されます。 デバイスの書き戻しでは、Azure に登録されているすべてのデバイスをオンプレミスの Active Directory に同期し直すことによって、このようなセキュリティが可能になります。 セットアップ中に構成すると、AD フォレストを準備するために次の操作が実行されます。
- CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] の下にコンテナーとオブジェクトが存在しない場合は、新しく作成して構成します。
- CN=RegisteredDevices,[domain-dn] の下にコンテナーとオブジェクトが存在しない場合は、新しく作成して構成します。 このコンテナーにデバイス オブジェクトが作成されます。
- Active Directory でデバイスを管理するために必要なアクセス許可を、Microsoft Entra コネクタ アカウントに設定します。