代替ログイン ID を構成するConfiguring Alternate Login ID

代替ログイン ID とはWhat is Alternate Login ID?

ほとんどのシナリオでは、ユーザーは自分の UPN (ユーザープリンシパル名) を使用してアカウントにログインします。In most scenarios, users use their UPN (User Principal Names) to login to their accounts. ただし、企業のポリシーやオンプレミスの基幹業務アプリケーションの依存関係が原因で、環境によっては、他の形式のサインインが使用されている場合があります。However, in some environments due to corporate policies or on-premises line-of-business application dependencies, the users may be using some other form of sign-in.

注意

Microsoft の推奨されるベストプラクティスは、UPN をプライマリ SMTP アドレスに一致させることです。Microsoft's recommended best practices are to match UPN to primary SMTP address. この記事では、UPN を修復できないお客様の小さな割合について説明します。This article addresses the small percentage of customers that cannot remediate UPN's to match.

たとえば、サインインには電子メール id を使用し、UPN とは異なる場合があります。For example, they can be using their email-id for sign-in and that can be different from their UPN. これは特に、UPN がルーティング不可能なシナリオで一般的に発生します。This is particularly a common occurrence in scenarios where their UPN is non-routable. UPN jdoe@contoso.localと電子メールアドレスjdoe@contoso.comを持つユーザー Jane Doe を考えてみましょう。Consider a user Jane Doe with UPN jdoe@contoso.local and email address jdoe@contoso.com. サインインにメール id を常に使用しているため、Jane は UPN を認識していない可能性があります。Jane might not be even aware of the UPN as she has always used her email id for signing-in. UPN ではなく他のサインイン方法を使用すると、代替 ID が構成されます。Use of any other sign-in method instead of UPN constitutes alternate ID. UPN の作成方法の詳細については、「UserPrincipalName の作成Azure AD」を参照してください。For more information on how the UPN is created see, Azure AD UserPrincipalName population.

Active Directory フェデレーションサービス (AD FS) (AD FS) を使用すると、AD FS を使用するフェデレーションアプリケーションで代替 ID を使用してサインインできます。Active Directory Federation Services (AD FS) enables federated applications using AD FS to sign-in using alternate ID. これにより、管理者は、サインインに使用する既定の UPN の代わりにを指定できます。This enables administrators to specify an alternative to the default UPN to be used for sign-in. AD FS は、Active Directory Domain Services (AD DS) で受け入れられる任意の形式のユーザー識別子の使用を既にサポートしています。AD FS already supports using any form of user identifier that is accepted by Active Directory Domain Services (AD DS). 代替 ID として構成されている場合、AD FS では、ユーザーは構成された代替 ID 値 (たとえば、電子メール ID) を使用してサインインできます。代替 ID を使用すると、オンプレミスの Upn を変更することなく、Office 365 などの SaaS プロバイダーを採用できます。When configured for alternate ID, AD FS allows users to sign in using the configured alternate ID value, say email-id. Using the alternate ID enables you to adopt SaaS providers, such as Office 365 without modifying your on-premises UPNs. また、コンシューマーがプロビジョニングした id で基幹業務サービスアプリケーションをサポートすることもできます。It also enables you to support line-of-business service applications with consumer-provisioned identities.

Azure AD の代替 idAlternate id in Azure AD

組織は、次のシナリオで代替 ID を使用する必要がある場合があります。An organization may have to use alternate ID in the following scenarios:

  1. オンプレミスのドメイン名は、ルーティング不可能な例です。The on-premises domain name is non-routable, ex. その結果、既定のユーザープリンシパル名はルーティング不可能 (jdoe@contoso.local) になります。Contoso.local and as a result the default user principal name is non-routable (jdoe@contoso.local). ローカルアプリケーションの依存関係または会社のポリシーにより、既存の UPN を変更することはできません。Existing UPN cannot be changed due to local application dependencies or company policies. Azure AD と Office 365 では、Azure AD ディレクトリに関連付けられているすべてのドメインサフィックスが完全にインターネットにルーティング可能である必要があります。Azure AD and Office 365 require all domain suffixes associated with Azure AD directory to be fully internet routable.
  2. オンプレミスの UPN は、ユーザーの電子メールアドレスと同じではなく、Office 365 にサインインするために、組織の制約により、ユーザーが電子メールアドレスと UPN を使用することはできません。The on-premises UPN is not same as the user's email address and to sign-in to Office 365, users use email address and UPN cannot be used due to organizational constraints. 前述のシナリオでは、AD FS による代替 ID を使用すると、ユーザーはオンプレミスの Upn を変更することなく Azure AD にサインインできます。In the above-mentioned scenarios, alternate ID with AD FS enables users to sign-in to Azure AD without modifying your on-premises UPNs.

代替ログイン ID を使用したエンドユーザーエクスペリエンスEnd-User Experience with Alternate Login ID

エンドユーザーエクスペリエンスは、代替ログイン id で使用される認証方法によって異なります。現在、代替ログイン id を使用する方法は3種類あります。The end-user experience varies depending on the authentication method used with alternate login id. Currently there three different ways in which using alternate login id can be achieved. これらは次のとおりです。They are:

  • 標準認証 (レガシ) -基本認証プロトコルを使用します。Regular Authentication (Legacy)- uses the basic authentication protocol.
  • 先進認証-ACTIVE DIRECTORY 認証ライブラリ (ADAL) ベースのサインインをアプリケーションに提供します。Modern Authentication - brings Active Directory Authentication Library (ADAL)-based sign-in to applications. これにより、Multi-Factor Authentication (MFA)、SAML ベースのサードパーティ Id プロバイダー (Office クライアントアプリケーションを含む)、スマートカード、証明書ベースの認証などのサインイン機能が有効になります。This enables sign-in features such as Multi-Factor Authentication (MFA), SAML-based third-party Identity Providers with Office client applications, smart card and certificate-based authentication.
  • ハイブリッド先進認証-先進認証のすべての利点を提供し、クラウドから取得した承認トークンを使用して、オンプレミスのアプリケーションにアクセスする機能をユーザーに提供します。Hybrid Modern Authentication - Provides all of the benefits of Modern Authentication and provides users the ability to access on-premises applications using authorization tokens obtained from the cloud.

注意

最適なエクスペリエンスを実現するために、Microsoft はハイブリッド先進認証を強く推奨しています。For the best possible experience, Microsoft highly recommends Hybrid Modern Authentication.

代替ログオン ID の構成Configure alternate logon ID

Azure AD Connect 使用する場合は、Azure AD 接続を使用して、環境の代替ログオン ID を構成することをお勧めします。Using Azure AD Connect We recommend using Azure AD connect to configure alternate logon ID for your environment.

  • Azure AD Connect の新しい構成については、代替 ID と AD FS ファームを構成する方法の詳細な手順については、「Azure AD への接続」を参照してください。For new configuration of Azure AD Connect, see Connect to Azure AD for detailed instruction on how to configure alternate ID and AD FS farm.
  • 既存の Azure AD Connect インストールについては、「サインイン方法の変更」の手順について「ユーザーのサインイン方法の変更」を参照してください AD FSFor existing Azure AD Connect installations, see Changing the user sign-in method for instructions on changing sign-in method to AD FS

AD FS 環境の詳細を指定 Azure AD Connect と、AD FS に適切な KB があるかどうかが自動的にチェックされ、Azure AD フェデレーションの信頼に必要なすべての要求規則を含む代替 ID の AD FS が構成されます。When Azure AD Connect is provided details about AD FS environment, it automatically checks for the presence of the right KB on your AD FS and configures AD FS for alternate ID including all necessary right claim rules for Azure AD federation trust. ウィザードの外部で代替 ID を構成するために必要な追加の手順はありません。There is no additional step required outside wizard to configure alternate ID.

注意

代替ログオン ID を構成するには Azure AD Connect を使用することをお勧めします。Microsoft recommends using Azure AD Connect to configure alternate logon ID.

代替 ID の手動構成Manually configure alternate ID

代替ログイン ID を構成するには、次のタスクを実行する必要があります。代替ログイン ID を有効にするように AD FS 要求プロバイダー信頼を構成するIn order to configure alternate login ID, you must perform the following tasks: Configure your AD FS claims provider trusts to enable alternate login ID

  1. サーバー2012R2 を使用している場合は、すべての AD FS サーバーに KB2919355 がインストールされていることを確認してください。If you have Server 2012R2, ensure you have KB2919355 installed on all the AD FS servers. Windows Update Services を使用して取得することも、直接ダウンロードすることもできます。You can get it via Windows Update Services or download it directly.

  2. ファーム内のいずれかのフェデレーションサーバーで次の PowerShell コマンドレットを実行して、AD FS 構成を更新します (WID ファームがある場合は、ファーム内のプライマリ AD FS サーバーでこのコマンドを実行する必要があります)。Update the AD FS configuration by running the following PowerShell cmdlet on any of the federation servers in your farm (if you have a WID farm, you must run this command on the primary AD FS server in your farm):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

Alternateloginidは、ログインに使用する属性の LDAP 名です。AlternateLoginID is the LDAP name of the attribute that you want to use for login.

Lookupforestsは、ユーザーが属するフォレスト DNS の一覧です。LookupForests is the list of forest DNS that your users belong to.

代替ログイン ID 機能を有効にするには、-AlternateLoginID と-LookupForests の両方のパラメーターを null 以外の有効な値で構成する必要があります。To enable alternate login ID feature, you must configure both -AlternateLoginID and -LookupForests parameters with a non-null, valid value.

次の例では、contoso.com および fabrikam.com フォレスト内のアカウントを持つユーザーが "mail" 属性を使用して AD FS 対応アプリケーションにログインできるように、代替ログイン ID 機能を有効にしています。In the following example, you are enabling alternate login ID functionality such that your users with accounts in contoso.com and fabrikam.com forests can log in to AD FS-enabled applications with their "mail" attribute.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
  1. この機能を無効にするには、両方のパラメーターの値を null に設定します。To disable this feature, set the value for both parameters to be null.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

代替 ID を使用したハイブリッド先進認証Hybrid Modern Authentication with Alternate-ID

重要

次のは、サードパーティの id プロバイダーではなく AD FS に対してのみテストされています。The following has only been tested against AD FS and not 3rd party identity providers.

Exchange と Skype for BusinessExchange and Skype for Business

Exchange と Skype for Business で代替ログイン id を使用している場合、ユーザーエクスペリエンスは、HMA を使用しているかどうかによって異なります。If you are using alternate login id with Exchange and Skype for Business, the user experience varies depending on whether or not you are using HMA.

注意

エンドユーザーエクスペリエンスを最大限に高めるために、ハイブリッド先進認証を使用することをお勧めします。For the best end-user experience, Microsoft recommends using Hybrid Modern Authentication.

詳細については、「ハイブリッド先進認証の概要」を参照してください。or more information see, Hybrid Modern Authentication Overview

Exchange と Skype for Business の前提条件Pre-requisites for Exchange and Skype for Business

代替 ID で SSO を実現するための前提条件は次のとおりです。The following are pre-requisites for achieving SSO with alternate ID.

  • Exchange Online では、先進認証が有効になっている必要があります。Exchange Online should have Modern Authentication turned ON.
  • Skype for Business (SFB) オンラインでは、先進認証が有効になっている必要があります。Skype for Business (SFB) Online should have Modern Authentication turned ON.
  • オンプレミスの Exchange では、先進認証が有効になっている必要があります。Exchange on-premises should have Modern Authentication turned ON. Exchange 2013 CU19 または Exchange 2016 CU18 および up は、すべての Exchange サーバーで必要です。Exchange 2013 CU19 or Exchange 2016 CU18 and up is required on all Exchange servers. 環境に Exchange 2010 がありません。No Exchange 2010 in the environment.
  • Skype for Business オンプレミスでは、先進認証が有効になっている必要があります。Skype for Business on-premises should have Modern Authentication turned ON.
  • 最新の認証が有効になっている Exchange および Skype クライアントを使用する必要があります。You must use Exchange and Skype clients that have Modern Authentication enabled. すべてのサーバーで SFB Server 2015 CU5 が実行されている必要があります。All servers must be running SFB Server 2015 CU5.
  • 先進認証に対応している Skype for Business クライアントSkype for Business Clients that are Modern Authentication capable
    • iOS、Android、Windows PhoneiOS, Android, Windows Phone
    • SFB 2016 (MA は既定でオンになっていますが、無効になっていないことを確認してください)。SFB 2016 (MA is ON by default, but make sure it has not been disabled.)
    • SFB 2013 (MA は既定でオフになっているため、MA がオンになっていることを確認してください)。SFB 2013 (MA is OFF by default, so ensure MA has been turned ON.)
    • SFB Mac デスクトップSFB Mac desktop
  • 最新の認証に対応していて AltID regkeys をサポートしている Exchange クライアントExchange Clients that are Modern Authentication capable and support AltID regkeys
    • Office Pro Plus 2016 のみOffice Pro Plus 2016 only

サポートされている Office のバージョンSupported Office version

代替 id を使用して代替 id で SSO 用にディレクトリを構成すると、追加の構成が完了していない場合、認証のための追加のプロンプトが発生する可能性があります。Configuring your directory for SSO with alternate-id Using alternate-id can cause extra prompts for authentication if these additional configurations are not completed. 代替 id を使用したユーザーエクスペリエンスへの影響については、「」を参照してください。Refer to the article for possible impact on user experience with alternate-id.

次の追加の構成を使用すると、ユーザーエクスペリエンスが大幅に向上し、組織内の代替 id ユーザーの認証について、ほぼゼロのプロンプトが表示されます。With the following additional configuration, the user experience is improved significantly, and you can achieve near zero prompts for authentication for alternate-id users in your organization.

手順 1.Step 1. 必須の Office バージョンに更新するUpdate to required Office version

Office バージョン 1712 (build no 8827.2148) 以降では、代替 id シナリオを処理するために認証ロジックが更新されました。Office version 1712 (build no 8827.2148) and above have updated the authentication logic to handle the alternate-id scenario. 新しいロジックを利用するには、クライアントコンピューターを Office バージョン 1712 (8827.2148 をビルドしない) 以降に更新する必要があります。In order to leverage the new logic, the client machines need to be updated to Office version 1712 (build no 8827.2148) and above.

手順 2.Step 2. 必須の Windows バージョンに更新するUpdate to required Windows version

Windows バージョン1709以降では、代替 id シナリオを処理するために認証ロジックが更新されました。Windows version 1709 and above have updated the authentication logic to handle the alternate-id scenario. 新しいロジックを利用するには、クライアントコンピューターを Windows バージョン1709以降に更新する必要があります。In order to leverage the new logic, the client machines need to be updated to Windows version 1709 and above.

手順 3.Step 3. グループポリシーを使用して影響を受けるユーザーのレジストリを構成するConfigure registry for impacted users using group policy

Office アプリケーションは、代替 id 環境を識別するために、ディレクトリ管理者によってプッシュされた情報に依存しています。The office applications rely on information pushed by the directory administrator to identify the alternate-id environment. 次のレジストリキーは、office アプリケーションが、追加のプロンプトを表示せずに、代替 id を使用してユーザーを認証できるように構成する必要があります。The following registry keys need to be configured to help office applications authenticate the user with alternate-id without showing any extra prompts

追加するレジストリキーRegkey to add レジストリキーのデータ名、型、および値Regkey data name, type, and value Windows 7/8Windows 7/8 Windows 10Windows 10 説明Description
HKEY_CURRENT_USER\Software\Microsoft\AuthNHKEY_CURRENT_USER\Software\Microsoft\AuthN DomainHintDomainHint
REG_SZREG_SZ
contoso.comcontoso.com
必須Required 必須Required このレジストリキーの値は、組織のテナントで検証されたカスタムドメイン名です。The value of this regkey is a verified custom domain name in the tenant of the organization. たとえば、Contoso corp では、Contoso.com がテナント Contoso.onmicrosoft.com の検証済みのカスタムドメイン名の1つである場合、このレジストリキーに Contoso.com の値を指定できます。For example, Contoso corp can provide a value of Contoso.com in this regkey if Contoso.com is one of the verified custom domain names in the tenant Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\IdentityHKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity EnableAlternateIdSupportEnableAlternateIdSupport
REG_DWORDREG_DWORD
11
Outlook 2016 ProPlus に必要Required for Outlook 2016 ProPlus Outlook 2016 ProPlus に必要Required for Outlook 2016 ProPlus このレジストリキーの値は、強化された代替 id 認証ロジックを使用する必要があるかどうかを Outlook アプリケーションに示す 1/0 にすることができます。The value of this regkey can be 1 / 0 to indicate to Outlook application whether it should engage the improved alternate-id authentication logic.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\stsHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts **
REG_DWORDREG_DWORD
11
必須Required 必須Required このレジストリキーを使用して、インターネットの設定で STS を信頼済みゾーンとして設定できます。This regkey can be used to set the STS as a trusted Zone in the internet settings. 標準の ADFS 展開では、ADFS 名前空間を Internet Explorer のローカルイントラネットゾーンに追加することをお勧めします。Standard ADFS deployment recommends adding the ADFS namespace to the Local Intranet Zone for Internet Explorer

追加の構成後の新しい認証フローNew authentication flow after additional configuration

認証フロー

  1. あるユーザーは、代替 id を使用して Azure AD にプロビジョニングされていますa: User is provisioned in Azure AD using alternate-id
    bディレクトリ管理者が、影響を受けるクライアントコンピューターに必要なレジストリ設定をプッシュするb: Directory administrator pushes required regkey settings to impacted client machines
  2. ユーザーがローカルコンピューターで認証を行い、office アプリケーションを開くUser authenticates on the local machine and opens an office application
  3. Office アプリケーションがローカルセッションの資格情報を取得するOffice application takes the local session credentials
  4. 管理者およびローカルの資格情報によってプッシュされたドメインヒントを使用して Azure AD に対する Office アプリケーションの認証Office application authenticates to Azure AD using domain hint pushed by administrator and local credentials
  5. Azure AD は、フェデレーション領域を修正してトークンを発行することで、ユーザーを正しく認証します。Azure AD successfully authenticates the user by directing to correct federation realm and issue a token

追加の構成後のアプリケーションとユーザーエクスペリエンスApplications and user experience after the additional configuration

Exchange 以外のクライアントと Skype for Business クライアントNon-Exchange and Skype for Business Clients

クライアントClient サポートステートメントSupport statement コメントRemarks
Microsoft TeamsMicrosoft Teams SupportedSupported
  • Microsoft Teams は、AD FS (SAML P、WS-ATOMICTRANSACTION、WS-TRUST、および OAuth) と先進認証をサポートしています。Microsoft Teams supports AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth) and Modern Authentication.
  • チャンネル、チャット、ファイルなどの主要な Microsoft チームは、代替ログイン ID を使用します。Core Microsoft Teams such as Channels, chats and files functionalities does work with Alternate Login ID.
  • 1番目とサードパーティのアプリは、顧客が個別に調査する必要があります。1st and 3rd party apps must be separately investigated by the customer. これは、各アプリケーションが独自のサポート認証プロトコルを持っているためです。This is because each application has their own supportability authentication protocols.
  • OneDrive for BusinessOneDrive for Business サポートされている-クライアント側のレジストリキーを推奨しますSupported - client-side registry key recommended 代替 ID が構成されている場合は、オンプレミスの UPN が検証フィールドに事前設定されていることがわかります。With Alternate ID configured you see the on-premises UPN is pre-populated In the verification field. これは、使用されている代替 Id に変更する必要があります。This needs to be changed to the alternate Identity that is being used. この記事に記載されているクライアント側のレジストリキーを使用することをお勧めします。Office 2013 および Lync 2013 では、SharePoint Online、OneDrive、および Lync Online の資格情報を定期的に確認するプロンプトが表示されます。We recommend using the client side registry key noted in this article: Office 2013 and Lync 2013 periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.
    OneDrive for Business モバイルクライアントOneDrive for Business Mobile Client SupportedSupported
    Office 365 Pro Plus ライセンス認証ページOffice 365 Pro Plus activation page サポートされている-クライアント側のレジストリキーを推奨しますSupported - client-side registry key recommended 代替 ID が構成されている場合は、オンプレミスの UPN が検証フィールドに事前設定されていることがわかります。With Alternate ID configured you see the on-premises UPN is pre-populated in the verification field. これは、使用されている代替 Id に変更する必要があります。This needs to be changed to the alternate Identity that is being used. この記事に記載されているクライアント側のレジストリキーを使用することをお勧めします。Office 2013 および Lync 2013 では、SharePoint Online、OneDrive、および Lync Online の資格情報を定期的に確認するプロンプトが表示されます。We recommend using the client-side registry key noted in this article: Office 2013 and Lync 2013 periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

    Exchange と Skype for Business クライアントExchange and Skype for Business Clients

    クライアントClient サポートステートメント-HMA があるSupport Statement - with HMA サポートステートメント-HMA なしSupport Statement - without HMA
    OutlookOutlook サポートされています。追加のプロンプトはありませんSupported, no extra prompts SupportedSupported
    Exchange Online の先進認証を使用する場合:SupportedWith Modern Authentication for Exchange Online: Supported

    Exchange Online の通常の認証を使用する場合:次の注意事項でサポートされています。With regular authentication for Exchange Online: Supported with following caveats:
  • ドメインに参加しているコンピューターで、企業ネットワークに接続している必要があります。You must be on a domain joined machine and connected to the corporate network
  • 代替 ID は、メールボックスユーザーの外部アクセスを許可しない環境でのみ使用できます。You can only use Alternate ID in environments that do not allow external access for mailbox users. これは、ユーザーが会社のネットワーク、VPN、または直接アクセスコンピューターを使用して接続されている場合に、メールボックスに対してのみ認証を行うことができることを意味します。ただし、Outlook プロファイルを構成するときに、いくつかの追加のプロンプトが表示されます。This means that users can only authenticate to their mailbox in a supported way when they are connected and joined to the corporate network, on a VPN, or connected via Direct Access machines, but you get a couple of extra prompts when configuring your Outlook profile.
  • ハイブリッドパブリックフォルダーHybrid Public Folders サポートされています。特別なプロンプトはありません。Supported, no extra prompts. Exchange Online の先進認証を使用する場合:SupportedWith Modern Authentication for Exchange Online: Supported
    Exchange Online の通常の認証を使用する場合:サポート非対象With regular authentication for Exchange Online: Not Supported

  • ハイブリッドパブリックフォルダーは、代替 ID が使用されている場合は拡張できないため、現在は通常の認証方法では使用できません。Hybrid Public Folders are not able to expand if Alternate ID's are used and therefore should not be used today with regular authentication methods.
  • クロスプレミスの委任Cross premises Delegation ハイブリッド展開での委任されたメールボックスのアクセス許可をサポートするように Exchange を構成するSee Configure Exchange to support delegated mailbox permissions in a hybrid deployment ハイブリッド展開での委任されたメールボックスのアクセス許可をサポートするように Exchange を構成するSee Configure Exchange to support delegated mailbox permissions in a hybrid deployment
    メールボックスへのアクセス (オンプレミスのメールボックス-クラウド内のアーカイブ)Archive mailbox access (Mailbox on-premises - archive in the cloud) サポートされています。追加のプロンプトはありませんSupported, no extra prompts サポートされている-ユーザーは、アーカイブにアクセスするときに資格情報の追加のプロンプトを受け取り、プロンプトが表示されたら代替 ID を入力する必要があります。Supported - Users get an extra prompt for credentials when accessing the archive, they have to provide their alternate ID when prompted.
    Outlook Web AccessOutlook Web Access SupportedSupported SupportedSupported
    Android、IOS、および Windows Phone 用 Outlook Mobile AppsOutlook Mobile Apps for Android, IOS, and Windows Phone SupportedSupported SupportedSupported
    Skype for Business/LyncSkype for Business/ Lync サポートされています。追加のプロンプトはありませんSupported, with no extra prompts サポートされています (ただし、前述の場合を除く) が、ユーザーの混乱を招く可能性があります。Supported (except as noted) but there is a potential for user confusion.
    モバイルクライアントでは、代替 Id がサポートされるのは、SIP アドレス = 電子メールアドレス = 代替 ID の場合のみです。On mobile clients, Alternate Id is supported only if SIP address= email address = Alternate ID.

    ユーザーは、最初にオンプレミスの UPN を使用し、次に代替 ID を使用して、Skype for Business デスクトップクライアントに2回サインインする必要がある場合があります。Users may need to sign-in twice to the Skype for Business desktop client, first using the on-premises UPN and then using the Alternate ID. ("サインインアドレス" は、実際には "ユーザー名" と同じではない可能性がある SIP アドレスです。ただし、多くの場合は)。(Note that the “Sign-in address” is actually the SIP address which may not be the same as the “User name”, though often is). ユーザー名の入力を求められた場合、代替 ID または SIP アドレスが誤って事前設定されていても、ユーザーは UPN を入力する必要があります。When first prompted for a User name, the user should enter the UPN, even if it is incorrectly pre-populated with the Alternate ID or SIP address. ユーザーが UPN でサインインすると、ユーザー名のプロンプトが再び表示されます。今回は UPN で事前に登録されています。After the user clicks sign-in with the UPN, the User name prompt reappears, this time prepopulated with the UPN. 今回は、ユーザーがこれを代替 ID で置き換える必要があります。サインインプロセスを完了するには、[サインイン] をクリックします。This time the user must replace this with the Alternate ID and click Sign in to complete the sign in process. モバイルクライアントでは、ユーザーは [詳細設定] ページで、UPN 形式ではなく SAM 形式 (domain\username) を使用して、オンプレミスのユーザー ID を入力する必要があります。On mobile clients, users should enter the on-premises user ID in the advanced page, using SAM-style format (domain\username), not UPN format.

    サインインに成功した後に、Skype for Business または Lync に "Exchange で資格情報が必要です" と表示されている場合は、メールボックスが存在する場所に対して有効な資格情報を入力する必要があります。After successful sign-in, if Skype for Business or Lync says "Exchange needs your credentials", you need to provide the credentials that are valid for where the mailbox is located. メールボックスがクラウド内にある場合は、代替 ID を指定する必要があります。If the mailbox is in the cloud you need to provide the Alternate ID. メールボックスがオンプレミスの場合は、オンプレミスの UPN を指定する必要があります。If the Mailbox is on-premises you need to provide the on-premises UPN.

    追加の詳細 & 考慮事項Additional Details & Considerations

    • 代替ログイン ID 機能は、AD FS デプロイされたフェデレーション環境で使用できます。The Alternate login ID feature is available for federated environments with AD FS deployed. 次のシナリオではサポートされていません。It is not supported in the following scenarios:

      • Azure AD によって検証できないルーティング不可能なドメイン (例: Contoso. ローカル)。Non-routable domains (e.g. Contoso.local) that cannot be verified by Azure AD.
      • AD FS デプロイされていないマネージ環境。Managed environments that do not have AD FS deployed.
    • 有効にした場合、代替ログイン ID 機能は、AD FS でサポートされているすべてのユーザー名/パスワード認証プロトコル (SAML P、WS-ATOMICTRANSACTION、WS-TRUST、および OAuth) のユーザー名/パスワード認証でのみ使用できます。When enabled, the alternate login ID feature is only available for username/password authentication across all the user name/password authentication protocols supported by AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth).

    • Windows 統合認証 (WIA) が実行された場合 (たとえば、ユーザーがドメインに参加しているコンピューターのイントラネットから企業アプリケーションにアクセスしようとし、AD FS 管理者が、WIA for intranet を使用するように認証ポリシーを構成した場合)、UPN isused ます。認証用。When Windows Integrated Authentication (WIA) is performed (for example, when users try to access a corporate application on a domain-joined machine from intranet and AD FS administrator has configured the authentication policy to use WIA for intranet), UPN isused for authentication. 代替ログイン ID 機能のために証明書利用者の要求規則を構成した場合は、これらの規則が引き続き WIA ケースで有効であることを確認してください。If you have configured any claim rules for the relying parties for alternate login ID feature, you should make sure those rules are still valid in the WIA case.

    • 代替ログイン ID 機能を有効にすると、AD FS がサポートする各ユーザーアカウントフォレストに対して、AD FS サーバーから少なくとも1つのグローバルカタログサーバーにアクセスできる必要があります。When enabled, the alternate login ID feature requires at least one global catalog server to be reachable from the AD FS server for each user account forest that AD FS supports. ユーザーアカウントフォレストのグローバルカタログサーバーに接続できない場合は、UPN を使用するようにフォールバック AD FS ます。Failure to reach a global catalog server in the user account forest results in AD FS falling back to use UPN. 既定では、すべてのドメインコントローラーはグローバルカタログサーバーです。By default all the domain controllers are global catalog servers.

    • 有効にした場合、AD FS サーバーが、構成されているすべてのユーザーアカウントフォレストで同じ代替ログイン ID 値を使用して複数のユーザーオブジェクトを検出すると、ログインに失敗します。When enabled, if the AD FS server finds more than one user object with the same alternate login ID value specified across all the configured user account forests, it fails the login.

    • 代替ログイン ID 機能が有効になっている場合、AD FS は、最初に代替ログイン id を使用してエンドユーザーの認証を試み、次に代替ログイン ID で識別できるアカウントが見つからない場合に UPN を使用するようにフォールバックします。When alternate login ID feature is enabled, AD FS tries to authenticate the end user with alternate login ID first and then fall back to use UPN if it cannot find an account that can be identified by the alternate login ID. UPN ログインを引き続きサポートする場合は、代替ログイン ID と UPN が競合していないことを確認してください。You should make sure there are no clashes between the alternate login ID and the UPN if you want to still support the UPN login. たとえば、あるメール属性をもう一方の UPN で設定すると、他のユーザーは UPN でサインインできません。For example, setting one's mail attribute with the other's UPN blocks the other user from signing in with his UPN.

    • 管理者によって構成されているフォレストの1つがダウンした場合、AD FS は、構成されている他のフォレストの代替ログイン ID を持つユーザーアカウントを検索し続けます。If one of the forests that is configured by the administrator is down, AD FS continues to look up user account with alternate login ID in other forests that are configured. 検索したフォレスト全体で一意のユーザーオブジェクトが検出されると、ユーザーは正常にログインします。 AD FSIf AD FS server finds a unique user objects across the forests that it has searched, a user logs in successfully.

    • また、AD FS サインインページをカスタマイズして、代替ログイン ID に関するヒントをエンドユーザーに与えることもできます。You may additionally want to customize the AD FS sign-in page to give end users some hint about the alternate login ID. これを行うには、カスタマイズされたサインインページの説明を追加します (詳細については、「ユーザー名フィールドの AD FS サインインページのカスタマイズ」または「組織アカウントでのサインイン」を参照してください)。詳細については、「」を参照してください。AD FS サインインページの高度なカスタマイズYou can do it by either adding the customized sign-in page description (for more information, see Customizing the AD FS Sign-in Pages or customizing "Sign in with organizational account" string above username field (for more information, see Advanced Customization of AD FS Sign-in Pages.

    • 代替ログイン ID の値を含む新しい要求の種類はhttp: schema. microsoft .com/ws/2013/11/alternateloginid です。The new claim type that contains the alternate login ID value is http:schemas.microsoft.com/ws/2013/11/alternateloginid

    イベントとパフォーマンスカウンターEvents and Performance Counters

    代替ログイン ID が有効になっている場合、AD FS サーバーのパフォーマンスを測定するために、次のパフォーマンスカウンターが追加されました。The following performance counters have been added to measure the performance of AD FS servers when alternate login ID is enabled:

    • 代替ログイン Id 認証: 代替ログイン ID を使用して実行された認証数Alternate Login Id Authentications: number of authentications performed by using alternate login ID

    • 代替ログイン Id 認証数/秒: 代替ログイン ID を使用して実行された認証の1秒あたりの数Alternate Login Id Authentications/Sec: number of authentications performed by using alternate login ID per second

    • 代替ログイン ID の平均検索待機時間: 管理者によって代替ログイン ID が構成されているフォレスト全体の検索の平均待機時間Average Search Latency for Alternate Login ID: average search latency across the forests that an administrator has configured for alternate login ID

    次に、AD FS によってログに記録されたイベントを使用したユーザーのサインインエクスペリエンスに対するさまざまなエラーケースとそれに対する影響を示します。The following are various error cases and corresponding impact on a user's sign-in experience with events logged by AD FS:

    エラーケースError Cases サインインエクスペリエンスへの影響Impact on Sign-in Experience 場合Event
    ユーザーオブジェクトの SAMAccountName の値を取得できませんUnable to get a value for SAMAccountName for the user object ログインエラーLogin failure イベント ID 364 と例外メッセージ MSIS8012:ユーザーの samAccountName が見つかりません: '{0}'。Event ID 364 with exception message MSIS8012: Unable to find samAccountName for the user: '{0}'.
    CanonicalName 属性にアクセスできませんThe CanonicalName attribute is not accessible ログインエラーLogin failure イベント ID 364 と例外メッセージ MSIS8013:CanonicalName:{0}' ' のユーザー{1}' ' の形式が正しくありません。Event ID 364 with exception message MSIS8013: CanonicalName: '{0}' of the user:'{1}' is in bad format.
    1つのフォレストに複数のユーザーオブジェクトが見つかりましたMultiple user objects are found in one forests ログインエラーLogin failure イベント ID 364 と例外メッセージ MSIS8015:Id がのフォレスト '{0}{1}' に id ' ' のユーザーアカウントが複数見つかりました:{2}Event ID 364 with exception message MSIS8015: Found multiple user accounts with identity '{0}' in forest '{1}' with identities: {2}
    複数のユーザーオブジェクトが複数のフォレストにわたって検出されるMultiple user objects are found across multiple forests ログインエラーLogin failure イベント ID 364 と例外メッセージ MSIS8014:フォレストに id '{0}' を持つ複数のユーザーアカウントが見つかりました:{1}Event ID 364 with exception message MSIS8014: Found multiple user accounts with identity '{0}' in forests: {1}

    関連項目See Also

    AD FS の運用AD FS Operations