代替ログイン ID を構成します。Configuring Alternate Login ID

適用対象: Windows Server 2016、Windows Server 2012 R2Applies To: Windows Server 2016, Windows Server 2012 R2

ユーザーは、Active Directory ドメイン サービス (AD DS) によって承認されたユーザーの識別子を使用した Active Directory フェデレーション サービス (AD FS) 有効になっているアプリケーションにサインインできます。Users can sign in to Active Directory Federation Services (AD FS) enabled applications using any form of user identifier that is accepted by Active Directory Domain Services (AD DS). ユーザー プリンシパル名 (Upn) が含まれます (johndoe@contoso.com) またはドメイン (contoso\johndoe または contoso.com\johndoe) の sam アカウント名を修飾します。These include User Principal Names (UPNs) (johndoe@contoso.com) or domain qualified sam-account names (contoso\johndoe or contoso.com\johndoe).

企業のポリシーまたは社内基幹業務アプリケーションの依存関係のため、一部の環境でエンドユーザーの電子メール アドレス、UPN またはではなく sam アカウント名の対応のみ場合があります。In some environments, due to corporate policy or on-premises line-of-business application dependencies, end users may only be aware of their email address and not their UPN or sam-account name. 場合によっては、UPN がルーティング不可能なも (jdoe@contoso.local) と、企業ネットワーク上のアプリケーションへの認証にのみ使用します。In some cases, the UPN is also non-routable (jdoe@contoso.local) and is only used for authenticating into applications on the corporate network.

ルーティング不可能なドメインの (例: 以降Since non-routable domains' (ex. Contoso.local) の所有権を検証することはできません、Office 365 が Id にルーティング可能なインターネットを完全にすべてのユーザー ログインが必要です。Contoso.local) ownership cannot be verified, Office 365 requires all user login IDs to be fully internet routable. 内部設置型の UPN はルーティング不可能なドメイン (例: を使用している場合If the on-premises UPN uses a non-routable domain (ex. Contoso.local)、またはローカルのアプリケーションの依存関係のため、既存の UPN を変更することはできません、代替ログイン ID の設定をお勧めContoso.local), or the existing UPN cannot be changed due to local application dependencies, we recommend setting up alternate login ID. 代替ログイン ID を構成できます、サインイン エクスペリエンスでメールなど、UPN 以外属性を使用してサインインできるユーザー。Alternate login ID allows you to configure a sign in experience where users can sign in with an attribute other than their UPN, such as mail.

この機能の利点の 1 つは、内部設置型の Upn を変更することがなく、Office 365 などの SaaS プロバイダーの導入できること。One of the benefits of this feature is that it enables you to adopt SaaS providers, such as Office 365 without modifying your on-premises UPNs. コンシューマー向けプロビジョニングされた id を持つサービスの基幹業務アプリケーションをサポートすることもできます。It also enables you to support line-of-business service applications with consumer-provisioned identities.

重要

ビジネス向けの Exchange や Skype ハイブリッド環境で別の ID を使用してはサポートしますが、推奨されません。Using Alternate ID in hybrid environments with Exchange and/or Skype for Business is supported but not recommended. オンプレミスおよびオンライン (例: UPN) の資格情報の同じ設定を使用するハイブリッド環境での最適なユーザー エクスペリエンスを提供します。Using the same set of credentials (e.g. the UPN) for on-premises and online provides the best user experience in a hybrid environment. お客様は、代替 ID の必要がなくなります可能であれば、Upn を変更をお勧めします。Microsoft recommends customers change their UPNs if possible to avoid the need for Alternate ID. Lync または Skype for business の別の ID を使って、Lync Server 2013 以降が必要です。Using alternate ID with Lync or Skype for business requires Lync Server 2013 or later. 別の ID を使用しているお客様が有効化を検討する必要があります最新の認証、ユーザー エクスペリエンスの向上の Office 365 に Exchange 用です。Customers who use Alternate ID should consider enabling Modern Authentication for Exchange in Office 365 for an improved user experience. さらに、ビジネス向けモバイル クライアントで Skype を使用しているお客様は、SIP アドレスがユーザーのメール アドレス (と代替の ID) と同じであることを確認する必要があります。In addition, customers using Skype for Business with mobile clients must ensure that the SIP address is identical to the user’s mail address (and alternate ID).

標準の認証、最新の認証と証明書ベースの認証 (最新の認証を有効にする必要があります) にさまざまな Office 365 のクライアントを使用して代替の ID を持つユーザー エクスペリエンスは、次の表を参照してください。Please refer to the table below for the user experience with Alternate ID using various Office 365 clients with Regular Authentication, Modern Authentication and Certificate Based Authentication (requires enabling Modern Authentication).

クライアントの種類Client Types 追加情報Additional Information サポートに関する声明 - 通常と最新の認証Support Statement - Regular and Modern Authentication 説明Description
OutlookOutlook 標準の認証: ドメインに参加しているコンピューターである必要がありますして企業ネットワークに接続されています。Regular Authentication: You must be on a domain joined machine and connected to the corporate network

最新の認証: サポートされています。Modern Authentication: Supported
別の ID は、ユーザーのメールボックスの外部からのアクセスを許可しない環境でのみ使用できます。You can only use Alternate ID in environments that do not allow external access for mailbox users. これは、ユーザー認証がメールボックスにサポートされている方法で接続されていると、VPN 上、企業ネットワークに参加しているまたはへの直接アクセス経由で接続されたときに意味します。This means that users can only authenticate to there mailbox in a supported way when they are connected and joined to the corporate network, on a VPN, or connected via Direct Access. 最新の認証 (ADAL と呼ばれます) を構成することを選択する場合は、非ドメインに参加している接続し、マシンから Outlook を使用することができますの Outlook プロファイルを構成するときに、いくつかの余分なプロンプトが表示されます。If you opt to configure Modern Authentication (Known as ADAL) you can use Outlook from non-domain joined/connected machines, but you will get a couple of extra prompts when configuring your Outlook profile.

ユーザー エクスペリエンスのデモについては、表の下の最初のイメージを参照してください。See the first image below the table for user experience demo.
Office 2013 で最新の認証Modern Authentication in Office 2013
ハイブリッドのパブリック フォルダHybrid Public Folders 定期的な認証: サポートされていませんRegular Authentication: Not supported

最新の認証: サポートされています。Modern Authentication: Supported
ハイブリッドのパブリック フォルダでは、代替の ID を使用し、したがって使用しないで今日標準の認証方法の場合を展開できません。Hybrid Public Folders will not be able to expand if Alternate ID's are used and therefore should not be used today with regular authentication methods. ハイブリッドのパブリック フォルダーを使用する場合は、最新の認証 (ADAL と呼ばれます) を構成する必要があります。If you want to be able to use Public Folder in Hybrid you will have to configure Modern Authentication (Known as ADAL).

ユーザー エクスペリエンスのデモについては、表の下の最初のイメージを参照してください。See the first image below the table for user experience demo.
Office 2013 で最新の認証Modern Authentication in Office 2013
クロス内部設置型の委任Cross premises Delegation サポートされていませんNot supported 現在間の内部設置型のアクセス許可は、ハイブリッド構成でサポートされていませんが、または動作しません AltID を使用する場合。Currently cross premises permissions are not supported in a hybrid configuration, but they also will not work if you use AltID.
アーカイブのメールボックスへのアクセス (メールボックス、オンプレミス、クラウドでアーカイブ)Archive mailbox access (Mailbox on-premises - archive in the cloud) サポートされています。Supported ユーザー、アーカイブにアクセスするときに資格情報の追加のプロンプトが表示されます、提供する必要がある別の ID が表示されたらします。Users will get an extra prompt for credentials when accessing the archive, they will have to provide there alternate ID when prompted.

ユーザー エクスペリエンスのデモについては、表の下の最初のイメージを参照してください。See the first image below the table for user experience demo.
Office 365 Pro Plus のライセンス認証] ページOffice 365 Pro Plus activation page クライアント側のレジストリ キーの推奨 - サポートされています。Supported - client side registry key recommended 代替 ID の構成と検証] フィールドに、社内の UPN があらかじめ設定されているが表示されます。With Alternate ID configured you will see the on-premises UPN is pre-populated In the verification field. これは、使用されている別の Id に変更する必要があります。This needs to be changed to the alternate Identity that is being used. [リンク] 列に記載されているクライアント側のレジストリ キーを使用することをお勧めします。We recommend to use the client side reg key noted in the link column.

ユーザー エクスペリエンスのデモについては、表の下 2 番目のイメージを参照してください。See the second image below the table for user experience demo.
Office 2013 と SharePoint Online、OneDrive、および Lync Online 資格情報の入力を求める定期的に Lync 2013Office 2013 and Lync 2013 periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online
Microsoft TeamsMicrosoft Teams サポートされています。Supported Microsoft Teams supports AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth) and Modern Authentication.Microsoft Teams supports AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth) and Modern Authentication.

Core Microsoft Teams such as Channels, chats and files functionalities does work with Altnernate Login ID.Core Microsoft Teams such as Channels, chats and files functionalities does work with Altnernate Login ID.

1st and 3rd party apps have to be separately investigated by the customer.1st and 3rd party apps have to be separately investigated by the customer. This is because each application has their own supportability authentication protocols.This is because each application has their own supportability authentication protocols.
Skype for Business または LyncSkype for Business/ Lync サポートされている (一部の例外を除き) が、ユーザーが混乱が発生する可能性があります。Supported (except as noted) but there is a potential for user confusion. モバイル クライアントは、別の Id がサポートされている場合にのみ SIP アドレスの電子メール アドレスを = = 代替 id。On mobile clients, Alternate Id is supported only if SIP address= email address = Alternate ID. ユーザーがサインインするには 2 回クリック、Skype for Business デスクトップ クライアント、まず、社内の UPN を使用し、代替の id。 を使用する必要があります。Users may need to sign-in twice to the Skype for Business desktop client, first using the on-premises UPN and then using the Alternate ID. (「サインイン アドレス」が実際には、SIP アドレスできない可能性があります「ユーザー名」と同じ、多くの場合は注意してください。)(Note that the “Sign-in address” is actually the SIP address which may not be the same as the “User name”, though often is). 最初のユーザー名の入力を求め、ユーザーが正しくあらかじめ入力されていない別の ID または SIP のアドレスを持つ場合でも、UPN を入力する必要があります。When first prompted for a User name, the user should enter the UPN, even if it is incorrectly pre-populated with the Alternate ID or SIP address. ユーザーから、UPN、名前プロンプトが再び表示ユーザー、UPN を持つあらかじめ設定されているこの時点でのサインインをクリックします。After the user clicks sign-in with the UPN, the User name prompt will reappear, this time prepopulated with the UPN. この時間をユーザーが代替 ID に置き換えますこれと] をクリックする必要がありますが、サインイン プロセスを完了するサインインします。This time the user must replace this with the Alternate ID and click Sign in to complete the sign in process. モバイル クライアントでユーザー必要があります、内部設置型ユーザー ID を入力、[詳細設定] ページで、SAM スタイルの形式 (ドメイン \ ユーザー名)、UPN 形式ではなくを使用します。On mobile clients, users should enter the on-premises user ID in the advanced page, using SAM-style format (domain\username), not UPN format.

正常では、サインイン後に Skype for Business または Lync では、「Exchange、必要がある資格情報」と表示場合、メールボックスが置かれている有効な資格情報を提供します。After successful sign-in, if Skype for Business or Lync says "Exchange needs your credentials", you need to provide the credentials that are valid for where the mailbox is located. メールボックスが、クラウド内にある場合は、代替の id。 提供する必要があります。If the mailbox is in the cloud you need to provide the Alternate ID. メールボックスが内部設置型の場合は、内部設置型の UPN を提供する必要があります。If the Mailbox is on-premises you need to provide the on-premises UPN.
Office 2013 で最新の認証Modern Authentication in Office 2013
Outlook Web AccessOutlook Web Access サポートされています。Supported
Android、IOS、および Windows Phone 用のモバイル アプリの outlookOutlook Mobile Apps for Android, IOS, and Windows Phone サポートされています。Supported
OneDrive for BusinessOneDrive for Business クライアント側のレジストリ キーの推奨 - サポートされています。Supported - client side registry key recommended 代替 ID の構成と検証] フィールドに、社内の UPN があらかじめ設定されているが表示されます。With Alternate ID configured you will see the on-premises UPN is pre-populated In the verification field. これは、使用されている別の Id に変更する必要があります。This needs to be changed to the alternate Identity that is being used. [リンク] 列に記載されているクライアント側のレジストリ キーを使用することをお勧めします。We recommend to use the client side reg key noted in the link column.

ユーザー エクスペリエンスのデモについては、表の下 2 番目のイメージを参照してください。See the second image below the table for user experience demo.
Office 2013 と SharePoint Online、OneDrive、および Lync Online 資格情報の入力を求める定期的に Lync 2013Office 2013 and Lync 2013 periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online
OneDrive for Business モバイル クライアントOneDrive for Business Mobile Client サポートされています。Supported

代替ログイン

代替ログイン

代替ログイン

、次は、次のスクリーン ショットは、その他の使用例を Skype for Business を示します。Below, the following screenshots are an additional example using Skype for Business. 例では、次の情報を使用します。In example the following information is used

  • SIP:userA@contoso.comSIP: userA@contoso.com
  • UPN:userA@contoso.localUPN: userA@contoso.local
  • 電子メール:userA@contoso.comEmail: userA@contoso.com
  • AltId:userA@contoso.comAltId: userA@contoso.com

[Sign in] フィールドには、SIP のアドレスを入力します。Enter SIP address in Sign-in field.

Skype

Skype

Skype

代替ログイン ID を構成するにはTo configure alternate login ID

代替ログイン ID を構成するために、次のタスクを実行する必要があります。In order to configure alternate login ID, you must perform the following tasks:

代替ログイン ID を有効にするには、AD FS 要求プロバイダー信頼を構成します。Configure your AD FS claims provider trusts to enable alternate login ID

  1. Install KB2919355.Install KB2919355. Windows Update サービス経由で取得したり、直接ダウンロードできます。You can get it via Windows Update Services or download it directly.

  2. ファームにフェデレーション サーバーのいずれかで、次の PowerShell コマンドレットを実行して、AD FS 構成を更新 (WID ファームの場合は、必要がありますコマンドを実行するこのファーム内のプライマリ AD FS サーバー)。Update the AD FS configuration by running the following PowerShell cmdlet on any of the federation servers in your farm (if you have a WID farm, you must run this command on the primary AD FS server in your farm):

    Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>
    

    AlternateLoginIDログインに使用する属性の LDAP 名です。AlternateLoginID is the LDAP name of the attribute that you want to use for login.

    LookupForests DNS には、ユーザーに属しているフォレストの一覧を示します。LookupForests is the list of forest DNS that your users belong to.

    代替ログイン ID の機能を有効にするには、null 以外の有効な値を持つ - AlternateLoginID と - LookupForests の両方のパラメーターを構成する必要があります。To enable alternate login ID feature, you must configure both -AlternateLoginID and -LookupForests parameters with a non-null, valid value.

    次の例では、contoso.com と fabrikam.com のフォレスト内のアカウントに、ユーザーが"mail"属性を持つ AD FS 対応アプリケーションにログインできるように、代替ログイン ID の機能を有効にします。In the following example, you are enabling alternate login ID functionality such that your users with accounts in contoso.com and fabrikam.com forests can log in to AD FS-enabled applications with their "mail" attribute.

    Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
    
  3. この機能を無効にするには、両方のパラメーターに null 値を設定します。To disable this feature, set the value for both parameters to be null.

    Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL
    
  4. Azure AD と代替ログイン ID を有効にするには、追加の構成手順は必要ありません Azure AD Connect を使用する場合。To enable alternate login ID with Azure AD, no additional configurations steps are needed when using Azure AD Connect. 代替の ID は、ウィザードから直接構成することができます。Alternate ID can be configured directly from the wizard. セクションの下で、ユーザーを一意に識別するを参照してください。を Azure AD Connectします。See uniquely identifying your users under the section Connect to Azure AD.

追加の詳細と考慮事項Additional Details & Considerations

  • 展開されている AD FS では、代替ログイン ID の機能をフェデレーション環境で使用できるのみです。The Alternate login ID feature is only available for federated environments with AD FS deployed. 次のシナリオではサポートされません。It is not supported in the following scenarios:

    • 非ルーティング可能なドメイン (例: Contoso.local) を Azure AD で検証することはできません。Non-routable domains (e.g. Contoso.local) that cannot be verified by Azure AD.
    • AD FS の展開がない環境を管理します。Managed environments that do not have AD FS deployed.
  • 有効な場合、代替ログイン ID 機能のみで使用可能なユーザー名とパスワードの認証のすべてのユーザー名/パスワードの認証プロトコル AD FS でサポートされている (SAML P、WS-が取り込まれる、Ws-trust、や OAuth)。When enabled, the alternate login ID feature is only available for username/password authentication across all the user name/password authentication protocols supported by AD FS (SAML-P, WS-Fed, WS-Trust, and OAuth).

  • Windows 統合認証 (WIA) が実行されると (たとえば、ときにユーザーがイントラネットからドメインに参加しているコンピューター上の企業アプリケーションにアクセスしようし、AD FS 管理者には、イントラネットに WIA を使用する認証ポリシーが構成されている)、UPN が認証に使用されます。When Windows Integrated Authentication (WIA) is performed (for example, when users try to access a corporate application on a domain-joined machine from intranet and AD FS administrator has configured the authentication policy to use WIA for intranet), UPN will be used for authentication. 代替ログイン ID の機能の証明書利用者の要求規則を構成した場合はそれらの規則が WIA 場合は、まだ有効であることを確認する必要があります。If you have configured any claim rules for the relying parties for alternate login ID feature, you should make sure those rules are still valid in the WIA case.

  • 有効な場合、代替ログイン ID 機能には、AD FS をサポートする各ユーザー アカウントのフォレストの AD FS サーバーから到達可能にするには、少なくとも 1 つのグローバル カタログ サーバーが必要です。When enabled, the alternate login ID feature requires at least one global catalog server to be reachable from the AD FS server for each user account forest that AD FS supports. AD FS UPN を使用するようにフォールバック ユーザー アカウントのフォレストにグローバル カタログ サーバーに到達する障害が発生します。Failure to reach a global catalog server in the user account forest will result in AD FS falling back to use UPN. 既定では、すべてのドメイン コント ローラーはグローバル カタログ サーバーをされます。By default all the domain controllers are global catalog servers.

  • 有効な場合、AD FS サーバーと同じ代替ログイン ID 値に設定されたユーザー アカウントのすべてのフォレスト間で指定されている 1 つ以上のユーザー オブジェクトが検出された場合は、ログインは失敗します。When enabled, if the AD FS server finds more than one user object with the same alternate login ID value specified across all the configured user account forests, it will fail the login.

  • AD FS を最初に代替ログイン ID を持つエンドユーザーを認証し、代替ログイン ID によって識別できるアカウントが見つからない場合は、UPN を使用するフォールバックを試みます代替ログイン ID の機能を有効にすると、When alternate login ID feature is enabled, AD FS will try to authenticate the end user with alternate login ID first and then fall back to use UPN if it cannot find an account that can be identified by the alternate login ID. まだ UPN ログインをサポートする場合、代替ログイン ID と UPN の間の競合がないことを確認する必要があります。You should make sure there are no clashes between the alternate login ID and the UPN if you want to still support the UPN login. たとえば、1 つのメールの属性を設定、その他の UPN を持つ、UPN サインインから他のユーザーがブロックされます。For example, setting one's mail attribute with the other's UPN will block the other user from signing in with his UPN.

  • 管理者が構成されているフォレストのいずれかが停止して、AD FS は引き続き構成されている他のフォレスト内の代替ログイン ID を持つユーザー アカウントを検索します。If one of the forests that is configured by the administrator is down, AD FS will continue to look up user account with alternate login ID in other forests that are configured. AD FS サーバーが検出された場合、一意のユーザー オブジェクトの検索が、フォレスト間で、ユーザーは正常ログオンします。If AD FS server finds a unique user objects across the forests that it has searched, a user will log in successfully.

  • 代替ログイン ID に関するいくつかのヒントをエンド ユーザーに提供する AD FS サインイン ページをカスタマイズすることもまたYou may additionally want to customize the AD FS sign-in page to give end users some hint about the alternate login ID. カスタマイズされたサインイン ページの説明を追加して行うことができます (詳細については、次を参照してください。 AD FS サインイン ページのカスタマイズまたはユーザー名] フィールドの上に"組織のアカウントでサインイン"文字列をカスタマイズする (詳細については、次を参照してください。 Advanced Customization of AD FS Sign-in Pagesします。You can do it by either adding the customized sign-in page description (for more information, see Customizing the AD FS Sign-in Pages or customizing "Sign in with organizational account" string above username field (for more information, see Advanced Customization of AD FS Sign-in Pages.

  • 代替ログイン ID の値を含む新しい要求の種類がhttp:schemas.microsoft.com/ws/2013/11/alternateloginidThe new claim type that contains the alternate login ID value is http:schemas.microsoft.com/ws/2013/11/alternateloginid

イベントとパフォーマンス カウンターEvents and Performance Counters

代替ログイン ID が有効にすると、AD FS サーバーのパフォーマンスを測定する次のパフォーマンス カウンターが追加されました。The following performance counters have been added to measure the performance of AD FS servers when alternate login ID is enabled:

  • 代替ログイン ID を使用して実行する認証の代替ログイン Id の認証: 数Alternate Login Id Authentications: number of authentications performed by using alternate login ID

  • 1 秒あたりの代替ログイン ID を使用して実行する認証の数を代替ログイン Id 認証/秒の:Alternate Login Id Authentications/Sec: number of authentications performed by using alternate login ID per second

  • 代替ログイン ID の検索の待機時間の平均: 管理者が代替ログイン ID の構成のフォレスト間での検索の待機時間の平均Average Search Latency for Alternate Login ID: average search latency across the forests that an administrator has configured for alternate login ID

さまざまなエラーの場合と対応する AD FS によって記録されたイベントとユーザーのサインイン エクスペリエンスへの影響を次に示します。The following are various error cases and corresponding impact on a user's sign-in experience with events logged by AD FS:

エラーの場合Error Cases サインイン エクスペリエンスへの影響Impact on Sign-in Experience イベントEvent
ユーザー オブジェクトの SAMAccountName の値を取得できません。Unable to get a value for SAMAccountName for the user object ログインに失敗しましたLogin failure 例外メッセージ MSIS8012 にイベント ID 364: ユーザーの sam アカウント名が見つかりません: '{0}' です。Event ID 364 with exception message MSIS8012: Unable to find samAccountName for the user: '{0}'.
用の属性にアクセスできません。The CanonicalName attribute is not accessible ログインに失敗しましたLogin failure 例外メッセージ MSIS8013 にイベント ID 364: 用: ユーザーの '{0} ':' {1}' は無効な形式でします。Event ID 364 with exception message MSIS8013: CanonicalName: '{0}' of the user:'{1}' is in bad format.
1 つのフォレストに複数のユーザー オブジェクトがあります。Multiple user objects are found in one forests ログインに失敗しましたLogin failure 例外メッセージ MSIS8015 にイベント ID 364: '{0}' id を持つ複数のユーザー アカウントに記載の id を持つ '{1}' フォレスト: {2}Event ID 364 with exception message MSIS8015: Found multiple user accounts with identity '{0}' in forest '{1}' with identities: {2}
複数のユーザー オブジェクトが複数のフォレストが見つかりませんMultiple user objects are found across multiple forests ログインに失敗しましたLogin failure 例外メッセージ MSIS8014 にイベント ID 364: '{0}' id を持つ複数のユーザー アカウントをフォレストで見つかった: {1}Event ID 364 with exception message MSIS8014: Found multiple user accounts with identity '{0}' in forests: {1}

参照してください。See Also

AD FS の操作AD FS Operations