編集

次の方法で共有


Microsoft Entra シームレス シングル サインオン - よく寄せられる質問

この記事では、Microsoft Entra シームレス シングル サインオン (シームレス SSO) に関してよく寄せられる質問に回答します。 最新のコンテンツを常にチェックしてください。

シームレス SSO で使用できるサインイン方法

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 ただし、この機能は、Active Directory フェデレーション サービス (AD FS) で使用できません。

シームレス SSO は無料の機能ですか。

シームレス SSO は無料の機能です。この機能を使用するために Microsoft Entra ID の有料エディションは不要です。

シームレス SSO は Microsoft Azure Germany クラウドおよび Microsoft Azure Government クラウドで使用できますか。

シームレス SSO は Azure Government クラウド で使用できます。 詳細については、「Azure Government のハイブリッド ID に関する考慮事項」を参照してください。

どのアプリケーションがシームレス SSO の "domain_hint" または "login_hint" パラメーター機能を利用しますか。

次の表に、これらのパラメーターを Microsoft Entra ID に送信できるアプリケーションの一覧を示します。 このアクションにより、シームレス SSO を使用したサイレント サインオン エクスペリエンスがユーザーに提供されます。

アプリケーション名 アプリケーションの URL
アクセス パネル https://myapps.microsoft.com/contoso.com
Web 上の Outlook https://outlook.office365.com/contoso.com
Office 365 ポータル https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com

また、アプリケーションからのサインイン要求が、共通の Microsoft Entra エンドポイント (https://login.microsoftonline.com/common/<...>) 宛てではなく、テナントとして設定された Microsoft Entra エンドポイント (https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com/<tenant_ID>/<..>) 宛てに送信される場合も、サイレント サインオン エクスペリエンスはユーザーに提供されます。 次の表に、これらの種類のサインイン要求を行うアプリケーションの一覧を示します。

アプリケーション名 アプリケーションの URL
SharePoint Online https://contoso.sharepoint.com
Microsoft Entra 管理センター https://portal.azure.com/contoso.com

テナントの適切なアプリケーションの URL を取得するには、上記の表の "contoso.com" をご利用のドメイン名で置き換えます。

他のアプリケーションでサイレント サインオン エクスペリエンスを使用する場合は、フィードバック セクションからお知らせください。

シームレス SSO では、"userPrincipalName" ではなく、ユーザー名として "代替 ID" がサポートされていますか。

はい。 こちらで示されているように、Microsoft Entra Connect で構成されている場合、シームレス SSO はユーザー名として Alternate ID をサポートしています。 すべての Microsoft 365 アプリケーションで Alternate ID をサポートしているわけではありません。 サポートの説明については、それぞれのアプリケーションのドキュメントを参照してください。

Microsoft Entra Join とシームレス SSO のシングル サインオン エクスペリエンスの違いは何ですか?

Microsoft Entra join は、Microsoft Entra ID に登録されているデバイスのユーザーに SSO を提供します。 そのデバイスは、必ずしもドメインに参加する必要があるとは限りません。 SSO は、Kerberos ではなく、"プライマリ更新トークン" (PRT) を使用して提供されます。 Windows 10 デバイスで、最適なユーザー エクスペリエンスが実現します。 SSO は、Microsoft Edge ブラウザーで自動的に実行されます。 ブラウザー拡張機能を使用することで Chrome でも動作します。

お客様のテナントでは、Microsoft Entra join とシームレス SSO を使用できます。 この 2 つは補完的な機能です。 両方の機能が有効な場合は、Microsoft Entra Join がシームレス SSO に優先します。

Microsoft Entra ID に、AD FS を使用せず非 Windows 10 デバイスを登録したいです。 代わりにシームレス SSO を使用できますか。

はい、このシナリオではワークプレース ジョイン クライアントのバージョン 2.1 以降が必要です。

"AZUREADSSOACC" コンピューター アカウントの Kerberos 復号化キーをロールオーバーするにはどうすればよいですか。

オンプレミスの AD フォレストで作成した AZUREADSSO コンピューター アカウント (Microsoft Entra ID を表します) の Kerberos 解読キーを頻繁にロールオーバーすることが重要です。

重要

Update-AzureADSSOForest コマンドレットを使って、少なくとも 30 日ごとに Kerberos 解読キーをロールオーバーすることを強くお勧めします。 Update-AzureADSSOForest コマンドレットを使う場合は、1 つのフォレストで Update-AzureADSSOForest コマンドを複数回実行しないでください。 複数回実行すると、ユーザーの Kerberos チケットの期限が切れてオンプレミスの Active Directory によって再発行されるまで、この機能は動作を停止します。

Microsoft Entra Connect を実行しているオンプレミス サーバーで、以下の手順を実行します。

Note

この手順には、ドメイン管理者とハイブリッド ID 管理者の資格情報が必要です。 ドメイン管理者ではなく、ドメイン管理者によってアクセス許可が割り当てられた場合は、Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount を呼び出す必要があります

ステップ 1. シームレス SSO が有効になっている AD フォレストのリストの取得

  1. 最初に Azure AD PowerShell をダウンロードしてインストールします。
  2. $env:programfiles"\Microsoft Azure Active Directory Connect" フォルダーに移動します。
  3. 以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1
  4. PowerShell を管理者として実行します。 PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。 このコマンドでは、テナントのハイブリッド ID 管理者の資格情報を入力するポップアップが表示されます。
  5. Get-AzureADSSOStatus | ConvertFrom-Json を呼び出します。 このコマンドでは、この機能が有効になっている AD フォレストの一覧 ("ドメイン" リストを参照) が提供されます。

ステップ 2. Kerberos 解読キーが設定された各 AD フォレストでキーを更新する

  1. $creds = Get-Credential を呼び出します。 メッセージが表示されたら、目的の AD フォレストのドメイン管理者の資格情報を入力します。

注意

ドメイン管理者の資格情報ユーザー名は、SAM アカウント名の形式 (contoso\johndoe または contoso.com\johndoe) で入力する必要があります。 Microsoft はユーザー名のドメイン部分を使用して、DNS を使用してドメイン管理者のドメイン コントローラーを検索します。

注意

使用するドメイン管理者アカウントは、保護されているユーザー グループのメンバーであってはなりません。 そうであった場合は、操作が失敗します。

  1. Update-AzureADSSOForest -OnPremCredentials $creds を呼び出します。 このコマンドは、この特定の AD フォレスト内で AZUREADSSO コンピューター アカウントの Kerberos 復号化キーを更新し、Microsoft Entra ID 内でこのキーを更新します。

  2. 機能が有効に設定されている AD フォレストごとに、上記の手順を繰り返します。

Note

Microsoft Entra Connect 以外のフォレストを更新する場合は、グローバル カタログ サーバー (TCP 3268 および TCP 3269) への接続が可能であることを確認してください。

重要

Microsoft Entra Connect をステージング モードで実行しているサーバーでは、これを実行する必要はありません。

シームレス SSO はどのように無効にできますか。

ステップ 1. テナントで機能を無効にする

オプション A: Microsoft Entra Connect を使用して無効にする

  1. Microsoft Entra Connect を実行し、[Change user sign-in page](ユーザー サインイン ページの変更) を選択して [次へ] をクリックします。
  2. [シングル サインオンを有効にする] オプションのチェック マークをオフにします。 ウィザードの手順を続行します。

ウィザードの完了後、シームレス SSO はテナントで無効になります。 ただし、画面に次のようなメッセージが表示されます。

「シングル サインオンは現在無効ですが、クリーンアップを完了するために実行できるその他の手動手順があります。 詳細をご覧ください

クリーンアップ プロセスを完了するには、Microsoft Entra Connect を実行しているオンプレミス サーバーで手順 2 と手順 3 を実行します。

オプション B: PowerShell を使用して無効にする

Microsoft Entra Connect を実行しているオンプレミス サーバーで以下の手順を実行します。

  1. 最初に Azure AD PowerShell をダウンロードしてインストールします。
  2. $env:ProgramFiles"\Microsoft Azure Active Directory Connect" フォルダーに移動します。
  3. 以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1
  4. PowerShell を管理者として実行します。 PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。 このコマンドでは、テナントのハイブリッド ID 管理者の資格情報を入力するポップアップが表示されます。
  5. Enable-AzureADSSO -Enable $false を呼び出します。

この時点では、シームレス SSO は無効ですが、シームレス SSO を有効に戻したい場合のために、ドメインでは構成されたままです。 ドメインに対するシームレス SSO の構成を完全に削除するには、上記の手順 5 を完了した後で、Disable-AzureADSSOForest -DomainFqdn <fqdn> のコマンドレットを呼び出します。

重要

PowerShell を使用してシームレス SSO を無効にした場合、Microsoft Entra Connect の状態は変更されません。 シームレス SSO は、[ユーザー サインインの変更] ページに有効と表示されます。

Note

Microsoft Entra Connect Sync サーバーがない場合は、サーバーをダウンロードして最初のインストールを実行できます。 これによってサーバーの設定は行われませんが、SSO を無効にするために必要なファイルがアンパックされます。 MSI のインストールが完了したら、Microsoft Entra Connect ウィザードを閉じて、PowerShell を使用してシームレス SSO を無効にする手順を実行します。

ステップ 2. シームレス SSO が有効になっている AD フォレストのリストの取得

Microsoft Entra Connect を使用してシームレス SSO を無効にした場合は、以下の手順 1 から手順 4 を実行します。 代わりに PowerShell を使用してシームレス SSO を無効にした場合は、タスク 5 に進みます。

  1. 最初に Azure AD PowerShell をダウンロードしてインストールします。
  2. $env:ProgramFiles"\Microsoft Azure Active Directory Connect" フォルダーに移動します。
  3. 以下のコマンドを使用して、Seamless SSO PowerShell モジュールをインポートします。Import-Module .\AzureADSSO.psd1
  4. PowerShell を管理者として実行します。 PowerShell で、New-AzureADSSOAuthenticationContext を呼び出します。 このコマンドでは、テナントのハイブリッド ID 管理者の資格情報を入力するポップアップが表示されます。
  5. Get-AzureADSSOStatus | ConvertFrom-Json を呼び出します。 このコマンドでは、この機能が有効になっている AD フォレストのリスト ("ドメイン" リストを参照) が表示されます。

手順 3. 表示されている各 AD フォレストから AZUREADSSO コンピューター アカウントを手動で削除します。

次のステップ