Active Directory フェデレーション サーバーから Microsoft Entra への移行の FAQ
Microsoft Entra ID は、強力な認証と、リソースへのアクセス権を与えるリアルタイムかつリスクベースのアダプティブ アクセス ポリシーを使用して、すべてのリソースおよびアプリにクラウドベースのシンプルなサインイン エクスペリエンスを提供します。この結果、AD FS 環境の管理と保守の運用コストが削減され、IT 効率が向上します。
AD FS から Microsoft Entra ID にアップグレードした方がよい理由の詳細については、「AD FS から Microsoft Entra ID への移行」を参照してください。 AD FS からアップグレードする方法については、「フェデレーションからクラウド認証に移行する」を参照してください。
一般的な質問
このドキュメントでは、AD FS から Microsoft Entra ID への移行に関してよく寄せられる質問に対する回答を掲載しています。
AD FS をパスワード ハッシュ同期またはパススルー認証と並行して実行できますか?
はい、できます。 これは非常に一般的です。 段階的ロールアウトを使用すると、ドメインがフェデレーションされた状態のまま、ユーザーのサブセットが Microsoft Entra ID に対して直接認証できることを検証できます。 このドキュメントの「フェデレーションからクラウド認証に移行する」では、このプロセスについて説明します。
AD FS を介してサイトに内部的にアクセスする場合、ユーザーはシングル サインオン エクスペリエンスを得ることができます。 Microsoft Entra ID に移行するときに同じエクスペリエンスを維持するにはどうすればよいでしょうか。
いくつかの方法があります。 1 つ目の推奨される方法は、既存の Windows 10/11 ドメイン参加済みマシンを Microsoft Entra にハイブリッド参加させるか、Microsoft Entra 参加を使用することです。 これにより、同じシームレスなシングル サインオン エクスペリエンスが提供されます。 2 つ目の方法は、Microsoft Entra にハイブリッド参加していないマシン、または Windows クライアントでまだ同じエクスペリエンスが得られるダウンレベルに対して、シームレスなシングル サインオンを利用することです。
AD FS デバイス信頼性情報を使用して Microsoft Entra ハイブリッド参加済み デバイスを登録しています。 デバイスが引き続き AD FS でハイブリッド AADJ プロセスを完了できるようにするにはどうすればよいですか?
デバイスに対する Microsoft Entra ハイブリッド参加の構成プロセスに従って、AD FS なしで登録プロセスを完了できます。
AD FS に承認規則があります。 Microsoft Entra ID でこれを行う同等の方法は何ですか。
これらは、Microsoft Entra 条件付きアクセス ポリシーに変換されます。 事前作成されたいくつかのテンプレート ポリシーがあり、それを使用して開始できます。
ユーザーを段階的ロールアウト グループに配置する場合、現在のセッションに影響を及ぼし、再認証が必要になりますか?
いいえ。現在のセッションは有効なままであり、次に認証が必要になったときに、フェデレーションではなくマネージド認証を使用して認証します。
私は、他の会社との間で、リソースにアクセスするための要求プロバイダー信頼を持っています。 この信頼関係をどのように移行すればよいですか?
同じ認証アクセスを達成するために、Microsoft Entra B2B を活用することを検討してください。
カスタム要求ルールがあるのですが、Microsoft Entra ID はこれをサポートできますか。
はい。必要なルールに応じて可能です。 調査するには、AD FS アプリケーション アクティビティ レポートを使用し、SAML 要求をカスタマイズする方法を確認することが最善の方法です。
ドメインをフェデレーションからマネージドに切り替える場合、変更が反映されるのにどれくらいの時間がかかりますか?
完全なカットオーバーには最大 4 時間かかる場合があるため、それに応じてメンテナンス期間を計画してください。
O365 を使用するために AD FS は必要ですか?
いいえ、O365 では ADFS を必要とせずにユーザーを直接認証できます。
アプリケーション構成を Microsoft Entra ID に移動したら、移行を完了するのに他にしなければならないことはありますか。
はい。Microsoft Entra ID を使用するようにアプリ自体を再構成 (一括移行) するまで、Microsoft Entra へのアプリケーションの移行は完了しません。
ユーザーが自分のメール アドレスまたはユーザー プリンシパル名 (UPN) でログインできるようにするために ADFS が必要ですか?
いいえ。Microsoft Entra ID ではメール アドレスまたはユーザー プリンシパル名を使用したサインインがサポートされています。