こんにちは!
Azure Identity サポート担当の橋本です。
今回は Azure AD Connect のパススルー認証とシームレス シングルサインオン機能で実現するシングル サインオンについてご紹介します。
従来、Office 365 にシングル サインオン (SSO) といえば、AD FS が必要でしたが、Azure AD Connect のパススルー認証とシームレス シングルサインオンを構成することで、AD FS 無しで SSO が実現できてしまいます。
ID とパスワードはオンプレミス側で管理しつつも、Azure AD と連携しているクラウド サービスなどは、ユーザーはパスワードを入力することなくオンプレの ID を用いたシングル サインオンで利用できるようになるのです。
設定方法はとても簡単。
- Azure AD Connect でパススルー認証 + シングルサインオンを有効にします。
![]()
- ドメイン グループ ポリシーを使って、ユーザーのイントラネットゾーンの設定に次の Azure AD URL を追加するポリシーをユーザーに配布します。
- https://autologon.microsoftazuread-sso.com
- https://aadg.windows.net.nsatc.net
前提条件などはいくつかありますが、必要な手順は大まかにこの 2 つだけです。
これにより、ユーザーが社内で、ドメインに参加している端末にサインインし、IE で、例えば https://myapps.microsoft.com/ など Azure AD と連携しているサービスを開くと、ID とパスワードは求められずにサインインが完了します。
(ユーザーの UPN のドメインがテナントで検証済みではない場合は ID の入力は必要です)
こんな感じ↓で、ADFS 無しで SSO ができてしまいます。
これは社内のドメイン参加済み端末からアクセスした場合のシナリオです。
社外からの場合はID とパスワードが要求されます。
ぜひお試しください!
参考情報
ただ、きめ細やかなアクセス制御を行いたいというご要件がある場合は、シームレス SSO にはアクセス制御の機能は実装されていないため、Azure AD Premium の条件付きアクセスや AD FS の併用をご検討ください。
個人的には、現時点 (2017 年 10 月) では、クレーム ルールを用いたアクセス制御やユーザー証明書認証も行える AD FS のほうが制御条件のきめ細やかさには軍配が上がるのでは!?と考えます (メリット/デメリットや設計指針に依存するため、個人の感想です)。
製品動作に関する正式な見解や回答については、お客様環境などを十分に把握したうえでサポート部門より提供させていただきますので、ぜひ弊社サポート サービスをご利用ください。