Microsoft Entra ハイブリッド ID ソリューション向けの適切な認証方法を選択する

正しい認証方法の選択は、クラウドにアプリを移行しようとしている組織にとって最大の関心事です。 次の理由により、この決定は極めて慎重に行う必要があります。

  1. 認証方法の選択は、クラウドへの移行に着手しようとする組織が最初に決定すべき事項です。

  2. 認証方法は、クラウドにおける組織のプレゼンスの重要なコンポーネントとなります。 ユーザー認証により、クラウド内のすべてのデータとリソースへのアクセスがコントロールされます。

  3. 認証方法は、Microsoft Entra ID での他の高度なセキュリティやユーザー エクスペリエンス機能すべての基盤ともなります。

ID は IT セキュリティの新しいコントロール プレーンであり、その認証は新しいクラウド環境における組織のアクセス ガードとなります。 組織には、セキュリティを強化し、クラウド アプリを侵入者から保護するための ID コントロール プレーンが必要です。

メモ

認証方法の変更にはプランニングとテストが必要であり、恐らくある程度のダウンタイムを伴います。 段階的なロールアウトは、フェデレーションからクラウド認証へのユーザーの移行をテストできる優れた手法です。

対象範囲外

オンプレミスに既存のディレクトリ フットプリントを持たない組織は、この記事の対象範囲外です。 通常、このような企業はクラウド内にのみ ID を作成し、ハイブリッド ID ソリューションを必要としません。 クラウド専用の ID はクラウドにのみ存在するため、対応するオンプレミスの ID と関連付けられることはありません。

認証方法

新しいコントロール プレーンとして Microsoft Entra ハイブリッド ID ソリューションを採用する場合、認証がクラウド アクセスの基盤となります。 正しい認証方法の選択は、Microsoft Entra ハイブリッド ID ソリューションのセットアップにおける最初の重要な決定事項です。 選択した認証方法を、クラウド内でのユーザー プロビジョニングも行う Microsoft Entra Connect を使って構成してください。

認証方法の選択に際しては、時間、既存のインフラストラクチャ、複雑さ、およびその認証方法の実装にかかるコストを考慮する必要があります。 これらの要因は組織ごとに異なり、また長期的なタイミングによっても変化します。

Microsoft Entra ID は、次のハイブリッド ID ソリューション向け認証方法をサポートします。

クラウド認証

この認証方法を選ぶと、Microsoft Entra ID がユーザーのサインイン プロセスを処理します。 シングル サインオン (SSO) と組み合わせることにより、ユーザーは認証情報を繰り返し入力しなくてもクラウド アプリにサインインできるようになります。 クラウド認証では、2 つのオプションのいずれかを選択できます。

Microsoft Entra パスワードのハッシュ同期。 Microsoft Entra ID でオンプレミスのディレクトリ オブジェクトの認証を有効にする最も簡単な方法です。 ユーザーはオンプレミスで使用しているものと同じユーザー名とパスワードを使用でき、他のインフラストラクチャをデプロイする必要はありません。 なお、Microsoft Entra ID 保護や Microsoft Entra ドメイン サービスなど、一部の Microsoft Entra ID のプレミアム機能を利用するには、どの認証方法を選択しても パスワード ハッシュ同期が必要になります。

メモ

パスワードがクリア テキストで保存されたり、Microsoft Entra ID の復元可能なアルゴリズムで暗号化されたりすることはありません。 パスワード ハッシュ同期の実際のプロセスについて詳しくは、「Microsoft Entra Connect 同期を使用したパスワード ハッシュ同期の実装」を参照してください。

Microsoft Entra パススルー認証。 1 つ以上のオンプレミス サーバーで実行されているソフトウェア エージェントを使用して、Microsoft Entra 認証サービス向けに簡単なパスワード認証を提供します。 オンプレミスの Active Directory を使用してサーバーが直接ユーザーを認証するため、クラウド上でパスワード認証が行われることはありません。

オンプレミスのユーザー アカウント状態を直ぐに適用しなければならないセキュリティ要件のある企業、パスワード ポリシーのある企業、もしくは所定のサインイン時間帯がある企業は、この認証方法を使用するとよいでしょう。 パススルー認証の実際の仕組みについて詳しくは、「Microsoft Entra パススルー認証によるユーザー サインイン」を参照してください。

フェデレーション認証

この認証方法では、Microsoft Entra ID は、別の信頼できる認証システム (オンプレミスの Active Directory フェデレーション サービス (AD FS) など) に、ユーザーのパスワードを検証する認証プロセスを引き継ぎます。

そのような認証システムでは、サードパーティによる多要素認証など他の高度な認証要件が提供される場合があります。

次のセクションでは、デシジョン ツリーに基づいた、組織に適した認証方法の決定方法について説明します。 これにより、Microsoft Entra ハイブリッド ID ソリューション向けにクラウド認証とフェデレーション認証のどちらを展開すればよいかを判断できます。

デシジョン ツリー

Microsoft Entra 認証に関するデシジョン ツリー

意思決定のための判断材料:

  1. Microsoft Entra ID は、パスワードを検証するためのオンプレミス コンポーネントに依存せずにユーザーのサインインを処理できます。
  2. Microsoft Entra ID は、Microsoft AD FS などの信頼できる認証プロバイダーにユーザーのサインイン情報を渡すことができます。
  3. ユーザー レベルの Active Directory のセキュリティ ポリシー (アカウントの期限切れ、無効なアカウント、パスワードの期限切れ、アカウントのロックアウト、ユーザー別のサインイン時間帯など) を適用する必要がある場合、Microsoft Entra ID では一部のオンプレミス コンポーネントを必要とします。
  4. Microsoft Entra ID でネイティブにサポートされていないサインイン機能:
    • サード パーティの認証ソリューションを使用したサインイン。
    • 複数サイトのオンプレミス認証ソリューション。
  5. Microsoft Entra ID 保護では、「認証情報が漏洩したユーザー」のレポートを提供できるよう、どのサインイン方法を選択してもパスワード ハッシュ同期が必要となります。 主要なサインイン方法に障害が発生しても、障害イベント発生前にパスワード ハッシュ同期が構成されていれば、組織はパスワード ハッシュ同期にフェールオーバーすることができます。

メモ

Microsoft Entra ID 保護には、Microsoft Entra ID P2 ライセンスが必要です。

詳細な考慮事項

クラウド認証: パスワード ハッシュ同期

  • 作業量。 パスワード ハッシュ同期は、展開、メンテナンス、インフラストラクチャに関して最小限の作業量のみを必要とします。 ユーザーに求める手順が、Microsoft 365、SaaS アプリ、その他の Microsoft Entra ID ベースのリソースへのサインインのみである組織においては、通常、このレベルの作業量が適用されます。 パスワード ハッシュ同期をオンにすると、ハッシュ同期がMicrosoft Entra Connect 同期プロセスの一部に組み込まれ、2 分毎に実行されます。

  • ユーザー エクスペリエンス。 ユーザーのサインイン エクスペリエンスを向上させるには、Microsoft Entra 参加済みデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスを使用してください。 Windows デバイスを Microsoft Entra ID に参加させることができない場合は、パスワード ハッシュ同期を使用してシームレス SSO を展開することをお勧めします。 シームレス SSO によって、ユーザーのサインイン時に不要なプロンプトが表示されないようになります。

  • 高度なシナリオ。 組織は、希望すれば、Microsoft Entra ID P2 を使用した Microsoft Entra ID 保護 レポートで各 ID からの分析情報を取得できます。 そのような分析情報の例が、漏洩した認証情報のレポートです。 Windows Hello for Business には、パスワード ハッシュ同期の使用に関する特定の要件があります。 Microsoft Entra ドメイン サービスでは、ユーザーが会社の認証情報を使用してマネージド ドメインでプロビジョニングできるよう、パスワードのハッシュ同期が必要となります。

    パスワード ハッシュ同期を使用する多要素認証が必要な組織は、Microsoft Entra の多要素認証または条件付きアクセス カスタム コントロールを使用する必要があります。 なお、こうした組織は、フェデレーションに依存する、サード パーティ製またはオンプレミスの多要素認証方法を使用できません。

メモ

Microsoft Entra 条件付きアクセスには、Microsoft Entra ID P1 のライセンスが必要です。

  • ビジネス継続性。 クラウド認証と併せてパスワード ハッシュ同期を使用することにより、すべての Microsoft データセンターに対してスケーリング可能なクラウド サービスとして高い可用性を実現できます。 パスワード ハッシュ同期が長期間ダウンしないようにするには、2 つ目の Microsoft Entra Connect サーバーを、スタンバイ構成内のステージング モードで展開します。

  • 考慮事項。 現在、パスワード ハッシュ同期では、オンプレミスのアカウントの状態の変化はすぐには適用されません。 このような状況では、ユーザーは、Microsoft Entra ID にユーザー アカウントの状態が同期されるまで、クラウド アプリにアクセスできます。 組織がこのような制限を回避する方法の 1 つは、管理者がオンプレミスのユーザー アカウントの状態を一括更新した後に、新しい同期サイクルを実行することです。 たとえば、アカウントを無効にするなどの処理が考えられます。

メモ

現在、パスワードの期限切れとアカウントのロックアウトの状態は、Microsoft Entra ID と Microsoft Entra Connect には同期されません。 例えば特定のユーザーのパスワードを変更し、さらにそのユーザーについて[次回ログオン時にパスワードの変更を必要とする] フラグをオンにすると、そのユーザーが自分でパスワードを変更するまで、Microsoft Entra ID と Microsoft Entra Connect によるパスワード ハッシュ同期は行われません。

展開手順については、「パスワード ハッシュ同期の実装」を参照してください。

クラウド認証: パススルー認証

  • 作業量。 パススルー認証の場合、既存のサーバーに、1 つまたは複数の軽量のエージェント (推奨は 3 つです)をインストールする必要があります。 これらのエージェントは、オンプレミス AD ドメイン コントローラーを含む、オンプレミスの Active Directory ドメイン サービスにアクセスできる必要があります。 さらに各エージェントは、インターネットへの発信アクセスとお使いのドメイン コントローラーへのアクセスも必要とします。 このため、境界ネットワーク内にエージェントを展開することはできません。

    パススルー認証には、ドメイン コントローラーへの制約なしのネットワーク アクセスが必要です。 すべてのネットワーク トラフィックは暗号化され、認証要求により制限されます。 このプロセスについて詳しくは、「パススルー認証に関するセキュリティの詳細」を参照してください。

  • ユーザー エクスペリエンス。 ユーザーのサインイン エクスペリエンスを向上させるには、Microsoft Entra 参加済みデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスを使用してください。 Windows デバイスを Microsoft Entra ID に参加させることができない場合は、パスワード ハッシュ同期を使用してシームレス SSO を展開することをお勧めします。 シームレス SSO によって、ユーザーのサインイン時に不要なプロンプトが表示されないようになります。

  • 高度なシナリオ。 パススルー認証では、サインインの時点でオンプレミスのアカウント ポリシーが適用されます。 たとえば、オンプレミスのユーザーのアカウントの状態が、無効、ロックアウト、パスワード期限切れ、またはログオン試行が当該ユーザーに許可されているサインイン時間帯外に行われた場合、アクセスは拒否されます。

    パススルー認証を使用する多要素認証が必要な組織は、Microsoft Entra 多要素認証または条件付きアクセス カスタム コントロールを使用する必要があります。 このような組織は、フェデレーションに依存するサード パーティまたはオンプレミスの多要素認証方法を使用できません。 また高度な機能の利用には、パススルー認証を選択するかどうかにかかわらず、パスワード ハッシュ同期が必要になります。 高度な機能とは、例えばMicrosoft Entra ID 保護による漏洩した認証情報の検出などです。

  • ビジネス継続性。 2 つの追加パススルー認証エージェントを展開することをお勧めします。 Microsoft Entra Connect サーバー上で使用する最初のエージェントに加えて、これらのエージェントを実装してください。 これらの追加の展開により、認証要求の高可用性が保証されます。 3 つのエージェントを展開すると、メンテナンスのために 1 つのエージェントを停止している間にもう 1 つのエージェントに障害が発生しても、まだ残る 1 つのエージェントで対応が可能となります。

    パススルー認証と併せてパスワード ハッシュ同期も展開することの利点は、もう 1 つあります。 それは、プライマリ認証方法を利用できなくなった場合に、バックアップの認証方法として機能できることです。

  • 考慮事項。 エージェントがオンプレミスで発生した重大な障害によりユーザーの認証情報を検証できない場合に、パススルー認証に対するバックアップの認証としてパスワード ハッシュ同期を使用できます。 パスワード ハッシュ同期へのフェールオーバーは自動的には行われないため、Microsoft Entra Connect を使用してサインイン方法を手動で切り替える必要があります。

    代替 ID のサポートなど、パススルー認証におけるその他の考慮事項については、「よくある質問」を参照してください。

展開手順については、「パススルー認証の実装」を参照してください。

フェデレーション認証

  • 作業量。 フェデレーション認証システムでは、信頼できる外部システムを利用してユーザーを認証します。 企業によっては、フェデレーション システムへの既存の投資を Microsoft Entra ハイブリッド ID ソリューションでも引き続き利用したいと考える場合がありますが、 フェデレーション システムの管理とメンテナンスは、Microsoft Entra ID のコントロールの範囲外です。 フェデレーション システムが安全に展開されるかどうか、また認証の負荷を処理できるかどうかを確認するのは、あくまでフェデレーション システムを使用する企業の責任となります。

  • ユーザー エクスペリエンス。 フェデレーション認証のユーザー エクスペリエンスは、機能、トポロジ、およびフェデレーション ファーム構成の実装に依存します。 組織によっては、セキュリティ要件に合わせてフェデレーション ファームへのアクセスを調整したり構成するために、このような柔軟性が必要になります。 たとえば、ユーザーとデバイスの接続を内部で構成することにより、認証情報の入力を求めることなく自動的にユーザーをサインインさせることもできます。 このような構成が機能するのは、ユーザーが既にデバイスにサインインしていることを前提にしています。 逆に必要な場合は、高度なセキュリティ機能を利用してユーザーのサインイン プロセスをさらに込み入ったものにすることもできます。

  • 高度なシナリオ。 フェデレーション認証ソリューションが必要になるのは、Microsoft Entra ID によってネイティブにサポートされていない認証要件がある場合です。 詳しくは、「適切なサインイン オプションを選択する」を参照してください。 次の一般的な要件を考慮する必要があります。

    • フェデレーション ID プロバイダーを必要とするサード パーティの多要素認証プロバイダー。
    • サード パーティの認証ソリューションを使用する認証。 詳しくは、「Microsoft Entra のフェデレーション互換性リスト」を参照してください。
    • ユーザー プリンシパル名 (UPN) (例: user@domain.com) ではなく、sAMAccountName (例: DOMAIN\username) を必要とするサインイン。
  • ビジネス継続性。 フェデレーション システムでは、通常、負荷分散されたサーバー群、通称「ファーム」が必要になります。 こうしたファームは、認証要求の高可用性を保証するため、内部ネットワークおよび境界ネットワークのトポロジに構成されます。

    プライマリ認証方法を使用できない場合に備えて、フェデレーション認証と併せてパスワード ハッシュ同期をバックアップ認証方法として展開してください。 たとえば、オンプレミスのサーバーが利用できない場合などに備えるためです。 大規模なエンタープライズ組織では、認証要求の待機時間を短くするため、geo-DNS で構成された複数のインターネット イングレス ポイントをフェデレーション ソリューションでサポートすることが必要になる場合があります。

  • 考慮事項。 フェデレーション システムでは通常、オンプレミスのインフラストラクチャへのより大きな投資が必要になります。 オンプレミスのフェデレーションに既に投資している組織のほとんどは、このオプションを選択します。 または、ビジネス上の理由から、単一の ID プロバイダーを使用することがどうしても必要な場合もあります。 フェデレーション認証は、クラウド認証ソリューションに比べて運用とトラブルシューティングがより複雑になります。

Microsoft Entra ID では検証できないルーティング不可能なドメインの場合、ユーザー ID によるサインインを実装するには追加の構成が必要になります。 この要件は、代替ログイン ID のサポートと呼ばれます。 制限事項と要件については、「代替ログイン ID の構成」を参照してください。 フェデレーションに基づくサード パーティの多要素認証プロバイダーを使用する場合は、デバイスが Microsoft Entra ID に参加できるよう、そのプロバイダーが WS-Trust をサポートしていることを確認してください。

展開手順については、「フェデレーション サーバーの展開」を参照してください。

メモ

Microsoft Entra ハイブリッド ID ソリューションを展開する際には、サポートされているいずれかのMicrosoft Entra Connect トポロジを実装する必要があります。 サポートされている構成とサポートされていない構成について詳しくは、「Microsoft Entra Connect のトポロジ」を参照してください。

アーキテクチャ図

以下の図に、Microsoft Entra ハイブリッド ID ソリューションで使用できる各認証方法に必要な、アーキテクチャ コンポーネントの概要を示します。 これにより、ソリューションごとの相違点を確認できます。

  • パスワード ハッシュ同期ソリューションのシンプルさ:

    パスワード ハッシュ同期を使用する Microsoft Entra ハイブリッド ID

  • 冗長性のために 2 つのエージェントを使用する、パススルー認証のエージェント要件:

    パススルー認証を使用する Microsoft Entra ハイブリッド ID

  • 組織の境界ネットワークと内部ネットワークでのフェデレーションに必要なコンポーネントの概要:

    フェデレーション認証を使用する Microsoft Entra ハイブリッド ID

方法の比較

考慮事項 パスワード ハッシュ同期 パススルー認証 AD FS とのフェデレーション
認証が行われる場所はどこですか? クラウド内 クラウド内で、オンプレミス認証エージェントとのセキュリティで保護されたパスワード検証のやり取りの完了後 オンプレミス
プロビジョニング システム (Microsoft Entra Connect) 以外のオンプレミスサーバー要件は何ですか? なし 追加の認証エージェント 1 つごとに 1 つのサーバー 2 つ以上の AD FS サーバー

境界/DMZ ネットワークに 2 つ以上の WAP サーバー
プロビジョニング システム以外のオンプレミスのインターネットおよびネットワーク要件は何ですか? なし 認証エージェントを実行しているサーバーからの発信インターネット アクセス 境界 WAP サーバーへの受信インターネット アクセス

境界 WAP サーバーから AD FS サーバーへの受信ネットワーク アクセス

ネットワークの負荷分散
TLS/SSL 証明書の要件はありますか? いいえ いいえ はい
正常性監視ソリューションはありますか? 必要なし Microsoft Entra 管理センターによって提供されるエージェント状態データ MMicrosoft Entra Connect Health
ユーザーは、会社のネットワーク内のドメインに参加しているデバイスからクラウドのリソースへのシングル サインオンを利用できますか? Microsoft Entra 参加済みデバイスMicrosoft Entra ハイブリッド参加済みデバイスApple デバイス用 Microsoft Enterprise SSO プラグイン、またはシームレス SSO の場合は、はい、できます。 Microsoft Entra 参加済みデバイスMicrosoft Entra ハイブリッド参加済みデバイスApple デバイス用 Microsoft Enterprise SSO プラグイン、またはシームレス SSO の場合は、はい、できます。 はい
サポートされているサインイン種別は何ですか? UserPrincipalName + パスワード

シームレス SSO を使用した Windows 統合認証

代替ログイン ID

Microsoft Entra 参加済みデバイス

Microsoft Entra ハイブリッド参加済みデバイス

証明書およびスマート カード認証
UserPrincipalName + パスワード

シームレス SSO を使用した Windows 統合認証

代替ログイン ID

Microsoft Entra 参加済みデバイス

Microsoft Entra ハイブリッド参加済みデバイス

証明書およびスマート カード認証
UserPrincipalName + パスワード

sAMAccountName + パスワード

Windows 統合認証

証明書およびスマート カード認証

代替ログイン ID
Windows Hello for Business はサポートされていますか? キー信頼モデル

ハイブリッド クラウドの信頼
キー信頼モデル

ハイブリッド クラウドの信頼

いずれも Windows Server 2016 ドメインの機能レベルが必要
キー信頼モデル

ハイブリッド クラウドの信頼

証明書信頼モデル
利用可能な多要素認証オプションは何ですか? Microsoft Entra 多要素認証

条件付きアクセスを使用するカスタム コントロール*
Microsoft Entra 多要素認証

条件付きアクセスを使用するカスタム コントロール*
Microsoft Entra 多要素認証

サード パーティの MFA

条件付きアクセスを使用するカスタム コントロール*
どのようなユーザー アカウント状態がサポートされますか? 無効なアカウント
(最大 30 分の遅延)
無効なアカウント

アカウントのロックアウト

アカウント期限切れ

パスワード期限切れ

サインイン時間帯
無効なアカウント

アカウントのロックアウト

アカウント期限切れ

パスワード期限切れ

サインイン時間帯
条件付きアクセスの利用可能なオプションは何ですか? Microsoft Entra ID P1 または P2 を使用した Microsoft Entra 条件付きアクセス Microsoft Entra ID P1 または P2 を使用した Microsoft Entra 条件付きアクセス Microsoft Entra ID P1 または P2 を使用した Microsoft Entra 条件付きアクセス

AD FS の申請規則
レガシプロトコルのブロックはサポートされますか? はい はい はい
サインイン ページのロゴ、画像、説明文はカスタマイズできますか? はい (Microsoft Entra ID P1 または P2 を使用) はい (Microsoft Entra ID P1 または P2 を使用) はい
サポートされる高度なシナリオは何ですか? スマートなパスワード ロックアウト

漏洩した認証情報のレポート (Microsoft Entra ID P2 を使用)
スマートなパスワード ロックアウト 複数サイトの低レイテンシー認証システム

AD FS エクストラネットのロックアウト

サード パーティ ID システムとの統合

メモ

Microsoft Entra 条件付きアクセスでのカスタム コントロールは、現時点ではデバイスの登録をサポートしていません。

推奨事項

お使いのID システムにより、クラウドに移行させて利用可能とするアプリへのユーザーのアクセスが保証されます。 どの認証方法を選択する場合でも、次の理由により、必ずパスワード ハッシュ同期を使用するか有効にしてください。

  1. 高可用性とディザスター リカバリー。 パススルー認証とフェデレーションは、オンプレミスのインフラストラクチャに依存します。 パススルー認証の場合、オンプレミスのフットプリントには、パススルー認証エージェントに必要なサーバー ハードウェアとネットワークが含まれます。 フェデレーションの場合、オンプレミスのフットプリントはさらに大きくなります。 認証要求と内部フェデレーション サーバーをプロキシするために、境界ネットワーク内にサーバーが必要になるためです。

    単一障害点を回避するには、冗長サーバーを展開してください。 これにより、いずれかのコンポーネントで障害が発生しても、認証要求サービスが常に提供されるようにします。 また、パススルー認証とフェデレーションのいずれも、認証要求に応答するためにドメイン コントローラーに依存しますが、ここでも障害が発生する可能性があります。 これらのコンポーネントの多くは、正常性を保つためにメンテナンスが必要です。 メンテナンスの計画や実装が適切でない場合は、システムが停止する可能性が高くなります。

  2. オンプレミスの停止への対応。 サイバー攻撃や災害によるオンプレミスの停止は、ブランド評価のダメージや組織が麻痺して攻撃に対処できなくなることなど、深刻な影響を及ぼす可能性があります。 近年でも、オンプレミスのサーバーがダウンする原因となった特定対象へのランサムウェアなど、多くの組織がマルウェア攻撃の被害を受けています。 Microsoft は、この種の攻撃への対処を支援するなかで、企業は 2 つのカテゴリに分類されることに気付きました。

    • これまでフェデレーション認証またはパススルー認証と併せてパスワード ハッシュ同期をオンにしていた組織の多くが、パスワード ハッシュ同期を使用するようにプライマリ認証方法を変更していました。 このような組織は、数時間でオンライン状態を復旧することができました。 これらの組織は、Microsoft 365 を介して電子メールにアクセスすることで、問題解決と他のクラウド ベースのワークロードへのアクセスのために作業することができました。

    • いっぽう、事前にパスワード ハッシュ同期を有効にしていなかった組織は、問題解決のために、信頼できない外部のコンシューマー向けメール システムを通信に利用するしかありませんでした。 そのような企業は、ユーザーがクラウドベースのアプリに再度サインインできるよう、オンプレミスの ID インフラストラクチャを復元するのに数週間かかりました。

  3. ID 保護 クラウド内のユーザーを保護する最適な方法の 1 つは、Microsoft Entra ID P2 を使用した Microsoft Entra ID 保護 です。 Microsoft は常にインターネットを精査して、ダークウェブで販売されたり利用されているユーザーやパスワードのリストをチェックしています。 Microsoft Entra ID はこの情報を使って、組織のユーザー名やパスワードのいずれかが侵害されているかどうかを確認します。 したがって、使用している認証方法がフェデレーション認証かパススルー認証かに関係なく、パスワード ハッシュ同期を有効にすることが重要になります。 漏洩した認証情報は、レポートとして提示されます。 ユーザーが漏洩したパスワードでのサインインを試みた場合、この情報を使用してユーザーをブロックするか、パスワードの変更を要求します。

まとめ

この記事では、組織がクラウド アプリへのアクセスをサポートするために構成して展開できるさまざまな認証オプションの概要を説明しました。 さまざまなビジネス面、セキュリティ面、技術面の要件を満たすため、組織は、パスワード ハッシュ同期、パススルー認証、およびフェデレーション認証のいずれかを選択できます。

それぞれの認証方法を検討してください。 ソリューションを展開するための作業量や、サインイン プロセスでのユーザーのエクスペリエンスは、貴社のビジネス要件に合っているでしょうか? 各認証方法が提供する高度なシナリオとビジネス継続性機能を貴社が必要とするかどうかを評価してください。 最後に、各認証方法の考慮事項を評価してください。 選択した方法の実装の妨げになるような項目はありませんか?

次のステップ

今日の世界において、セキュリティ脅威は常に、あらゆる場所に存在します。 適切な認証方法を実装することで、セキュリティ リスクが軽減され、ID を保護できます。

Microsoft Entra ID を利用して、組織に適した認証ソリューションを展開してください。

フェデレーション認証からクラウド認証への移行を検討している場合は、「サインイン方法の変更」を参照してさらに詳しい情報を確認してください。 移行の計画と実装をスムーズに行うため、こちらのプロジェクトデプロイプランを採用するか、あるいはフェデレーション ユーザーを段階的にクラウド認証へと移行する新しいアプローチである「段階的なロールアウト」の使用を検討してください。