Microsoft Entra シームレス シングル サインオン

Microsoft Entra シームレス シングル サインオンとは?

Microsoft Entra シームレス シングル サインオン (Microsoft Entra シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行います。 この機能を有効にすると、ユーザーは Microsoft Entra ID にサインインするためにパスワードを入力する必要がなくなり、通常はユーザー名の入力も不要です。 この機能により、追加のオンプレミス コンポーネントを必要とせずに、ユーザーはクラウド ベースのアプリケーションに簡単にアクセスできるようになります。

シームレス SSO は、サインインの方法として、 パスワード ハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。 シームレス SSO は、Active Directory フェデレーション サービス (ADFS) には適用でき ません。

プライマリ更新トークンを介した SSO とシームレス SSO

Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合は、プライマリ更新トークン (PRT) を介した SSO を使用することをお勧めします。 Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。 シームレス SSO では、ユーザーのデバイスがドメインに参加している必要がありますが、Windows 10 の Microsoft Entra 参加済みデバイスや Microsoft Entra ハイブリッド参加済みデバイスでは使用されません。 プライマリ更新トークン (PRT) に基づいて、Microsoft Entra 参加済み、Microsoft Entra ハイブリッド参加済み、Microsoft Entra 登録済みデバイスの SSO が機能します

Microsoft Entra ハイブリッド参加済み、Microsoft Entra 参加済み、または個人登録済みのデバイスに対して PRT を介した SSO が機能するのは、[職場または学校アカウントを追加] を使用してデバイスが Azure AD に登録された後になります。 PRT を使用した Windows 10 での SSO のしくみについて詳しくは、「プライマリ更新トークン (PRT) と Microsoft Entra ID」を参照してください

主な利点

• 優れたユーザー エクスペリエンス
  • ユーザーはオンプレミスとクラウドベースの両方のアプリケーションに自動的にサインインします。
  • ユーザーはパスワードを何度も入力する必要がありません。
• デプロイと管理が容易
  • オンプレミスでは、この機能の動作のために追加のコンポーネントは不要です。
  • パスワード ハッシュ同期またはパススルー認証の、どちらのクラウド認証方法でも機能します。
  • グループ ポリシーを使用して一部またはすべてのユーザーに展開できます。
  • AD FS インフラストラクチャを使用することなく、Windows 10 以外のデバイスを Microsoft Entra ID に登録できます。 この機能では、バージョン 2.1 以降の workplace-join クライアントを使用する必要があります。

機能概要

• サインイン ユーザー名には、オンプレミスの既定のユーザー名 (userPrincipalName) または Microsoft Entra Connect (Alternate ID) で構成された別の属性を指定できます。 シームレス SSO は Kerberos チケットの securityIdentifier 要求を使用して Microsoft Entra ID で対応するユーザー オブジェクトを検索するので、どちらを使用しても問題ありません。
• シームレス SSO は便宜的な機能です。 これが何らかの理由で失敗した場合、ユーザーのサインイン エクスペリエンスは通常の動作に戻ります。つまり、ユーザーはサインイン ページでパスワードを入力する必要があります。
• アプリケーション (たとえば、https://myapps.microsoft.com/contoso.com) が Microsoft Entra サインイン要求で domain_hint (OpenID Connect) パラメーターや whr (SAML) パラメーター (テナントを識別する)、または login_hint ユーザーを識別するパラメーター を転送する場合、ユーザーはユーザー名やパスワードを入力することなく自動的にサインインします。
• アプリケーション (たとえば、https://contoso.sharepoint.com) がサインイン要求を、Microsoft Entra ID のエンドポイント (つまり、https://login.microsoftonline.com/common/<...>) ではなく、Microsoft Entra ID のテナントとして設定されているエンドポイント (つまり、https://login.microsoftonline.com/contoso.com/<..> または https://login.microsoftonline.com/<tenant_ID>/<..>) に送信する場合、ユーザーにはサイレント サインオン エクスペリエンスも提供されます。
• サインアウトがサポートされています。 そのため、ユーザーは、シームレス SSO を使用して自動的にサインインするのではなく、サインインに別の Microsoft Entra アカウントを使用することを選択できます。
• Microsoft 365 Win32 クライアント (Outlook、Word、Excel など) のバージョン 16.0.8730.xxxx 以降は、非インタラクティブ フローを使用することでサポートされます。 OneDrive の場合、サイレント サインオン エクスペリエンス用の OneDrive サイレント構成機能をアクティブにする必要があります。
• この機能は Microsoft Entra コネクトで有効にできます。
• 無料の機能であるため、Microsoft Entra ID の有料版は必要ありません。
• この機能は、Web ブラウザー ベースのクライアントと、Kerberos 認証に対応したプラットフォームおよびブラウザーで最新の認証をサポートしている Office クライアントでサポートされています。

*Internet Explorer バージョン 11 以降が必要です。 (2021 年 8 月 17 日以降、Microsoft 365 のアプリとサービスは Internet Explorer 11 をサポートしなくなります。)

**Internet Explorer バージョン 11 以降が必要です。 拡張保護モードを無効にします。

***別途構成が必要です。

****Chromium に基づく Microsoft Edge

次のステップ

• クイック スタート - Microsoft Entra シームレス SSO を動作させます。
• 展開計画 - 詳細な展開計画です。
• 技術的な詳細 - この機能のしくみを確認します。
• よく寄せられる質問 - よく寄せられる質問と回答です。
• トラブルシューティング - この機能に関する一般的な問題を解決する方法を確認します。
• UserVoice - 新しい機能の要求を提出します。