Active Directory フェデレーション サービス (AD FS) の使用停止ガイド
Microsoft Entra ID は、強力な認証と、リソースへのアクセス権を与えるリアルタイムかつリスクベースのアダプティブ アクセス ポリシーを使用して、すべてのリソースおよびアプリにクラウドベースのシンプルなサインイン エクスペリエンスを提供します。この結果、AD FS 環境の管理と保守の運用コストが削減され、IT 効率が向上します。
AD FS から Microsoft Entra ID にアップグレードした方がよい理由の詳細については、「AD FS から Microsoft Entra ID への移行」を参照してください。 AD FS からアップグレードする方法については、「フェデレーションからクラウド認証に移行する」を参照してください。
このドキュメントでは、AD FS サーバーの使用を停止するための推奨される手順について説明します。
AD FS サーバーの使用停止の前提条件
AD FS サーバーの使用停止を開始する前に、次の項目が完了していることを確認します。 詳細については、「フェデレーションからクラウド認証に移行する」を参照してください。
Microsoft Entra Connect Health をインストールして、オンプレミス ID インフラストラクチャの堅牢な監視を行います。
シングル サインオン (SSO) の事前作業を完了します。
Microsoft Entra ID にユーザー認証を移行します。 クラウド認証が有効になると、Microsoft Entra ID はユーザーのサインイン プロセスを安全に処理できます。 Microsoft Entra ID には、ユーザーの安全なクラウド認証のオプションが 3 つあります。
- Microsoft Entra パスワード ハッシュ同期 (PHS) - ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースの両方のアプリケーションにサインインできます。 Microsoft Entra Connect では、オンプレミスの Active Directory インスタンスからクラウドベースの Microsoft Entra インスタンスに、ユーザーのパスワードのハッシュを同期します。 ハッシュの 2 つのレイヤーにより、パスワードがクラウド システムに公開または送信されないことが保証されます。
- Microsoft Entra 証明書ベースの認証 (CBA) - フィッシングに対抗する認証方法を採用し、公開鍵基盤 (PKI) に対して X.509 証明書を使用してユーザーを認証することができるようになります。
- Microsoft Entra パススルー認証 (PTA) – ユーザーは同じパスワードを使用して、オンプレミスとクラウドベースのアプリケーションの両方にサインインできます。 オンプレミスの Active Directory にエージェントがインストールされ、オンプレミスの Active Directory に対してユーザーのパスワードが直接検証されます。
段階的ロールアウトを使用して、ユーザーのクラウド認証を試すことができます。 これにより、上記のクラウド認証機能を使用して、ユーザーのグループを選択的にテストできます。
Note
- PHS と CBA は、クラウド マネージド認証に推奨されるオプションです。 PTA は、パスワード情報をクラウドに同期しないという規制要件がある場合にのみ使用する必要があります。
- ユーザー認証の移行とアプリの移行は任意の順序で実行できますが、最初にユーザー認証の移行を完了することをお勧めします。
- 段階的ロールアウトのサポートされているシナリオとサポートされていないシナリオを必ず評価してください。
認証に現在 AD FS を使用しているすべてのアプリケーションを Microsoft Entra ID に移行します。この結果、Microsoft Entra ID に対する ID およびアクセス管理のための単一のコントロール プレーンが提供されます。 また、Office 365 アプリケーションおよび参加デバイスも Microsoft Entra ID に移行してください。
- Migration Assistant は、AD FS から Microsoft Entra ID にアプリケーションを移行するのに使用できます。
- アプリ ギャラリーに適切な SaaS アプリケーションが見つからない場合は、https://aka.ms/AzureADAppRequest から要求できます。
Microsoft Entra Connect Health を少なくとも 1 週間実行して、Microsoft Entra ID でのアプリの使用状況を確認してください。 また、Microsoft Entra ID でユーザーのサインイン ログを表示することもできるはずです。
AD FS サーバーの使用を停止する手順
このセクションでは、AD FS サーバーの使用を停止する手順について説明します。
この手順に進む前に、トラフィックを持つ証明書利用者 (証明書利用者信頼) が AD FS サーバーに存在していないことを確認する必要があります。
開始する前に、サーバーがまだ何らかに使用されていることを意味するサインインの失敗または成功がないか、AD FS イベント ログや Microsoft Entra Connect Health を確認します。 サインインの成功または失敗がある場合は、AD FS からアプリを移行する方法、または Microsoft Entra ID に認証を移行する方法を確認します。
上記の検証が完了したら、次の手順を実行できます (AD FS サーバーが他のいずれのプロセスにも使用されていない場合)。
Note
認証を Microsoft Entra ID に移行した後、少なくとも 1 週間は環境をテストして、クラウド認証が問題なくスムーズに実行されていることを確認します。
- AD FS サーバーの使用を停止する前に、オプションの最終バックアップを作成することを検討してください。
- 環境内で構成したすべてのロード バランサー (内部および外部) から AD FS エントリをすべて削除します。
- 環境内の AD FS サーバーの各ファーム名の対応する DNS エントリをすべて削除します。
- プライマリ AD FS サーバーで
Get-ADFSProperties
を実行し、CertificateSharingContainer を探します。 この DN は、インストールの最後の方 (数回再起動した後、利用できなくなったとき) に削除する必要があるため、メモしておいてください。 - AD FS 構成データベースでストアとして SQL Server データベース インスタンスが使用されている場合は、AD FS サーバーをアンインストールする前にデータベースを削除してください。
- WAP (プロキシ) サーバーをアンインストールします。
- 各 WAP サーバーにサインインし、リモート アクセス管理コンソールを開いて、発行された Web アプリケーションを探します。
- 使用されなくなった AD FS サーバーに関連する項目をすべて削除します。
- 発行されたすべての Web アプリケーションが削除されたら、Uninstall-WindowsFeature Web-Application-Proxy,CMAK,RSAT-RemoteAccess コマンドを使用して WAP をアンインストールします。
- AD FS サーバーをアンインストールします。
- セカンダリ ノードから、Uninstall-WindowsFeature ADFS-Federation,Windows-Internal-Database コマンドを使用して AD FS をアンインストールします。 その後、del C:\Windows\WID\data\adfs* コマンドを実行してデータベース ファイルを削除します
- 各サーバー ストレージから AD FS Secure Socket Layer (SSL) 証明書を削除します。
- フル ディスク フォーマットの AD FS サーバーを再イメージ化します。
- これで、AD FS アカウントを安全に削除できるようになりました。
- アンインストール後に、ADSI エディターを使用して CertificateSharingContainer DN の内容を削除します。