AD FS を使用して Microsoft 365、Azure、またはIntuneでシングル サインオンを設定するためのサポートされているシナリオ

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

概要

この記事では、さまざまなActive Directory フェデレーション サービス (AD FS) (AD FS) シナリオの概要と、Microsoft 365、Microsoft Azure、またはMicrosoft Intuneでのシングル サインオン (SSO) への影響について説明します。

詳細

ほとんどのエンタープライズ レベルのサービスと同様に、AD FS フェデレーション サービス (SSO に利用) は、ビジネス ニーズに応じてさまざまな方法で実装できます。 次の AD FS シナリオでは、オンプレミスの AD FS フェデレーション サービスをインターネットに公開する方法に重点を置きます。 これは、AD FS 実装の非常に具体的な側面です。

シナリオ 1: 完全に実装された AD FS

説明

AD FS フェデレーション サーバー ファームは、SSO 認証を介して Active Directory クライアント要求をサービスします。 AD FS (負荷分散) フェデレーション サーバー プロキシは、インターネット クライアントと内部 AD FS 環境の間で要求と応答をやり取りすることで、これらのコア認証サービスをインターネットに公開します。

推奨事項

これは、AD FS の推奨される実装です。

サポートの前提条件

このシナリオのサポートの前提条件はありません。 このシナリオは、Microsoft サポートでサポートされています。

シナリオ 2: ファイアウォールで発行された AD FS

説明

AD FS フェデレーション サーバー ファームは、SSO 認証を介して Active Directory クライアント要求をサービスします。 Microsoft Internet Security and Acceleration (ISA) / Microsoft Forefront Threat Management Gateway (TMG) サーバー (またはサーバー ファーム) は、これらのコア認証サービスをリバース プロキシによってインターネットに公開します。

制限事項

これを機能させるには、AD FS フェデレーション サーバー ファームで拡張認証保護を無効にする必要があります。 これにより、システムのセキュリティ プロファイルが弱められます。 セキュリティに関する考慮事項については、これを行わないでください。

サポートの前提条件

ISA/TMG ファイアウォールとリバース プロキシ規則が正しく実装され、機能していることを前提としています。 このシナリオMicrosoft サポートサポートするには、次の条件が満たされている必要があります。

  • インターネット クライアントと AD FS サーバー間の HTTPS (ポート 443) トラフィックのリバース プロキシは透過的である必要があります。
  • AD FS サーバーは、インターネット クライアントから SAML 要求の忠実なコピーを受信する必要があります。
  • インターネット クライアントは、クライアントがオンプレミスの AD FS サーバーに直接接続されているかのように、SAML 応答の忠実なコピーを受け取る必要があります。

この構成が失敗する可能性がある一般的な問題については、次のリソースを参照してください。

シナリオ 3: 公開されていない AD FS

説明

AD FS フェデレーション サーバー ファームは、SSO 認証を介して Active Directory クライアント要求をサービスし、サーバー ファームはどの方法でもインターネットに公開されません。

制限事項

インターネット クライアント (モバイル デバイスを含む) では、Microsoft クラウド サービス リソースを使用できません。 サービス レベルの理由から、これを行わないでください。

Outlook リッチ クライアントは、Exchange Online リソースに接続できません。 詳細については、次のマイクロソフト サポート技術情報を参照してください。

フェデレーション ユーザーがExchange Onlineメールボックスに接続できない2466333

サポートの前提条件

このセットアップでは、Microsoft Entra IDでサポートされているサービスの完全にアドバタイズされたスイートが提供されていないことを実装によって顧客が認識していることを前提としています。 このような状況では、このシナリオはMicrosoft サポートによってサポートされます。

シナリオ 4: VPN で公開された AD FS

説明

AD FS フェデレーション サーバー (またはフェデレーション サーバー ファーム) は、SSO 認証を介して Active Directory クライアント要求をサービスし、サーバーまたはサーバー ファームはどの方法でもインターネットに公開されません。 インターネット クライアントは、オンプレミスネットワーク環境への仮想プライベート ネットワーク (VPN) 接続を介してのみ AD FS サービスに接続して使用します。

制限事項

インターネット クライアント (モバイル デバイスを含む) が VPN 対応でない限り、Microsoft クラウド サービスを使用することはできません。 サービス レベルの理由から、これを行わないでください。

Outlook リッチ クライアント (ActiveSync クライアントを含む) は、Exchange Online リソースに接続できません。 詳細については、次のマイクロソフト サポート技術情報を参照してください。

フェデレーション ユーザーがExchange Online メールボックスに接続できない2466333 Support の前提条件

このセットアップでは、Microsoft Entra IDの ID フェデレーションでサポートされるサービスの完全にアドバタイズされたスイートが提供されていないことを実装によって顧客が認識していると想定されます。

VPN が正しく実装されており、機能していると想定されています。 このシナリオをMicrosoft サポートでサポートするには、次の条件が満たされている必要があります。

  • クライアントは、HTTPS (ポート 443) を介して DNS 名で AD FS システムに接続できます。
  • クライアントは、適切なポート/プロトコルを使用して、DNS 名でMicrosoft Entraフェデレーション エンドポイントに接続できます。

高可用性 AD FS とMicrosoft Entra ID フェデレーション

各シナリオは、サーバー ファームではなくスタンドアロン AD FS フェデレーション サーバーを使用して変更できます。 ただし、アクセスの損失を回避するために、高可用性テクノロジを使用してすべての重要なインフラストラクチャ サービスを実装することが常に Microsoft のベスト プラクティスの推奨事項です。

オンプレミスの AD FS の可用性は、フェデレーション ユーザーの Microsoft クラウド サービスの可用性に直接影響し、そのサービス レベルはお客様の責任です。 Microsoft TechNet ライブラリには、オンプレミス環境で AD FS を計画および展開する方法に関する広範なガイダンスが含まれています。 このガイダンスは、お客様がこの重要なサブシステムのターゲット サービス レベルに到達するのに役立ちます。 詳細については、次の TechNet Web サイトを参照してください。

Active Directory フェデレーション サービス (AD FS) 2.0

関連情報

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。