15. • クラウドリソースにアクセスするための認
証をオンプレミスADDSで行う
• ハッシュされたパスワードを同期しない
• フェデレーションを使用せずにオンプレミ
スで認証する
• セルフサービスパスワード変更/リセット
も可能
• Azure AD Connect でセットアップする
• AD FS の可用性を考慮する必要が無い
• AD FS の導入に比べればとにかく楽!
Preview
Tenant-specific
Service Bus Relay
Inbound port の open は不要Firewall
Sync
Identity
②ログイン検知
③取り出し
④Decrypt password by private key
⑤Check Id/password pair
With Win32 API
>=1.1.557.0
⑥結果
(注)オンプレミスとクラウドで同じ
ID/Passwordを使用できるか、SSOではな
い!
16. Supported
• web browser-based applications
• Office 365 client applications that support modern authentication.
• Azure AD Join for Windows 10 devices.
• Exchange ActiveSync support.
• PowerShell v2.0 or later
Unsupported during preview
• Office 2013 or earlier
• Skype for Business client applications, including Skype for Business
2016.
• PowerShell v1.0
17. • Azure AD にサインインするためのパス
ワード入力が必要がなくなる
AZUREADSSOACCT
Preview
18. OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari
Windows 10 あり なし あり はい*
Windows 8.1 あり あり はい*
Windows 8 あり あり はい*
Windows 7 あり あり はい*
Mac OS X 該当なし はい* はい* はい*
* 追加構成の必要あり
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-
quick-start#browser-considerations
19. 特徴 PC ログオン クラウドアプリ利用時 SSO
Azure AD のみ 単一IdP Azure AD Azure AD 〇
パスワード同期 ADDSとAzure AD両方
にパスワード
ADDS Azure AD AAD シームレス SSO と
併用する。IDは入力の必
要あり。
フェデレーション オンプレミスの認証結
果をクラウドに引き継
げる
ADDS ADDS 〇
パススルー ADDSに登録された
ID/Passwordでクラウ
ド上のリソースにアク
セスできる
ADDS ADDS AAD シームレス SSO と
併用する。IDは入力の必
要あり。
22. Option Password 同期 パススルー ADFS
INFRASTRUCTURE & OPERATIONS
サーバー台数
Min: 1
Rec: 2
(+'Staging' server)
Min: 1
Rec: 2 for HA
Min: 1
Rec: 2 for HA
DMZ への展開が必要か NO NO
YES(WAP)
Min:1, Rec: 2 for
HA
自動フェールオーバー用のHAシナ
リオはあるか
NO
YES
Service Bus Relay
YES
ロードバランサ
SSL 必須 NO NO YES
クラウドからオンプレミスのサー
バーを監視できるか
Connect Health
(Premium)
Partial
Connect Health
(Premium)
23. Option Password 同期 パススルー ADFS
AUTHENTICATION
AD - Password Sign-in YES YES YES
AD - Desktop SSO YES YES YES
AD - Soft Certificates
(MDM or GPO provisioned)
NO NO YES
AD - Smart Card NO NO YES
AD - Fail Auth if user is disabled
Partial. Typically up to 30
mins for sync cycle to
complete
Immediate Immediate
AD - Fail Auth if user’s password has
expired
NO YES YES
AD - Supports users in multiple trusted AD
forests
YES YES YES
AD - Supports users in multiple untrusted
AD forests
YES NO
YES (2016)
untrusted forest can be
configured as an LDAP
directory
3rd party LDAP - Password sign-in
See note 4
NO NO YES (2016)
Authenticator App as primary Sign-in
(password less)
NO NO YES (2016)
24. Option Password 同期 パススルー ADFS
MFA
Azure MFA (SMS, Phone, TOTP) YES YES YES (2016)
Azure MFA Server (+Pin support) NO NO YES
Win10 Hello For Business (Key trust) YES YES YES (2016)
Win10 Hello For Business (Cert trust) NO NO
Coming Soon
(2016)
3rd party MFA NO NO
YES
(link)
Build Custom MFA NO NO
YES
(link)
25. Option Password 同期 パススルー ADFS
APPLICATIONS
Browser YES YES YES
Exchange Active Sync (EAS) YES Coming Soon YES
Native apps (legacy auth) YES Coming Soon YES
Native apps (modern auth) YES YES YES
Win 10 desktop sign-in with
Username/Password(U/P) on a AAD
joined device
YES Coming Soon YES
26. Option Password 同期 パススルー ADFS
SIGN-IN EXPERIENCE
Customize logo, image and sign-in description
YES (premium)
(link)
YES (premium)
(link)
YES
(link)
Customize full layout with CSS customization NO NO
YES
(link)
Customize dynamically with Java Script NO NO
YES
(link)
Sign In with UPN YES YES YES
Sign In with Domain¥samaccountname NO NO YES
Seamless first time sign-in to O365 native apps on
Domain Joined devices
NO NO
YES
Office apps are optimized
on first sign-in to look up the
local UPN and seamlessly
sign-in the user using WS-
Trust Kerberos endpoints
from the Identity provider.
Seamless 2nd time sign-in to O365 native apps on
Domain Joined devices
YES YES YES
27. Option Password 同期 パススルー ADFS
PASSWORD EXPIRY NOTIFICATION & CHANGE
Supports password expiry
notification in Office Portal & Win10
desktop
NO NO YES
Custom password change URL link
shown in Office Portal & Win10
desktop
NO NO YES
Integrated password change
experience when user’s password
has expired
NO NO YES
69. Azure AD パスワード連携
Access Panel
MyApps
Azure AD にサインインしていれば、
アクセスパネル がパスワード入力を代行してくれる
事前に登録しておく
Form に入力する ID と
パスワードはAzure AD
に暗号化して保存
フォーム認証が必要なアプリ
①サインイン② SSO