12. • クラウドリソースにアクセスするための認
証をオンプレミスADDSで行う
• ハッシュされたパスワードを同期しない
• フェデレーションを使用せずにオンプレミ
スで認証する
• セルフサービスパスワード変更/リセット
も可能
• Azure AD Connect でセットアップする
• AD FS の可用性を考慮する必要が無い
• AD FS の導入に比べればとにかく楽!
Preview
Tenant-specific
Service Bus Relay
Inbound port の open は不要Firewall
Sync
Identity
②ログイン検知
③取り出し
④Decrypt password by private key
⑤Check Id/password pair
With Win32 API
>=1.1.557.0
⑥結果
(注)オンプレミスとクラウドで同じ
ID/Passwordを使用できるか、SSOではない!
13. Supported
• web browser-based applications
• Office 365 client applications that support modern authentication.
• Azure AD Join for Windows 10 devices.
• Exchange ActiveSync support.
• PowerShell v2.0 or later
Unsupported during preview
• Office 2013 or earlier
• Skype for Business client applications, including Skype for Business 2016.
• PowerShell v1.0
15. • Azure AD にサインインするためのパスワー
ド入力が必要がなくなる
AZUREADSSOACCT
Preview
16. OS/ブラウザー Internet Explorer Edge Google Chrome Mozilla Firefox Safari
Windows 10 あり なし あり はい*
Windows 8.1 あり あり はい*
Windows 8 あり あり はい*
Windows 7 あり あり はい*
Mac OS X 該当なし はい* はい* はい*
* 追加構成の必要あり
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start#browser-
considerations
17. 特徴 PC ログオン クラウドアプリ利用時 SSO
Azure AD のみ 単一IdP Azure AD Azure AD 〇
パスワード同期 ADDSとAzure AD両方に
パスワード
ADDS Azure AD AAD シームレス SSO と併
用する。IDは入力の必要
あり。
フェデレーション オンプレミスの認証結
果をクラウドに引き継
げる
ADDS ADDS 〇
パススルー ADDSに登録された
ID/Passwordでクラウド
上のリソースにアクセ
スできる
ADDS ADDS AAD シームレス SSO と併
用する。IDは入力の必要
あり。
18.
19. Option Password 同期 パススルー ADFS
INFRASTRUCTURE & OPERATIONS
サーバー台数
Min: 1
Rec: 2
(+'Staging' server)
Min: 1
Rec: 2 for HA
Min: 1
Rec: 2 for HA
DMZ への展開が必要か NO NO
YES(WAP)
Min:1, Rec: 2 for HA
自動フェールオーバー用のHAシナ
リオはあるか
NO
YES
Service Bus Relay
YES
ロードバランサ
SSL 必須 NO NO YES
クラウドからオンプレミスのサー
バーを監視できるか
Connect Health
(Premium)
Partial
Connect Health
(Premium)
20. Option Password 同期 パススルー ADFS
AUTHENTICATION
AD - Password Sign-in YES YES YES
AD - Desktop SSO YES YES YES
AD - Soft Certificates
(MDM or GPO provisioned)
NO NO YES
AD - Smart Card NO NO YES
AD - Fail Auth if user is disabled
Partial. Typically up to 30 mins
for sync cycle to complete
Immediate Immediate
AD - Fail Auth if user’s password has expired NO YES YES
AD - Supports users in multiple trusted AD forests YES YES YES
AD - Supports users in multiple untrusted AD
forests
YES NO
YES (2016)
untrusted forest can be
configured as an LDAP
directory
3rd party LDAP - Password sign-in
See note 4
NO NO YES (2016)
Authenticator App as primary Sign-in (password
less)
NO NO YES (2016)
21. Option Password 同期 パススルー ADFS
MFA
Azure MFA (SMS, Phone, TOTP) YES YES YES (2016)
Azure MFA Server (+Pin support) NO NO YES
Win10 Hello For Business (Key trust) YES YES YES (2016)
Win10 Hello For Business (Cert trust) NO NO Coming Soon (2016)
3rd party MFA NO NO
YES
(link)
Build Custom MFA NO NO
YES
(link)
22. Option Password 同期 パススルー ADFS
APPLICATIONS
Browser YES YES YES
Exchange Active Sync (EAS) YES Coming Soon YES
Native apps (legacy auth) YES Coming Soon YES
Native apps (modern auth) YES YES YES
Win 10 desktop sign-in with
Username/Password(U/P) on a AAD joined device
YES Coming Soon YES
23. Option Password 同期 パススルー ADFS
SIGN-IN EXPERIENCE
Customize logo, image and sign-in description
YES (premium)
(link)
YES (premium)
(link)
YES
(link)
Customize full layout with CSS customization NO NO
YES
(link)
Customize dynamically with Java Script NO NO
YES
(link)
Sign In with UPN YES YES YES
Sign In with Domainsamaccountname NO NO YES
Seamless first time sign-in to O365 native apps on Domain
Joined devices
NO NO
YES
Office apps are optimized on first
sign-in to look up the local UPN
and seamlessly sign-in the user
using WS-Trust Kerberos
endpoints from the Identity
provider.
Seamless 2nd time sign-in to O365 native apps on Domain
Joined devices
YES YES YES
24. Option Password 同期 パススルー ADFS
PASSWORD EXPIRY NOTIFICATION & CHANGE
Supports password expiry notification in
Office Portal & Win10 desktop
NO NO YES
Custom password change URL link shown in
Office Portal & Win10 desktop
NO NO YES
Integrated password change experience
when user’s password has expired
NO NO YES
36. Azure AD パスワード連携
Access Panel MyApps
Azure AD にサインインしていれば、
アクセスパネル がパスワード入力を代行してくれる
事前に登録しておく
Form に入力する ID と パ
スワードはAzure AD に暗
号化して保存
フォーム認証が必要なアプリ
①サインイン② SSO