今までプレビュー版だった Azure AD Connectの機能でのシングルサインオン(SSO)がついに一般提供(GA)されました。
複雑で費用高のADFSを構成しなくても完全なシングルサインオンが実現でき、これでオンプレADを利用している中小企業へのOffice 365導入が加速すると思います。
以前 プレビュー版のAzure AD ConnectのSSOを設定したので設定を確認してみます。
1.以前インストールしたAzure AD Connectをクリックします。
2.[ユーザーサインインの変更]をクリックします。
3.以前はプレビューと表記されていた[パススルー認証]や[シングルサインオン]の「プレビュー」の文言が無くなっています。既定でAzure AD Connectの自動アップデートが有効なのでバージョンが自動で最新になっているからだと思われます。
シームレス SSO は、サインインの方法として、パスワードハッシュ同期またはパススルー認証のどちらとも組み合わせることができます。
パスワードハッシュ同期・・・Azure ADにパスワードを同期する場合に選択します。Azure AD内のパスワードで認証するためオンプレミスADが落ちてもOffice 365にサインインできます。
パススルー認証・・・認証はオンプレミスADで行います。パスワードをクラウド側に持って行きたくないユーザーの要望に応えることができます。
4.Azureにサインインし、[Azure Active Directory] > [Azure AD Connect]に移動すると[シームレスなシングルサインオン]が有効になっていることが確認できます。
5.対象のPCのインターネットオプションのローカルイントラネットに下記を追加します。
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
ADのグループポリシー管理により一元的に設定することもできます。
Windows上のIEやChromeでSSOが可能となります。EdgeではAzure AD ConnectによるSSOがサポートされていません・・・(Azure ADに参加していればSSO可能です)
※Firefoxなど他のブラウザやMacの場合の対応はここを参照
今後 Azure AD ConnectとAzure AD Premiumを組み合わせることにより、ADFSの機能はほぼ代替されていくと思われます。