Microsoft SSOは、1つのアカウントで複数のアプリケーションを操作できるようにすることで、時間と労力を大幅に削減するユーザー認証プロセスです。ワンクリックですべてのアカウントからサインアウトできます。
このブログでは、SSO Azure ADの設定方法について説明します。最後までお読みください。
前提条件
SSO Microsoftの設定作業を開始する前に の設定プロセスを開始する前に、以下を確認する必要があります。
-
Azure AD Connectサーバーのセットアップ
パススルー認証のユーザーであれば、前提条件のチェックは必要ありません。しかし、サインイン方法としてパスワードハッシュ同期を使用する場合は、以下のことを確認してください。
- Azure AD Connect のバージョン 1.1.644.0 以降を使用しています。
- ファイアウォールまたはプロキシが許可する場合、ポート443を介した*.msappproxy.netのURLへの接続を許可リストに追加します。プロキシ設定にワイルドカードではなく、特定の URL が必要な場合は、tenantid.registration.msappproxy.net(テナント ID は、機能を設定するテナントの GUID)を再設定する必要があります。ただし、これが不可能な場合は、Azure データセンターの IP 範囲へのアクセスを許可する必要があります。これらは毎週1回更新されます。この前提条件は、機能を有効にした場合のみ確保する必要があります。実際のユーザーは、サインインのためにこれを行う義務はありません。
-
サポートされているAzure AD Connectトポロジーを使用する
Azure AD Connectがサポートするトポロジーのいずれかを使用していることを確認します。
- オンプレミスのActive Directoryフォレスト
- オンプレミスのActive Directoryをフィルタリングしてインポート
- Azure AD Connectシンクサーバー
- Azure AD Connectシンクサーバーの "ステージングモード"
- Forefront Identity Manager (FIM) 2010またはMicrosoft Identity Manager (MIM) 2016とGALSyncの連携。
- Azure AD Connectシンクサーバー、詳細
- Azure AD
- 非対応シナリオ
-
ドメイン管理者の認証情報を設定する
各Active Directoryフォレストで、以下のドメイン管理者の資格情報を確保すること。
- SSOのAzure AD ConnectでAzure ADに同期します。
- シームレスなSSOを有効にしたいユーザーを含んでいます。
-
Modern Authenticationを有効にする
Microsoft 365のサービスでは、モダン認証のデフォルトの状態です。
- Exchange Online ではデフォルトで有効になっています。この機能を無効またはオンにするには、Exchange Online でモダン認証を有効または無効にするを参照してください。
- SharePoint Onlineでは、デフォルトでオンに設定されています。
- デフォルトでSkype for Business Onlineをオンにしました。オフまたはオンにするには、「Skype for Business Online for modern認証の有効化」を参照してください。
-
Microsoft 365 クライアントの最新バージョンの使用
自動更新に設定することで、Microsoft 365クライアントとのシングルサインオンをスムーズに行うことができます。
シングルサインオン(SSO)を有効にするには?
ここでは、Microsoft SSOを有効にするために行うべきことを説明します。
- Azure Active Directory Admin Center にアクセスし、前提条件に記載されているいずれかのロールでサインインします。
- Enterprise Application > All Application を選択します。Azure AD テナント内のアプリケーションのリストが表示されます。使用したいものを選択します。
- 管理」セクション > 「シングルサインオン」に進みます。
- SSOペインを開き、編集します。
- SAML] を選択して、SSO 設定ページを開きます。設定が完了すると、Azure AD テナントのユーザー名とパスワードを使用してアプリケーションにサインインできるようになります。
- Microsoft SSO 設定の手順は、アプリケーションによって異なります。構成ガイドを使用して、ギャラリーでエンタープライズアプリケーションを構成することができます。
- Set up Azure AD SAML Toolkit 1 セクションで、後で使用する Login URL、Azure AD Identifier、および Logout URL のプロパティの値を記録します。
テナントでシングルサインオンを設定するには?
Azure ADでSSOの設定を始めるには、サインインして返信URLの値を追加し、その後に証明書をダウンロードする必要があります。以下、次の手順を説明します。
- Azureポータルに移動し、以下の項目を選択します。 編集を選択します。 基本SAML構成にある シングル サインオンの設定 ペインで編集します。
- については 返信URL(アサーションコンシューマーサービスURL)を入力します。 .
- サインオンURLには、「https://samltoolkit.azurewebsites.net/」を入力します。
- 保存」を選択します。
- での SAML 証明書セクションで 証明書(Raw)のダウンロードを選択して、SAML 署名証明書をダウンロードし、将来使用するために保存します。
アプリケーションにシングルサインオンを設定するには?
アプリケーションにユーザーアカウントを登録し、以前に登録したSAML設定値を追加する必要があります。
ここでは、ユーザーアカウントを登録する方法を説明します。
- 新しいブラウザで、アプリケーションのサインインURLにアクセスする。
- 選択 登録を選択してください。
- アプリケーションにアクセスするユーザーのEメールアドレスを追加します。このユーザーは、すでにアプリケーションに割り当てられている必要があります。
- 確認のため、パスワードを入力してください。
- をクリックしてください。 登録する.
SAML の設定方法は?
そのためには、SP Initiated Login URL と Assertion Consumer Service (ACS) URL にあらかじめ登録した値を使用する必要があります。
以下の手順で、SSOの値を更新します。
- Azureポータルに移動し 編集を選択します。 基本的なSAML 構成セクションで [編集] を選択します。
- について 返信用URL(アサーション・コンシューマ・サービスURL)にはを入力します。 アサーション・コンシューマー・サービス(ACS)URLには、あらかじめ記録しておいた値を入力してください。
- について サインオンURLを入力します。 SPイニシエート・ログインURL には、前回登録した値を入力します。
- をクリックします。 保存する.
シングルサインオンのテスト
Microsoft SSOの設定が完了したら、以下の手順でテストしてください。
- での Azure AD SAML Toolkit 1 を使用したシングルサインオンのテストセクションで テストを選択する。 SAML によるシングルサインオンのセットアップペインを選択します。
- 割り当てたユーザー アカウントの Azure AD 認証情報を使用して、アプリケーションにサインインします。
関連記事
- とは何ですか? DMARC SSO?
- SAML / SSO機能ユーザーガイド
- DMARC office 365ガイド
- SPFチェックに失敗しました。[解決済み]- 2025年 1月 7日
- DNSの脆弱性:トップ5の脅威と緩和策- 2024年12月24日
- DKIM Signature is Not Valid(DKIM署名が有効ではありません)」エラーを修正するには?- 2024年12月24日