シングル サインオンを準備する
更新日: 2015 年 6 月 25 日
適用対象: Azure、Office 365、Power BI、Windows Intune
注意
このトピックは、中国で Microsoft Azure を使用する場合には当てはまらないことがあります。 中国での Azure サービスの詳細については、「 windowsazure.cn」を参照してください。
シングル サインオンを準備するには、以下の手順を実行します。
手順 1: シングル サインオンの要件を確認する
手順 2: Active Directory を準備する
手順 1: シングル サインオンの要件を確認する
この SSO ソリューションを実装するには、以下の要件を満たす必要があります。
機能レベルが混在モードまたはネイティブ モードの Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 で Active Directory を展開して実行する。
STS として AD FS を使用する予定である場合は、以下のいずれかの操作を実行する必要があります。
WINDOWS Server 2008 または Windows Server 2008 R2 サーバーに AD FS 2.0 をダウンロード、インストール、展開します。 また、ユーザーが会社のネットワークの外部から接続する場合は、AD FS 2.0 プロキシを展開する必要があります。
Windows Server 2012 または Windows Server 2012 R2 サーバーに、AD FS ロール サービスをインストールします。
STS として Shibboleth Identity Provider を使用する予定である場合は、運用 Shibboleth Identity Provider をインストールして準備する必要があります。
重要
Microsoft は、既にインストールされ運用されている Shibboleth ID プロバイダーと、Microsoft IntuneやOffice 365などの Microsoft クラウド サービスの統合として、このシングル サインオン エクスペリエンスをサポートしています。 Shibboleth ID プロバイダーはサードパーティ製品なので、Microsoft では、Shibboleth ID プロバイダーに関する展開、構成、トラブルシューティング、ベスト プラクティスなどの問題や質問に対するサポートを提供していません。 Shibboleth ID プロバイダーの詳細については、次を参照してください https://go.microsoft.com/fwlink/?LinkID=256497。
設定する STS の種類に基づいて、Windows PowerShell用の Microsoft Azure Active Directory モジュールを使用して、オンプレミスの STS と Azure AD の間にフェデレーション信頼を確立します。
Microsoft クラウド サービスのサブスクリプションに必要な更新プログラムをインストールして、ユーザーが Windows 7、Windows Vista、または Windows XP のいずれかの最新の更新プログラムを実行していることを確認します。 一部の機能は、オペレーティング システム、ブラウザー、およびソフトウェアのバージョンが適切でないと、正しく機能しないことがあります。 詳細については、「 付録 A: ソフトウェア要件を確認する」を参照してください。
手順 2: Active Directory を準備する
シングル サインオンを正しく機能させるには、Active Directory に特定の設定が構成されている必要があります。 特に、ユーザー プリンシパル名 (UPN: ユーザー ログオン名とも呼ばれます) をユーザーごとに特定の方法でセットアップする必要があります。
注意
シングル サインオン用に Active Directory 環境を準備するには、 Microsoft Deployment Readiness Tool を実行することをお勧めします。 このツールは、Active Directory 環境を検査し、シングル サインオンを設定する準備ができているかどうかに関する情報を含むレポートを提供します。 シングル サインオンをセットアップできる状態でない場合は、シングル サインオンの準備のために必要な変更が一覧表示されます。 たとえば、ユーザーに UPN があるかどうか、UPN が正しいフォーマットであるかどうかが調査されます。
お使いのドメインのそれぞれに応じて、以下の操作を行う必要がある場合があります。
UPN を設定し、ユーザーに通知する。
UPN のドメイン サフィックスを、シングル サインオンのセットアップ時に選択したドメイン下に設定する。
連携のために選択したドメインをドメイン レジストラーまたは自社のパブリック DNS サーバーにパブリック ドメインとして登録する。
UPN を作成するには、「Active Directory」トピックの「 ユーザー プリンシパル名サフィックスの追加」の手順に従います。 シングル サインオン用の UPN に使用できるのは、半角英数字、ピリオド、ダッシュ、および下線のみです。
Active Directory ドメイン名がパブリック インターネット ドメインではない場合 (たとえば、".local" サフィックスで終わる場合)、パブリックに登録できるインターネット ドメイン名の下にあるドメイン サフィックスを持つ UPN を設定する必要があります。 ユーザーの電子メール ドメインなど、ユーザーがよく知っている UPN を使用することをお勧めします。
Active Directory 同期を既に設定した場合、ユーザーの UPN が Active Directory に定義されたユーザーの社内の UPN と一致しない可能性があります。 これを修正するには、Windows PowerShell用の Microsoft Azure Active Directory モジュールのSet-MsolUserPrincipalName コマンドレットを使用して、ユーザーの UPN の名前を変更します。