対象: 旧Office 365 Office 365 for Enterprise, Office 365 for Education
新Office365 Office 365 Enterprise, Office 365 Midsize Business
(この記事は 2013 年 10 月 8 日に Office 365 Community Blog に投稿された記事の翻訳です)
パスワード ハッシュ同期が使用可能になったことを受け、AD FS をお使いのお客様は AD FS からパスワード ハッシュ同期への切り替えをご検討されることと思います。
まず、本当に切り替えを行うべきかどうか確認してください。
AD FS を維持する理由として、以下に挙げるものが考えられます。
- AD FS では、ドメインに参加しているコンピューターまたは接続しているコンピューターに既にログオンしているユーザーが Office 365 でサインインする際、パスワードの再入力を要求しないように設定できます。これにより、真のシングル サインオンが可能になります。ディレクトリ同期およびパスワード ハッシュ同期では、オンプレミスと同一のパスワードを使用していても、再入力が必要です。
- AD FS では、クライアント アクセスのフィルタリングが可能で、ユーザーの IP アドレスに基づいて Exchange Online へのアクセスを制限できます。
- AD FS では、Active Directory で設定されたユーザーのログイン時間の制限が引き継がれます。
- AD FS には、ユーザーが企業ネットワークの外部にいるときにパスワードを変更するための Web ページを含めることができます。
- AD FS では、認証の決定は常にオンプレミスで実行され、パスワード ハッシュはクラウドに同期されません。もちろん、これはセキュリティ ポリシーの要件となる場合があります。
- AD FS では、管理者が直ちにユーザーをブロックしてアクセス権を削除できます。一方、ディレクトリ同期では、これらの変更は 3 時間ごとに同期され、パスワードの変更に限り 2 分おきに同期されます。
- AD FS では、オンプレミス展開した多要素認証製品の使用が許可されています。Azure AD は多要素認証をサポートしますが、多くのサードパーティ製多要素認証製品ではオンプレミスの統合が必要です。
- その他の FIM 機能ではなく、Microsoft Forefront Identity Manager (FIM) が必要となる場合、FIM ディレクトリ同期にはパスワード ハッシュ同期が含まれていないため、SSO ログインには AD FS が必要になります。
- オンプレミスとクラウドのハイブリッド シナリオの一部では、ハイブリッド検索などの AD FS が必要です。
AD FS を維持する必要はありませんでしたか? 次に、パスワード ハッシュ同期の利点を見てみましょう。
- 単一のサーバーを必要とし、スケール アウトした冗長なサーバーは不要です。
- オンプレミスのハードウェアまたはデータセンターに依存しません (パスワード同期サーバーのディレクトリ同期がダウンした場合、ディレクトリ同期サーバーを交換するだけで済みます)。
- ID が Azure AD によって管理されるため、オンプレミス サービスが停止しても、クラウド サービスへのアクセスに影響はありません。
切り替える準備は整いました。さあ、始めましょう。
シングル サインオンからパスワード同期に切り替える方法の詳細については、以下のページを参照してください。
パスワード同期の詳細については、以下のページを参照してください。http://technet.microsoft.com/en-us/library/dn246918.aspx (英語)