Office 365 ID と Azure Active Directory について

Office 365 では、クラウドベースのユーザー認証サービスである Azure Active Directory を使って、ユーザーを管理します。ユーザー アカウントのセットアップと管理を行う場合は、Office 365 で以下にあげる主要な ID モデルから選ぶことができます。

クラウド ID ユーザー アカウントの管理は、Office 365 でのみ行います。ユーザーを管理するのにオンプレミス サーバーは必要なく、すべてクラウドで行われます。

同期 ID オンプレミス ディレクトリ オブジェクトを Office 365 に同期して、ユーザーをオンプレミスで管理します。また、ユーザーがオンプレミスとクラウドで同じパスワードを使用できるように、パスワードを同期させることもできます。ただし、Office 365 を使うためには、もう一度サインインする必要があります。

フェデレーション ID オンプレミス ディレクトリ オブジェクトを Office 365 に同期して、ユーザーをオンプレミスで管理します。ユーザーは、オンプレミスとクラウドで同じパスワードを使用でき、Office 365 を使うために、もう一度サインインする必要はありません。これは、一般にシングル サインオンと呼ばれます。

起動と実行にどの ID モデルを使うのかについては、慎重に検討することが重要です。その場合は、時間、現在の複雑性の問題、コストについても考えてください。これらの要因は、組織によってそれぞれ異なるため、このトピックでは、導入環境で使用する ID を選定するときの参考になるよう、各 ID モデルの主要な概念について説明します。

また、要件が変更になった場合は、別の ID モデルに切り替えることもできます。

別の ID モデルの簡単な概要については、このビデオをご覧ください。

お使いのブラウザーではビデオがサポートされていません。 Microsoft Silverlight、Adobe Flash Player、Internet Explorer 9 のいずれかをインストールしてください。
一般法人向け Office 365 の ID

Azure AD アドバイザー (Azure AD Connect アドバイザーAD FS 展開アドバイザーAzure RMS 展開ウィザード、および Azure AD Premium セットアップ ガイド) を使用することもできます。

クラウド ID

このモデルでは、ユーザーの作成と管理は Office 365 admin centerで行い、アカウントを Azure AD に格納します。パスワードの確認は、Azure AD によって行われます。Azure AD は、Office 365 で使用するクラウド ディレクトリです。オンプレミス サーバーは不要で、すべて Microsoft によって管理されます。ID と認証のすべてをクラウドで処理するときは、ユーザー アカウントとユーザー ライセンスの管理を Office 365 admin centerまたは Windows PowerShell コマンドレットで行うことができます。

次の図は、クラウド ID モデルでユーザーを管理する方法をまとめたものです。

ステップ 1 では、管理者がユーザーを作成または管理する Microsoft クラウド プラットフォームで、Office 365 admin centerに接続します。

ステップ 2 では、作成要求または管理要求が Azure AD に引き渡されます。

ステップ 3 では、変更要求の場合、要求が作成され、そのコピーが Office 365 admin centerに送られます。

ステップ 4 では、新しいユーザー アカウントと既存のユーザー アカウントの変更について、そのコピーが Office 365 admin centerに送られます。

クラウドで管理される ID と認証

クラウド ID はどのような場合に使うべきか?クラウド ID は、次のような場合に適しています。

  • 他にオンプレミス ユーザー ディレクトリがない。

  • かなり複雑なオンプレミス ディレクトリがあるが、それとの統合は避けたい。

  • 既存のオンプレミス ディレクトリがあるが、Office 365 の試用版またはパイロット版を使ってみたい。後でオンプレミス ディレクトリへの接続の準備ができてから、クラウド ユーザーをオンプレミス ユーザーに合わせることができます。

クラウド ID の使用方法については、「一般法人向け Office 365 のセットアップ - 管理者向けヘルプ」を参照してください。

Office 365 とディレクトリ サービスとの統合

オンプレミスに既存のディレクトリ環境がある場合、同期 ID またはシングル サインオンとフェデレーション ID を使用して、Office 365 にユーザーを作成し、管理することで、Office 365 を統合できます。

同期 ID

このモデルの場合、ユーザー ID の管理はオンプレミス サーバーで行い、アカウントと (必要な場合は) パスワードをクラウドに同期させます。ユーザーは、クラウドの場合と同じように、オンプレミスでも同じパスワードを入力します。サインインすると、パスワードは Azure AD によって確認されます。このモデルでは、ディレクトリ同期ツールを使用してオンプレミス ID を Office 365 と同期します。

同期 ID モデルを構成するには、同期元のオンプレミス ディレクトリが存在していることと、ディレクトリ同期ツールのインストールが必要です。アカウントの同期を行う前に、オンプレミス ディレクトリの整合性を確認するためのいくつかの処理を実行することになります。

同期 ID またはフェデレーション ID の使用が適している場合の条件:

モデルのタイプ:

適した条件:

同期 ID

オンプレミス ディレクトリがあり、ユーザー アカウントと (場合によっては) パスワードを同期する必要がある場合。パスワードも同期させると、ユーザーは同じパスワードを使って、オンプレミス リソースと Office 365 にアクセスできるようになります。

最終的にはフェデレーション ID を使いたいが、パイロット版の Office 365 を使っているか、または何らかの理由で、Active Directory Federation Services (AD FS) サーバーを展開するための時間的な準備が整っていない場合。

フェデレーション ID

既存のフェデレーション、ポリシー、技術要件などの高度なシナリオが必要な場合 (詳細については、「フェデレーション ID」を参照してください)。

下の図は、パスワードの同期を伴う同期 ID のシナリオを示したものです。同期ツールによって、オンプレミスとクラウドでの企業のユーザー ID が同期されます。

ステップ 1 では、Microsoft Azure Active Directory Connect をインストールします。手順については、「Office 365 でディレクトリの同期をセットアップする」を参照してください。Azure Active Directory Connect の詳細については、「オンプレミス ID と Azure Active Directory の統合」を参照してください。

ステップ 2 と 3 では、新しいユーザーをオンプレミス ディレクトリに作成します。オンプレミス ディレクトリに新しい ID が作成されているかどうかは、同期ツールによって定期的に確認されます。新しい ID が検出されると、Azure AD へのプロビジョニングが行われ、オンプレミスとクラウド ID との相互接続とパスワードの同期が行われて、Office 365 admin centerで確認できるようになります。

ステップ 4 では、オンプレミス ディレクトリでユーザーに対して行われた変更が Azure AD に同期され、Office 365 admin centerで利用できるようになります。

同期を適用した ID のプロビジョニング

同期 ID の使用方法については、「Office 365 へのディレクトリ同期を通してユーザーをプロビジョニングするための準備」および「Office 365 でディレクトリの同期をセットアップする」を参照してください。

フェデレーション ID

このモデルでも同期 ID が必要ですが、ユーザー パスワードがオンプレミス ID プロバイダーによって確認されるという点が同期 ID モデルとは異なります。そのため、パスワード ハッシュを Azure AD に同期させる必要はありません。このモデルでは、Active Directory Federation Services (AD FS) またはサードパーティ ID プロバイダーを使用します。

フェデレーション ID を使用する理由:

  • 既存のインフラストラクチャ

    何らかの理由で AD FS が既に展開されていて、Office 365 でも利用したい。

    別の ID プロバイダーを既に使っていて、Office 365 でフェデレーション ID を使いたい。Microsoft では、Office 365 で利用できる ID プロバイダーの一覧を提供しています。

    Forefront Identity Manager を使っていて、Office 365 でもフェデレーション ID を使いたい。

  • 技術的要件

    オンプレミスの Active Directory Domain Services (AD DS) に複数のフォレストがある。

    オンプレミスに統合されたスマートカード ソリューションがある。

    SharePoint や Microsoft Exchange Server などの既存のカスタム ハイブリッド アプリケーションがある。

  • ポリシー要件

    サインイン監査や即時無効化が必要。

    シングル サインオンが必要。

    ネットワーク ロケーションや就業時間などの制約によって、サインオンが制限されている。

    フェデレーション ID を必要とする別のポリシーが設定されている。

下の図は、ハイブリッド オンプレミスとクラウドの展開を伴うフェデレーション ID のシナリオを示したものです。この例で示されているオンプレミス ディレクトリは、AD FS です。同期ツールによって、オンプレミスとクラウドでの企業のユーザー ID が同期されます。

ステップ 1 では、Azure Active Directory Connect をインストールします (詳細情報とダウンロード手順については、こちらを参照してください)。同期ツールを使用すると、オンプレミス ディレクトリの変更に合わせて Azure AD を最新の状態に保つことができます。

手順については、「Office 365 でディレクトリの同期をセットアップする」を参照してください。具体的には、Azure AD Connect のカスタム インストールを使用してシングル サインオンをセットアップする必要があります。

ステップ 2 と 3 では、新しいユーザーをオンプレミスの Active Directory に作成します。オンプレミスの Active Directory サーバーに新しい ID が作成されているかどうかは、同期ツールによって定期的に確認されます。新しい ID が検出されると、Azure AD へのプロビジョニングが行われ、オンプレミスとクラウド ID が相互に接続されて、Office 365 admin centerで確認できるようになります。

ステップ 4 と 5 では、オンプレミスの Active Directory で ID に対して行われた変更が Azure AD に同期され、Office 365 admin centerで利用できるようになります。

ステップ 6 と 7 では、フェデレーション ユーザーが AD FS にサインインします。AD FS によってセキュリティ トークンが生成され、そのトークンは Azure AD に引き渡されます。トークンの確認と検証が行われ、ユーザーは Office 365 で認証されます。

AD FS を使用した ID のプロビジョニング

Azure Active Directory 管理ポータル

Office 365、Microsoft Dynamics CRM Online、Enterprise Mobility Suite、その他の Microsoft サービスの有料サブスクリプションを利用している場合、Azure AD のサブスクリプションは無料で利用できます。Azure AD を使ってユーザーやグループ アカウントの作成と管理を行うこともできますが、Office 365 admin centerを使うことをお勧めします。たとえば、Azure 管理ポータルでユーザーを追加できても、ライセンスの追加は Office 365 admin centerで行う必要があります。Azure 管理ポータルにアクセスするには、サブスクリプションのアクティブ化が必要です。

詳細については、「Azure AD Connect の FAQ」を参照してください。

関連項目

Office 365 とオンプレミス環境との統合

Office 365 へのディレクトリ同期を通してユーザーをプロビジョニングするための準備

Office 365 用 Windows PowerShell コマンドレット

Office 365 のディレクトリ同期の問題を解決する

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×