ユーザー アカウントを設定および管理する際には、Office 365の3つの主要なIDモデルから選択できます。
Office 365でのみユーザー アカウントを管理します。ユーザーの管理にオンプレミス サーバーは必要ありません。すべてがクラウドで実行されます。 |
オンプレミスのディレクトリー オブジェクトをOffice 365と同期し、オンプレミスでユーザーを管理します。また、ユーザーがオンプレミスとクラウドで同じパスワードを使用できるようにパスワードを同期することもできます。ただし、Office 365を使用するには再度サインインする必要があります。 |
オンプレミスのディレクトリー オブジェクトをOffice 365と同期し、オンプレミスでユーザーを管理します。ユーザーは、オンプレミスとクラウドで同じパスワードを使用し、Office 365を使用するために再度サインインする必要はありません。これは、シングル サインオンと呼ばれます。 |
起動および実行するために使用するIDモデルを慎重に検討することが重要です。時間、既存の複雑さ、およびコストについて考慮してください。これらの要因は組織によって異なります。このトピックでは、導入環境で使用するIDを選択するために役立つ、すべてのIDモデルの主要な概念について説明します。
要件が変更された場合は、別のIDモデルに切り替えることもできます。
このモデルでは、Microsoft Officeポータルでユーザーを作成および管理し、アカウントをAzure ADに保存します。Azure ADがパスワードを認証します。Azure ADは、Office 365で使用されるクラウド ディレクトリーです。オンプレミス サーバーは不要です(Microsoftがそのすべてを管理します)。IDと認証がクラウドで完全に処理されると、Microsoftオンライン ポータルまたはWindows PowerShellコマンドレットを使用してユーザー アカウントとユーザー ライセンスを管理できます。
次の図は、クラウドIDモデルでユーザーを管理する方法の概要について説明しています。
管理者は、Microsoftクラウド プラットフォームのMicrosoftオンライン ポータルに接続して、ユーザーを作成または管理します。
作成または管理リクエストはAzure ADに渡されます。
変更リクエストの場合は、変更が行われると、Microsoft Officeポータルにコピー バックされます。
新しいユーザー アカウントと既存のユーザー アカウントへの変更は、Microsoft Officeポータルにコピー バックされます。
いつクラウドIDを使用しますか?クラウドIDは、次の場合に適した選択肢です。
既存のディレクトリー環境がオンプレミスにある場合は、同期IDまたはシングル サインオンとフェデレーションIDのいずれかを使用してOffice 365をディレクトリーと統合し、Office 365でユーザーを作成および管理できます。
このモデルでは、オンプレミス サーバーでユーザーIDを管理し、アカウントと、オプションでパスワードをクラウドに同期します。ユーザーは、クラウドで使用するものと同じパスワードをオンプレミスで入力し、サインイン時にAzure ADによってパスワードが検証されます。このモデルでは、ディレクトリー同期ツールを使用して、オンプレミスIDをOffice 365に同期します。
同期IDモデルを構成するには、同期元のオンプレミス ディレクトリーが必要です。また、ディレクトリー同期ツールをインストールする必要があります。アカウントを同期する前に、オンプレミス ディレクトリーでいくつかの整合性チェックを実行します。
同期IDまたはフェデレーションIDを使用するタイミング:
モデル: |
次のような状況で機能: |
同期ID |
オンプレミス ディレクトリーがあり、ユーザー アカウントとオプションでパスワードを同期する場合。パスワードも同期する場合は、ユーザーは同じパスワードを使用してオンプレミス リソースとOffice 365にアクセスします。 最終的にフェデレーションIDが必要だが、Office 365のパイロット版を実行している場合、または何らかの理由でActive Directory Federation Service(AD FS)サーバーの導入に時間を割けない場合。 |
フェデレーションID |
既存のフェデレーション、ポリシー、または技術要件などの高度なシナリオが必要な場合 |
次の図は、パスワード同期を使用した同期IDのシナリオを示しています。同期ツールは、オンプレミスとクラウド内の企業ユーザーIDの同期を維持します。
Microsoft Azure Active Directory Connectをインストールします。
お使いのオンプレミス ディレクトリーで新しいユーザーを作成します。
同期ツールは、新しく作成されたIDがないか、お使いのオンプレミス ディレクトリーを定期的にチェックします。次に、これらのIDがAzure ADにプロビジョニングされ、オンプレミスとクラウドのIDが相互にリンクされ、パスワードが同期されて、Microsoft Officeポータルを介して表示できるようになります。
オンプレミス ディレクトリー内のユーザーに変更を加えると、これらの変更はAzure ADに同期され、Microsoft Officeポータルを通じて使用できるようになります。
このモデルでは、同期IDが必要ですが、そのモデルに1つの変更が加えられます。ユーザー パスワードは、オンプレミスのIDプロバイダーによって検証されます。つまり、パスワード ハッシュをAzure ADに同期する必要はありません。このモデルでは、Active Directory Federation Service(AD FS)またはサード パーティー製IDプロバイダーを使用します。
フェデレーションIDを使用する理由は次のとおりです。
既存のインフラストラクチャ
技術要件
ポリシー要件
次の図は、ハイブリッド オンプレミスおよびクラウド導入環境でのフェデレーションIDのシナリオを示しています。この例のオンプレミス ディレクトリーはAD FSです。同期ツールは、オンプレミスとクラウド内の企業ユーザーIDの同期を維持します。
Azure Active Directory Connect(同期ツール)をインストールすると、お使いのオンプレミス ディレクトリーで行った最新の変更内容でAzure ADを最新の状態に保つことができます。シングル サインオンを設定するには、Azure AD Connectのカスタム インストールを使用する必要があります。
お使いのオンプレミスのActive Directoryに新しいユーザーを作成します。
同期ツールは、新しく作成されたIDがないか、お使いのオンプレミスのActive Directoryサーバーを定期的にチェックします。次に、これらのIDがAzure ADにプロビジョニングされ、オンプレミスとクラウドのIDが相互にリンクされ、Microsoft Officeポータルを介して表示できるようになります。
オンプレミスのActive DirectoryのIDに変更が加えられると、これらの変更はAzure ADに同期されます。
これらの変更は、Microsoft Officeポータルから確認できます。
フェデレーション ユーザーはAD FSでサインインします。
AD FSは、セキュリティ トークンを生成し、そのトークンはAzure ADに渡されます。トークンが検証され確認されると、ユーザーはOffice 365に対して認証されます。