どうもミツシマです。

今回もAzure AD Connectです(←またかよっ!!)
今回はAzure AD Connectを利用してオンプレADにドメイン参加している端末からのSSO(シングルサインオン)環境を構築・検証してみました。


<参考にしたサイト>
Azure AD Connect で実現するシングル サインオン

Azure Active Directory シームレス シングル サインオン:クイック スタート


検証環境としては以下の通りです。
オンプレAD:Windows Server 2016
AADコネクト:Windows Server 2019
クライアント:Windows10 20H2


〜検証〜

今回は「パススルー認証+SSO」という環境を構築したいと思います。
手順としては
  1. Azure AD ConnectサーバーにてSSOを有効化する
  2. AD GPOにてイントラネットサイトに「https://autologon.microsoftazuread-sso.com」を追加し展開する
という感じです。

前回までの検証で使用していたAzure AD Connectサーバーを使用するので、プログラム自体はインストール済み。
ここからSSOを有効化するには「Azure AD Connect」ウィザードを起動して「ユーザーサインインの変更」から実行出来ます。
00-変更箇所

00-変更箇所2

SSOを有効化すると「AZUREADSSOACC」というコンピューターアカウントが作成されます。
このコンピューターアカウントは重要みたいなのでちゃんと管理してね!というのがMSの見解です。
※詳しくはMSのサイトをご確認ください。
06-コンピューターアカウント


無事に有効化出来たら次はGPOの設定です。
参考サイトにGPOの設定方法が2通り示されていますが、今回はGPOのレジストリ追加でサイトの追加を行います。
理由としては、「サイトとゾーンの割り当て一覧」で設定してしまうとユーザーが個々に設定変更出来なくなってしまう為です。それは運用上よろしくないと思いますので、レジストリ追加で実施したいと思います。


設定場所は「ユーザーの構成」-「基本設定」-「Windowsの設定」-「レジストリ」から新規で追加します。
設定値は

アクション:更新
ハイブ:HKEY_CURRENT_USER
キーのパス:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
値の名前:https
値の種類:REG_DWORD
値のデータ:00000001 ※16進数
01-ポリシー


02-ポリシー


GPOを設定後OUへリンクさせてすべての準備が完了です。

ちなみに、、、
参考サイトでは「スクリプトを介したステータス バーの更新を許可する」を「有効」にするという手順がありましたが、特に不要みたいです。
試しに上記を「無効」にして検証してみましたが、SSO動作しましたので誤記だと思われます!


では、実際にクライアント端末で確認してみましょう!!
https://autologon.microsoftazuread-sso.com」がイントラネットのサイトに追加されていることを確認します。
03-ポリシー適用確認

ちゃんと追加されていることがわかりますね!!
(注)ここで値をちゃんと確認しましょう!!検証時に入力ミスをしていたせいでSSOが上手く動作しなくてあせった自分がいますので。。。(^_^;)


この状態で「https://myapps.microsoft.com/」へアクセスし、ユーザー名を入力するとパスワードを入力せずにログイン出来ればOK!
さらに「https://myapps.microsoft.com/<ドメイン名>」へアクセスすればユーザー名も入力せずにログイン可能です。
※Microsoft 365アプリ(OutlookやExcel等)についてもSSO可能でした!!
 ちょっと感動です(^o^)


実際に動作しているかはPC側のコマンド「klist」で確認出来るみたいです。
04-確認
サーバー:HTTP/autologon.microsoftazuread-sso.com〜」というチケットが発行されているのが確認出来ました。

またオンプレAD上のセキュリティログでも確認が取れるようです。
05-ADサーバのログ
こちらはコンピューターアカウント「AZUREADSSOACC」宛のようですね!!


こんな感じで本日の検証は終了したいと思います(^^)
スポンサードリンク