どうもミツシマです。
今回もAzure AD Connectです(←またかよっ!!)
今回はAzure AD Connectを利用してオンプレADにドメイン参加している端末からのSSO(シングルサインオン)環境を構築・検証してみました。
<参考にしたサイト>
Azure AD Connect で実現するシングル サインオン
Azure Active Directory シームレス シングル サインオン:クイック スタート
検証環境としては以下の通りです。
オンプレAD:Windows Server 2016
AADコネクト:Windows Server 2019
クライアント:Windows10 20H2
手順としては
前回までの検証で使用していたAzure AD Connectサーバーを使用するので、プログラム自体はインストール済み。
ここからSSOを有効化するには「Azure AD Connect」ウィザードを起動して「ユーザーサインインの変更」から実行出来ます。


SSOを有効化すると「AZUREADSSOACC」というコンピューターアカウントが作成されます。
このコンピューターアカウントは重要みたいなのでちゃんと管理してね!というのがMSの見解です。
※詳しくはMSのサイトをご確認ください。

無事に有効化出来たら次はGPOの設定です。
参考サイトにGPOの設定方法が2通り示されていますが、今回はGPOのレジストリ追加でサイトの追加を行います。
理由としては、「サイトとゾーンの割り当て一覧」で設定してしまうとユーザーが個々に設定変更出来なくなってしまう為です。それは運用上よろしくないと思いますので、レジストリ追加で実施したいと思います。
設定場所は「ユーザーの構成」-「基本設定」-「Windowsの設定」-「レジストリ」から新規で追加します。
設定値は
アクション:更新
ハイブ:HKEY_CURRENT_USER
キーのパス:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
値の名前:https
値の種類:REG_DWORD
値のデータ:00000001 ※16進数


GPOを設定後OUへリンクさせてすべての準備が完了です。
ちなみに、、、
参考サイトでは「スクリプトを介したステータス バーの更新を許可する」を「有効」にするという手順がありましたが、特に不要みたいです。
試しに上記を「無効」にして検証してみましたが、SSO動作しましたので誤記だと思われます!
では、実際にクライアント端末で確認してみましょう!!
「https://autologon.microsoftazuread-sso.com」がイントラネットのサイトに追加されていることを確認します。

ちゃんと追加されていることがわかりますね!!
(注)ここで値をちゃんと確認しましょう!!検証時に入力ミスをしていたせいでSSOが上手く動作しなくてあせった自分がいますので。。。(^_^;)
この状態で「https://myapps.microsoft.com/」へアクセスし、ユーザー名を入力するとパスワードを入力せずにログイン出来ればOK!
さらに「https://myapps.microsoft.com/<ドメイン名>」へアクセスすればユーザー名も入力せずにログイン可能です。
※Microsoft 365アプリ(OutlookやExcel等)についてもSSO可能でした!!
ちょっと感動です(^o^)
実際に動作しているかはPC側のコマンド「klist」で確認出来るみたいです。

「サーバー:HTTP/autologon.microsoftazuread-sso.com〜」というチケットが発行されているのが確認出来ました。
またオンプレAD上のセキュリティログでも確認が取れるようです。

こちらはコンピューターアカウント「AZUREADSSOACC」宛のようですね!!
こんな感じで本日の検証は終了したいと思います(^^)
今回もAzure AD Connectです(←またかよっ!!)
今回はAzure AD Connectを利用してオンプレADにドメイン参加している端末からのSSO(シングルサインオン)環境を構築・検証してみました。
<参考にしたサイト>
Azure AD Connect で実現するシングル サインオン
Azure Active Directory シームレス シングル サインオン:クイック スタート
検証環境としては以下の通りです。
オンプレAD:Windows Server 2016
AADコネクト:Windows Server 2019
クライアント:Windows10 20H2
〜検証〜
今回は「パススルー認証+SSO」という環境を構築したいと思います。手順としては
- Azure AD ConnectサーバーにてSSOを有効化する
- AD GPOにてイントラネットサイトに「https://autologon.microsoftazuread-sso.com」を追加し展開する
前回までの検証で使用していたAzure AD Connectサーバーを使用するので、プログラム自体はインストール済み。
ここからSSOを有効化するには「Azure AD Connect」ウィザードを起動して「ユーザーサインインの変更」から実行出来ます。


SSOを有効化すると「AZUREADSSOACC」というコンピューターアカウントが作成されます。
このコンピューターアカウントは重要みたいなのでちゃんと管理してね!というのがMSの見解です。
※詳しくはMSのサイトをご確認ください。

無事に有効化出来たら次はGPOの設定です。
参考サイトにGPOの設定方法が2通り示されていますが、今回はGPOのレジストリ追加でサイトの追加を行います。
理由としては、「サイトとゾーンの割り当て一覧」で設定してしまうとユーザーが個々に設定変更出来なくなってしまう為です。それは運用上よろしくないと思いますので、レジストリ追加で実施したいと思います。
設定場所は「ユーザーの構成」-「基本設定」-「Windowsの設定」-「レジストリ」から新規で追加します。
設定値は
アクション:更新
ハイブ:HKEY_CURRENT_USER
キーのパス:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
値の名前:https
値の種類:REG_DWORD
値のデータ:00000001 ※16進数


GPOを設定後OUへリンクさせてすべての準備が完了です。
ちなみに、、、
参考サイトでは「スクリプトを介したステータス バーの更新を許可する」を「有効」にするという手順がありましたが、特に不要みたいです。
試しに上記を「無効」にして検証してみましたが、SSO動作しましたので誤記だと思われます!
では、実際にクライアント端末で確認してみましょう!!
「https://autologon.microsoftazuread-sso.com」がイントラネットのサイトに追加されていることを確認します。

ちゃんと追加されていることがわかりますね!!
(注)ここで値をちゃんと確認しましょう!!検証時に入力ミスをしていたせいでSSOが上手く動作しなくてあせった自分がいますので。。。(^_^;)
この状態で「https://myapps.microsoft.com/」へアクセスし、ユーザー名を入力するとパスワードを入力せずにログイン出来ればOK!
さらに「https://myapps.microsoft.com/<ドメイン名>」へアクセスすればユーザー名も入力せずにログイン可能です。
※Microsoft 365アプリ(OutlookやExcel等)についてもSSO可能でした!!
ちょっと感動です(^o^)
実際に動作しているかはPC側のコマンド「klist」で確認出来るみたいです。

「サーバー:HTTP/autologon.microsoftazuread-sso.com〜」というチケットが発行されているのが確認出来ました。
またオンプレAD上のセキュリティログでも確認が取れるようです。

こちらはコンピューターアカウント「AZUREADSSOACC」宛のようですね!!
こんな感じで本日の検証は終了したいと思います(^^)
スポンサードリンク
コメント