Office 365およびAzure Active Directoryのオプションについて

ユーザー アカウントを設定および管理する際には、Office 365の3つの主要なIDモデルから選択できます。

起動および実行するために使用するIDモデルを慎重に検討することが重要です。時間、既存の複雑さ、およびコストについて考慮してください。これらの要因は組織によって異なります。このトピックでは、導入環境で使用するIDを選択するために役立つ、すべてのIDモデルの主要な概念について説明します。

要件が変更された場合は、別のIDモデルに切り替えることもできます。

Office 365 for BusinessのID

クラウドID

このモデルでは、Microsoft Officeポータルでユーザーを作成および管理し、アカウントをAzure ADに保存します。Azure ADがパスワードを認証します。Azure ADは、Office 365で使用されるクラウド ディレクトリーです。オンプレミス サーバーは不要です（Microsoftがそのすべてを管理します）。IDと認証がクラウドで完全に処理されると、Microsoftオンライン ポータルまたはWindows PowerShellコマンドレットを使用してユーザー アカウントとユーザー ライセンスを管理できます。

次の図は、クラウドIDモデルでユーザーを管理する方法の概要について説明しています。

1. 管理者は、Microsoftクラウド プラットフォームのMicrosoftオンライン ポータルに接続して、ユーザーを作成または管理します。

2. 作成または管理リクエストはAzure ADに渡されます。

3. 変更リクエストの場合は、変更が行われると、Microsoft Officeポータルにコピー バックされます。

4. 新しいユーザー アカウントと既存のユーザー アカウントへの変更は、Microsoft Officeポータルにコピー バックされます。

いつクラウドIDを使用しますか？クラウドIDは、次の場合に適した選択肢です。

• 他のオンプレミス ユーザー ディレクトリーがない。
• 非常に複雑なオンプレミス ディレクトリーがあり、単にそれと統合したくない。
• 既存のオンプレミス ディレクトリーがあるが、Office 365の評価版またはパイロット版を実行したい。その後、お使いのオンプレミス ディレクトリーに接続する準備ができたら、クラウド ユーザーをオンプレミス ユーザーと照合できます

Office 365と既存のディレクトリー サービスの統合

既存のディレクトリー環境がオンプレミスにある場合は、同期IDまたはシングル サインオンとフェデレーションIDのいずれかを使用してOffice 365をディレクトリーと統合し、Office 365でユーザーを作成および管理できます。

同期ID

このモデルでは、オンプレミス サーバーでユーザーIDを管理し、アカウントと、オプションでパスワードをクラウドに同期します。ユーザーは、クラウドで使用するものと同じパスワードをオンプレミスで入力し、サインイン時にAzure ADによってパスワードが検証されます。このモデルでは、ディレクトリー同期ツールを使用して、オンプレミスIDをOffice 365に同期します。

同期IDモデルを構成するには、同期元のオンプレミス ディレクトリーが必要です。また、ディレクトリー同期ツールをインストールする必要があります。アカウントを同期する前に、オンプレミス ディレクトリーでいくつかの整合性チェックを実行します。

同期IDまたはフェデレーションIDを使用するタイミング：

次の図は、パスワード同期を使用した同期IDのシナリオを示しています。同期ツールは、オンプレミスとクラウド内の企業ユーザーIDの同期を維持します。

1. Microsoft Azure Active Directory Connectをインストールします。

2. お使いのオンプレミス ディレクトリーで新しいユーザーを作成します。

3. 同期ツールは、新しく作成されたIDがないか、お使いのオンプレミス ディレクトリーを定期的にチェックします。次に、これらのIDがAzure ADにプロビジョニングされ、オンプレミスとクラウドのIDが相互にリンクされ、パスワードが同期されて、Microsoft Officeポータルを介して表示できるようになります。

4. オンプレミス ディレクトリー内のユーザーに変更を加えると、これらの変更はAzure ADに同期され、Microsoft Officeポータルを通じて使用できるようになります。

フェデレーションID

このモデルでは、同期IDが必要ですが、そのモデルに1つの変更が加えられます。ユーザー パスワードは、オンプレミスのIDプロバイダーによって検証されます。つまり、パスワード ハッシュをAzure ADに同期する必要はありません。このモデルでは、Active Directory Federation Service（AD FS）またはサード パーティー製IDプロバイダーを使用します。

フェデレーションIDを使用する理由は次のとおりです。

既存のインフラストラクチャ

• その他の理由でAD FSがすでに導入されている場合に、Office 365にも使用する可能性がある。
• 他のIDプロバイダーをすでに使用している場合に、Office 365でフェデレーションIDを使用する。
• Forefront Identity Managerを使用する場合に、Office 365でもフェデレーションIDを使用する。

技術要件

• お使いのオンプレミスのActive Directory Domain Services（AD DS）に複数のフォレストがある。
• オンプレミスの統合スマート カード ソリューションがある。
• SharePointやMicrosoft Exchange Serverなど、既存のカスタム ハイブリッド アプリケーションがある。

ポリシー要件

• サインイン監査や即時無効化が必要。
• シングル サインオンが必要。
• ネットワーク上の場所または作業時間ごとにサインオン制限がある。
• フェデレーションIDを必要とする他のポリシーが設定されている。

次の図は、ハイブリッド オンプレミスおよびクラウド導入環境でのフェデレーションIDのシナリオを示しています。この例のオンプレミス ディレクトリーはAD FSです。同期ツールは、オンプレミスとクラウド内の企業ユーザーIDの同期を維持します。

1. Azure Active Directory Connect（同期ツール）をインストールすると、お使いのオンプレミス ディレクトリーで行った最新の変更内容でAzure ADを最新の状態に保つことができます。シングル サインオンを設定するには、Azure AD Connectのカスタム インストールを使用する必要があります。

2. お使いのオンプレミスのActive Directoryに新しいユーザーを作成します。

3. 同期ツールは、新しく作成されたIDがないか、お使いのオンプレミスのActive Directoryサーバーを定期的にチェックします。次に、これらのIDがAzure ADにプロビジョニングされ、オンプレミスとクラウドのIDが相互にリンクされ、Microsoft Officeポータルを介して表示できるようになります。

4. オンプレミスのActive DirectoryのIDに変更が加えられると、これらの変更はAzure ADに同期されます。

5. これらの変更は、Microsoft Officeポータルから確認できます。

6. フェデレーション ユーザーはAD FSでサインインします。

7. AD FSは、セキュリティ トークンを生成し、そのトークンはAzure ADに渡されます。トークンが検証され確認されると、ユーザーはOffice 365に対して認証されます。