Azure AD Connectを使うと、Azure ADとオンプレミスのAD (以降、オンプレADと呼ぶ) の同期を行うことができる。これによって、オンプレADのユーザとパスワード情報を用いて、Microsoft 365関連のサイトやAzure Portalにログインすることができる。
Azure AD Connectをインストールする際に、シングルサインオンの設定を行っている場合、追加でグループポリシーの設定を行うことで、シングルサインオンを有効にすることができる。これによって、ドメインユーザでOSログインすると、ブラウザから各種サイトにアクセスする際に、認証情報の再入力が不要となる。
今回は、Azure ADと同期した環境において、シングルサインオンに必要となるグループポリシーの設定手順を記載する。
環境
オンプレADのOSは以下の通り。
- OS : Windows Server 2016 Standard
- ドメインの機能レベル : Windows Server 2016
Azure AD Connectのインストール手順は以下記事の手順で実施済みであることを前提とする。
手順
1. シングルサインオン用のGPOを作成
「サーバーマネージャー」→「ツール」→「グループポリシーの管理」を開き、グループポリシーオブジェクト (GPO) を作成する。
今回はAzure Policyという名前で作成し、ログインユーザが格納されているOU (私の環境の場合はMy OU) にリンクさせる。
2. 「サイトとゾーンの割り当て」を設定
作成したGPOに対して、以下グループポリシーの設定を行う。
▼設定項目
[ユーザーの構成]
→[ポリシー]
→[管理用テンプレート]
→[Windowsコンポーネント]
→[Internet Explorer]
→[インターネットコントロールパネル]
→[セキュリティページ]
→[サイトとゾーンの割り当て一覧]
▼設定内容
- 「未構成」→「有効」に変更
- ここにゾーンの割り当てを入力してください。
- 値の名前 :
https://autologon.microsoftazuread-sso.com - 値 : 1
- 値の名前 :
3. 「スクリプトを介したステータスバーの更新を許可」を設定
作成したGPOに対して、以下グループポリシーの設定を行う。
▼設定項目
[ユーザーの構成]
→[ポリシー]
→[管理用テンプレート]
→[Windowsコンポーネント]
→[Internet Explorer]
→[インターネットコントロールパネル]
→[セキュリティページ]
→[イントラネットゾーン]
→[スクリプトを介したステータスバーの更新を許可する]
▼設定内容
- 「未構成」→「有効」に変更
4. レジストリの設定
作成したGPOに対して、以下グループポリシーの設定を行う。
▼設定項目
[ユーザーの構成]
→[基本設定]
→[Windowsの設定]
→[レジストリ]を右クリック→[レジストリ項目]
▼設定内容
- アクション : 更新
- ハイブ :
HKEY_CURRENT_USER - キーのパス :
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon - 値の名前 :
https - 値の種類 : REG_DWORD
- 値のデータ :
00000001
5. グループポリシーを反映
グループポリシー反映までは時間を要するので、以下の通りコマンドでグループポリシーの反映を行う。
PS C:\> gpupdate.exe
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
6. シングルサインオンを確認
Microsoft EdgeやGoogle Chromeを使って、以下サイトにアクセスをし、シングルサインオンができることを確認する。
ブラウザはChromeとEdgeにて試したところ、どちらもドメインにログインしたユーザ名があらかじめ入力された状態となっており、ユーザアカウントを選択するだけで、パスワード入力することなくシングルサインオンをすることができた。
▼マイアプリポータルへシングルサインした画面
▼Azure Portalへシングルサインした画面
【参考】「アカウントの保護にご協力ください」を消す
0 件のコメント:
コメントを投稿