Microsoft Entra Connect のカスタム インストールにおける「Microsoft Entra サインインの構成」ページの [User Principal Name] ドロップダウンで選択可能な属性について(代替ログインIDとして選択可能な属性について)

選択可能な属性の条件

当該ドロップダウンに表示される属性は、接続したオンプレミス Active Directory のスキーマに基づいて動的に一覧表示されます。具体的には、以下の条件を満たす属性が選択候補として表示されます。

– 単一値 (Single-valued) の文字列型属性であること

– メタバース (AD コネクタ スペース) に同期されている属性であること

そのため、選択肢の一覧はオンプレミス AD フォレストのスキーマ構成 (カスタム属性やスキーマ拡張を含む) に依存し、環境ごとに異なる場合があります。

代表的な選択可能属性

一般的な Active Directory 環境では、以下のような属性がドロップダウンに表示されます。

– userPrincipalName (既定値・推奨)

– mail

– msDS-cloudExtensionAttribute1 ~ 15

公開情報では、代替属性の例として「mail (電子メール)」が挙げられています。

参考: Microsoft Entra Connect のカスタム インストール – Microsoft Entra サインインの構成

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-install-custom#microsoft-entra-sign-in-configuration

/////一部抜粋/////

userPrincipalName 属性がルーティング不可能で、検証できない場合は、別の属性を選択できます。 たとえば、サインイン ID を保持する属性として電子メールを選択することができます。

userPrincipalName 以外の属性を使用する場合、これは “代替 ID" と呼ばれます。

/////一部抜粋/////

選択した属性値に対する要件

どの属性を選択する場合でも、その属性値が以下の要件を満たす必要があります。

1. RFC 822 形式 (username@domain の形式) に従っていること

2. Active Directory において多値属性として定義されていないこと (値が 1 つのみであっても、スキーマ上多値として定義されている属性は不可)

3. サフィックス (ドメイン部分) が Microsoft Entra ID で検証済みカスタム ドメインに一致していること (一致しない場合は .onmicrosoft.com に置換されます)

参考: Microsoft Entra Connect のユーザー サインイン オプション

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/plan-connect-user-signin#userprincipalname-in-microsoft-entra-id

★多値属性とは?

1つの項目に「値を複数入れられる属性」。

単一値属性
→ 値は1つだけ
例:displayName = 山田太郎

多値属性
→ 値を複数持てる(配列みたいなイメージ)
例:
proxyAddresses = {a@example.com, b@example.com}
memberOf = {GroupA, GroupB}

注意事項

– Microsoft としては、既定の userPrincipalName 属性をそのまま使用することが推奨している

– 代替 ID の使用は、すべての Microsoft 365 ワークロードと互換性があるわけではない

Entra

Posted by MITSUAKI TSURUTA