代替ログインIDについて

2024年2月22日

オンプレADとEntra IDをEntra Connectで同期すると、オンプレADのUPN属性値が、Entra IDのUPN属性値にセットされます。Entra IDには、Entra IDのUPN属性値をユーザアカウントとして使いログインすることになるため、要は大元のオンプレADのUPN属性値をユーザアカウントとして使いEntra IDにログインしているということになります。

代替ログインIDというのは、オンプレADとEntra IDをEntra Connectで同期しているという状況下のおいて、オンプレADのUPN属性値をユーザアカウントとして使わずに、別の値を使用して、Entra IDにログインする方法のことです。

たとえば、オンプレADのドメインで「@test.local」のようなインターネットで名前解決できないドメインを利用していて、Entra ConnectでオンプレADのUPN属性を、Entra IDに同期してまうと、不都合が生じてしまう(Entra IDのUPN属性のUPNサフィックスは、インターネット上で名前解決できる必要があるため)ため、不都合を解消するための手段として代替ログインIDが用意されています。

Entra IDのUPN属性以外の別の値を利用する方法をMSは3つ提供しています。

代替ログイン ID としてメール アドレスを使用して Microsoft Entra ID にサインインする – Microsoft Entra ID | Microsoft Learn

①AD FSの代替ログインID

AD FSがオンプレにある環境で使えるやり方らしいです(具体的なところは私もよくわかっていない)

AD FSで設定した何かしらの値を、Entra IDのUPN属性にセットする方法だと認識しています

②Microsoft Entra Connectの代替ログインID

オンプレADユーザのUPN属性以外の属性(Mail属性など)のいずれかを指定し、その属性値を、Entra IDのUPN属性に上書きする方法です。

注意点

この構成は、Entra ハイブリッド参加は実現できません。

Entra ハイブリッド参加の条件としてオンプレAD側のUPNが、インターネット上で名前解決可能である必要があります。

この方法は、あくまでオンプレADユーザのUPN属性以外の属性を、Entra IDのUPN属性にセットする方法であり、オンプレADユーザのUPN属性値自体は、「@test.local」のままとなり、インターネット上で名前解決することができません。(オンプレUPN属性が「@test.co.jp」のようにインターネット上で名前解決することが可能なドメインである場合は、Entra ハイブリッド参加を実現できます)

この方法は、「IDの管理はオンプレADで実現したい」「Entra IDのUPNを、オンプレADのUPNと異なる値にしたい」という要件があった場合に有効です。(何度も言いますが、Entraハイブリッド参加できるかどうかは、オンプレADユーザのUPN属性が、インターネット上で名前解決できるか、否かに依存します)

代替UPNサフィックスが有用

  • オンプレADユーザのUPN属性のUPNサフィックスは「@test.local」である
  • Entra IDユーザのUPN属性は、オンプレADユーザのUPN属性とは異なる値をセットしたい(とうか、オンプレADユーザのUPN属性のUPNサフィックスが、インターネット上で名前解決できない値であるため、異なる値をセットする必要がある)
  • IDの管理はオンプレADで実現したい
  • Entra ハイブリッド参加を構成したい

上記要件があった場合、代替UPNサフィックスが有用です。

代替UPNサフィックスによって、オンプレADユーザのUPN(正確にはUPNサフィックス値)を、インターネット上で名前解決できるUPNサフィックス値(@test.co.jpなど)に変えてしまえばOKです。

これをすることで、Entra ハイブリッド参加の条件である、「オンプレAD側のUPNが、インターネット上で名前解決可能である必要がある」という条件もクリアできます。

③代替ログインIDとしてのメールアドレス

MSサポート曰く、②が何かしらの理由で使えないときに、使う最後の手段らしいです。

Entra IDにログインする際は、Entra IDユーザのUPN属性が、ユーザアカウントとして利用されるのですが、そもそも、ユーザアカウントとしてUPN属性を利用せずに、ProxyAddresses属性をユーザアカウントとして利用する方法です。(通常は、Entra IDログイン時にユーザアカウントとしてUPN属性にセットされている値を入力する必要があるが、ProxyAddress属性にセットされている値を入力することで、Entra IDへログインできるようにする方法)

ProxyAddresses属性には、オンプレADユーザのProxyAddress属性値がセットされます。

Azure,Entra

Posted by mitsuru