Microsoft Entra ID は、強力な認証とリアルタイムのリスクベースのアダプティブ アクセス ポリシーを使用して、すべてのリソースとアプリにシンプルなクラウドベースのサインイン エクスペリエンスを提供し、リソースへのアクセスを許可することで、AD FS 環境の管理と維持の運用コストを削減し、IT 効率を向上させます。
AD FS から Microsoft Entra ID にアップグレードする 必要がある理由 の詳細については、 AD FS から Microsoft Entra ID への移行に関するページを参照してください。 AD FS からアップグレードする方法については、「フェデレーションからクラウド認証への移行」を参照してください。
一般的な質問
このドキュメントでは、AD FS から Microsoft Entra ID への移行に関してよく寄せられる質問に対する回答を提供します。
AD FS をパスワード ハッシュ同期またはパススルー認証と並行して実行できますか?
はいできますよ。 これは非常に一般的です。 段階的ロールアウトを使用すると、ドメインがフェデレーションされている間に、ユーザーのサブセットが Microsoft Entra ID に対して直接認証できることを検証するのに役立ちます。 このドキュメントでは、 フェデレーションからクラウド認証への移行 について説明します。
AD FS 経由でサイトにアクセスすると、ユーザーはシングル サインオン エクスペリエンスを利用できます。 Microsoft Entra ID に移行するときに同じエクスペリエンスを維持するにはどうすればよいですか?
いくつかの方法があります。 最初に推奨される方法は、既存の Windows 10/11 ドメイン参加済みマシンに Microsoft Entra ハイブリッド 参加するか、Microsoft Entra 参加を使用することです。 これにより、同じシームレスなシングル サインオン エクスペリエンスが提供されます。 2 つ目の方法は、Microsoft Entra 以外のハイブリッド参加済みマシンに シームレスなシングル サインオン を活用するか、ダウンレベルの Windows クライアントでも同じエクスペリエンスを実現できることです。
AD FS デバイス要求を使用して Microsoft Entra ハイブリッド参加済みデバイスを登録しています。 デバイスが AD FS でハイブリッド AADJ プロセスを完了し続けるにはどうすればよいですか?
デバイスの Microsoft Entra ハイブリッド参加の構成 プロセスに従って、AD FS なしで登録プロセスを完了できます。
AD FS に承認規則があります。 Microsoft Entra ID でこれを行う同等の方法は何ですか?
これらは 、Microsoft Entra 条件付きアクセス ポリシーに変換されます。 まず、事前に構築された テンプレート ポリシーがいくつかあります。
段階的なロールアウト グループにユーザーを配置する場合、現在のセッションは影響を受け、再認証を強制されますか?
いいえ。現在のセッションは有効なままであり、次回認証する必要がある場合は、フェデレーションではなくマネージド認証を使用して認証します。
他社と資源アクセスに関する「請求提供者の信託」を結んでいますか? この信頼関係を移行する方法
Microsoft Entra B2B を利用して、同じ認証アクセスを実現する必要があります。
Microsoft Entra ID でこれらをサポートできるカスタム要求規則がありますか?
はい、必要なルールによります。 調査に最適な場所は、AD FS アプリケーション アクティビティ レポートを使用し、SAML 要求をカスタマイズする方法を確認することです
ドメインをフェデレーションからマネージドに切り替える場合、変更が行われるまでどのくらいの時間がかかりますか?
完全なカットオーバーには最大 4 時間かかる場合があるため、 それに応じてメンテナンス期間を計画してください
O365 を使用するために AD FS は必要ですか?
いいえ。O365 は、ADFS を必要とせずに直接認証できます。
アプリケーション構成を Microsoft Entra ID に移行した後、移行を完了するために他に何か必要なものはありますか?
はい。Microsoft Entra ID を使用するようにアプリ自体を再構成 (カットオーバー) するまで、アプリケーションの Microsoft Entra への移行は完了しません。
ユーザーが自分のメール アドレスまたはユーザー プリンシパル名 (UPN) を使用してログインできるように、ADFS は必要ですか?
いいえ。Microsoft Entra ID では、 電子メール アドレス またはユーザー プリンシパル名を使用したサインインがサポートされています。