Active Directory フェデレーション サービスのプロンプト=ログイン パラメーターのサポート

次のドキュメントでは、AD FS で使用できる prompt=login パラメーターのネイティブ サポートについて説明します。

prompt=login とは

アプリケーションが Microsoft Entra ID から新しい認証を要求する必要がある場合、つまり、ユーザーが既に認証されている場合でも、ユーザーを再認証するために Microsoft Entra ID が必要な場合は、認証要求の一部として prompt=login パラメーターを Microsoft Entra ID に送信できます。

この要求がフェデレーション ユーザーに対する場合、Microsoft Entra ID は、要求が新しい認証用であることを IDP (AD FS など) に通知する必要があります。

既定では、Microsoft Entra ID は、この種類の認証要求をフェデレーション IdP に送信するときに、 prompt=login を wfresh=0 および wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password に変換します。

これらのパラメーターは次を意味します。

• wfresh=0: 新しい認証を行う
• wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: 新しい認証要求にユーザー名/パスワードを使用します

これにより、 wauth パラメーターの要求に応じて、ユーザー名とパスワード以外の認証の種類が必要な企業イントラネットおよび多要素認証のシナリオで問題が発生する可能性があります。

Windows Server 2012 R2 の AD FS と 2016 年 7 月の更新プログラムロールアップでは、 prompt=login パラメーターのネイティブ サポートが導入されました。 つまり、Microsoft Entra ID は、このパラメーター as-is を Microsoft Entra ID および Office 365 認証要求の一部として AD FS サービスに送信できるようになりました。

prompt=login をサポートする AD FS のバージョン

prompt=login パラメーターをサポートする AD FS バージョンの一覧を次に示します。

• 2016 年 7 月の更新プログラムのロールアップを使用した Windows Server 2012 R2 の AD FS
• Windows Server 2016 以降の AD FS

AD FS に prompt=login を送信するようにフェデレーション ドメインを構成する方法

Microsoft Graph PowerShell モジュールを使用して設定を構成します。

1. まず、次の PowerShell コマンドを実行して、フェデレーション ドメインの FederatedIdpMfaBehavior、 PreferredAuthenticationProtocol、および PromptLoginBehavior の現在の値を取得します。

   Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *
   

   注

   Get-MgDomainFederationConfigurationの出力は、既定ではコンソールに特定のプロパティを表示しません。 すべてのプロパティを確認するには、オブジェクトのすべてのプロパティを表示するために、出力を | でパイプして Format-List * に送る必要があります。

   プロパティ PromptLoginBehavior の値が空 ($null) の場合、 TranslateToFreshPasswordAuth の動作が使用されます。

2. 次のコマンドを実行して、 PromptLoginBehavior の目的の値を構成します。

   New-MgDomainFederationConfiguration -DomainId <your_domain_name> `
      -FederatedIdpMfaBehavior <current_value_from_step1> `
      -PreferredAuthenticationProtocol <current_value_from_step1> `
      -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>
   

パラメーターの使用可能な値とその意味 PromptLoginBehavior 次に示します。

• TranslateToFreshPasswordAuth: prompt=login を wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password および wfresh=0に翻訳する既定の Microsoft Entra 動作を意味します。
• NativeSupport: prompt=login パラメーターがそのまま AD FS に送信されることを意味します。 これは、2016 年 7 月の更新プログラムのロールアップ以降の Windows Server 2012 R2 に AD FS がある場合に推奨される値です。
• 無効: wfresh=0 のみが AD FS に送信されることを意味します。