混合モードのサポートおよび Azure Active Directory (AAD) とオンプレミス Active Directory (OPAD) のシナリオ

Azure Active Directory (AAD) とオンプレミス Active Directory (OPAD) の混合モード認証に関する情報。

MaaS360 10.68 以前のプラットフォーム・リリースでサポートされていたシナリオ

MaaS360 プラットフォームの以前のリリース (10.68 以前) では、MaaS360 は、以下のシナリオのみをサポートしていました。

Azure Active Directory 認証と Azure Active Directory 可視化
オンプレミス Active Directory 認証とオンプレミス Active Directory 可視化

MaaS360 10.69 プラットフォーム・リリースで導入された混合モード・シナリオ

10.69 プラットフォーム・リリースで、MaaS360 は、Azure 認証と AD/LDAP 認証の混合モード・セットアップをサポートしました。 10.69 では、Azure AD (AAD) とオンプレミス AD (OPAD) の以下の混合モード・シナリオが導入されました。

スタンドアロン: ユーザーが 1 つの認証元のみを構成した場合、MaaS360 は、構成された認証元を使用して認証します。
- Azure Active Directory (AAD) 認証と可視化:
  - ユーザーが MaaS360 ポータルで使用可能である場合は、Azure Active Directory が認証を処理します。
  - ユーザーが MaaS360 ポータルで使用可能ではなく、Azure 認証が構成されている場合は、Azure Active Directory (AAD) が認証を処理し、ユーザーが MaaS360 ポータルで作成されます。
- オンプレミス Active Directory (OPAD) 認証と可視化:
  - ユーザーが MaaS360 ポータルで使用可能である場合は、オンプレミス Active Directory が認証を処理します。
  - ユーザーが MaaS360 ポータルで使用可能ではなく、オンプレミス認証が構成されている場合は、オンプレミス Active Directory (OPAD) が認証を処理し、ユーザーが MaaS360 ポータルで作成されます。
混合モード: ユーザーが複数の認証元を構成した場合は、以下が適用されます。
- ユーザー・レコードが MaaS360 ポータルで使用可能であり、ユーザーの認証タイプが Azure または Active Directory である場合、MaaS360 は、選択された認証タイプを使用して認証します。
- ユーザー・レコードが MaaS360 ポータルで使用可能ではない場合、MaaS360 は、Azure 可視化が構成されていれば Active Directory を使用して認証し、Active Directory 可視化が構成されていれば Azure Active Directory を使用して認証します。 注意: カスタマーが Active Directory 認証を構成していて、可視化を構成しないで Azure 認証を構成しようとすると、MaaS360 は、カスタマーに少なくとも 1 つの可視化を構成するように推奨するメッセージを表示します。

混合モード・サポートには、次の追加基準が必要でした。MaaS360 が Active Directory フェデレーション・サービス (ADFS) と正常に通信するためには、ADFS は、公開されていて、パブリック証明書を使用している必要があります。

MaaS360 10.69 プラットフォーム・リリースで導入された混合モード・シナリオの制限

以下のシナリオおよび制限は、10.69 リリースではサポートされていません。

カスタマーが複数の認証元を構成していて、どのソースでも可視化を構成していないか、両方のタイプの可視化を構成している場合、MaaS360 は、MaaS360 で使用可能ではないユーザーの認証要求に失敗します。
可視化が構成されている新しいユーザーが Active Directory (AD) に追加された場合、認証は、ユーザーが MaaS360 ポータルにアップロードされる (正常なデータ・フェッチの後) まで、新しいユーザーに対して機能しません。
Azure と Active Directory (AD) の両方に異なるドメインを使用することは、サポートされていません。
同じカスタマーに対する Azure と Active Directory の両方での可視化は、サポートされていません
デバイスが古いドメインからマイグレーションされた後にユーザーが新しいドメインを受け取った場合、ポリシーがそのデバイス上で機能しないときには、デバイスの再登録が必要になることがあります。

MaaS360 10.72 プラットフォーム・リリースで導入された混合モード・シナリオ

10.72 リリースでは、以下の混合モード・シナリオがサポートされます。管理者は、ポータルの「設定」ページでデフォルトの認証タイプ設定を設定して、ユーザーが自分の環境内で Active Directory (AD) と Azure Active Directory (AAD) の両方を使用する場合の混合モード・シナリオをサポートできます。以下のデフォルトの認証タイプを使用できます。

なし: 認証元を使用しません。
企業 (AD): プライマリー認証元として Active Directory (AD) を使用します。
企業 (AzureAD): プライマリー認証元として Azure Active Directory (AAD) を使用します。
両方: ユーザー情報が使用可能である場所に応じて、MaaS360 は、適切な認証元を選択します。

10.72 リリース - シナリオ 1: オンプレミス Active Directory (OPAD) 認証および Azure Active Directory (AAD) 認証

このシナリオのデフォルトの認証タイプは、以下のように機能します。

なし: 認証は失敗します。
企業 (AD): Active Directory (AD) ユーザーの認証は成功しますが、Azure Active Directory (AAD) ユーザーの認証は失敗します。
企業 (AzureAD): Azure Active Directory (AAD) ユーザーの認証は成功しますが、Active Directory (AD) ユーザーの認証は失敗します。
両方: 認証は成功しました。

10.72 リリース - シナリオ 2: オンプレミス Active Directory (OPAD) 認証と可視化および Azure Active Directory (AAD) 認証と可視化

このシナリオのデフォルトの認証タイプは、以下のように機能します。

なし: 認証は成功します。
企業 (AD): Active Directory (AD) ユーザーおよび Azure Active Directory (AAD) ユーザーの両方の認証が成功します。
企業 (AzureAD): Azure Active Directory (AAD) ユーザーおよび Active Directory (AD) ユーザーの両方の認証が成功します。
両方: 認証は成功しました。

注意: Active Directory (AD) または Azure Active Directory (AAD) のいずれかのユーザー可視化を有効にしておく必要があります。

10.72 リリース - シナリオ 3: オンプレミス Active Directory (OPAD) 認証と可視化および Azure Active Directory (AAD) 認証

このシナリオのデフォルトの認証タイプは、以下のように機能します。

なし: Active Directory (AD) ユーザーの認証は成功しますが、Azure Active Directory (AAD) ユーザーの認証は失敗します。
企業 (AD): Active Directory (AD) ユーザーの認証は成功しますが、Azure Active Directory (AAD) ユーザーの認証は失敗します。
企業 (AzureAD): Azure Active Directory (AAD) ユーザーおよび Active Directory (AD) ユーザーの両方の認証が成功します。
両方: 認証は成功しました。