Microsoft Entra ID(旧Azure AD)と独立系SSOベンダー(GMOトラスト・ログイン、Soliton OneGateなど)を組み合わせた認証構成では、「PCログイン時に毎回サードパーティのスマホMFAを使えるのか」という点がしばしば論点になります。本記事では、その構成が技術的に可能かどうか、また実運用上の制約について整理します。
前提:Entra ID Joined PCのサインイン構造
Entra IDに参加(Azure AD Join)しているPCでは、ログオン認証は基本的にWindowsのサインインプロセスとEntra ID認証基盤で処理されます。
このため、ブラウザSSOとは異なり「OSログオンそのもの」を外部SSOで完全に置き換えることは標準構成では想定されていません。
独立SSOベンダーの役割
GMOトラスト・ログインやSoliton OneGateなどの独立SSOは、主にクラウドアプリケーションへのシングルサインオンを提供する仕組みです。
これらはSAMLやOIDC連携によりアプリケーション認証を制御しますが、Windowsログオンの一次認証を直接制御する用途とは分離されています。
PCログオン時MFAの実現方法
PC起動時にMFAを要求する方法としては、以下のような仕組みが存在します。
代表例としてはWindows Hello for Businessや条件付きアクセス(Conditional Access)によるMFA要求です。
これらはEntra IDの標準機能であり、独立SSOベンダーのMFAアプリを直接OSログオンに組み込む形とは異なります。
外部SSOのMFAをログオン時に使えるか
結論として、一般的な構成では「毎回独立SSOベンダーのスマホアプリでPCログオンMFAを行う」ことは標準機能としては困難です。
理由は、OSログオンフェーズはEntra IDまたはローカル認証基盤が制御しており、外部SSOはその前段階に介入できないためです。
近い構成を実現する方法
近い要件を実現するには、以下のような設計が検討されます。
・Entra ID条件付きアクセスで毎回MFAを強制する
・Windows Hello for Businessで生体認証+PINを併用する
・サードパーティSSOはアプリ層のMFAとして利用する
このようにレイヤーごとに認証を分離するのが一般的です。
まとめ
Entra ID Joined PC環境においては、OSログオンとSSOアプリ認証は異なるレイヤーで動作しているため、独立SSOベンダーのMFAを毎回ログオンに直接組み込むことは基本的に想定されていません。必要なセキュリティレベルに応じて、Entra IDの条件付きアクセスやWindows Helloなどを組み合わせる設計が現実的です。


コメント