ある大企業のアーキテクトがEntra IDのハイブリッドID構成を検討している。パスワードハッシュSync(PHS)、パススルー認証(PTA)、フェデレーション認証(ADFS)の3つの方式のうち、「オンプレミスADが停止してもクラウドサービスへの認証が継続できる」という可用性要件を満たすのはどれか。
- A. パススルー認証(PTA):認証リクエストをオンプレミスADに転送するためAD停止時は認証できない
- B. フェデレーション認証(ADFS):ADFSサーバーが停止するとフェデレーションが機能しない
- C. どの方式もオンプレミスADが停止すると認証できなくなるため、要件を満たす方式は存在しない
- D. パスワードハッシュSync(PHS):パスワードハッシュがEntra IDに同期されているためAD停止時もクラウド認証が継続できる
解答と解説を見る
正解: D
パスワードハッシュSync(PHS)はオンプレミスADのパスワードハッシュをEntra IDに同期するため、オンプレミスADが停止してもEntra ID側でパスワード検証が可能であり、クラウドサービスへの認証が継続できる。この点が可用性において他の方式と異なる重要な特性である。選択肢AのPTAは認証時にオンプレミスに設置されたエージェントを経由してADで認証処理を行うため、オンプレミスADが停止すると認証できなくなる。選択肢BのADFS(フェデレーション認証)はオンプレミスのADFSサーバーが認証を担うため、サーバーまたはオンプレミスADの障害で認証が停止する。選択肢Cは誤りであり、PHSがこの要件を満たすことができる方式として存在する。
📚 関連サービスの解説: Microsoft Entra ID