ハイブリッドAzure AD Joinの構成方法

ハイブリッドAzure AD Joinの構成方法についてはマイクロソフトからドキュメントが公開されていますが、検証によりいくつか補足が必要と思ったため記載していきます。

ハイブリッドAzure AD Join検証のきっかけはWindows 10 EnterpriseライセンスのアクティベーションにはハイブリッドAzure AD Joinが必須と分かったためでした。
記事内でWindows 10 Enterpriseライセンスがアクティベーションされるタイミングについても記載します。

ハイブリッドAzure AD Joinについて

通常Windows 10 OSのコンピューターはオンプレミスActive DirectoryかAzure Active Directoryのいずれかにしか参加することはできません。
一方ハイブリッドAzure AD Joinとは、オンプレミスActive Directoryに参加している状態でさらにAzure Active Directoryにも参加することになります。

オンプレミスActive DirectoryのGPOに加えてAzure ADの条件付きアクセスを利用できる点がメリットとして挙げられます。
以下の条件付きアクセスの設定例では、ハイブリッドAzure AD JoinしているデバイスのみAzure ADのアプリケーションへのアクセスを許可しています。

ハイブリッドAzure AD Joinのシナリオ

ハイブリッドAzure AD Joinのシナリオとしては次の2つがあります。

1.フェデレーション環境ではない
2.フェデレーション環境である

シナリオにより構成方法が異なりますのでご注意ください。
フェデレーション環境ではないかそうであるかによりAzure ADにデバイスを登録するまでの過程が異なります。
今回記載するシナリオは”1.フェデレーション環境ではない”になります。

ハイブリッドAzure AD Joinの構成方法

1.サービス接続ポイントの構成

Azure AD Connectにアクセスし次のPowerShellコマンドを実行します。
コマンドの実行にはAzure Active DirectoryコマンドレットとAD DS ツール(およびActive Directoryコマンドレット)がインストールされている必要があります。

Initialize-ADSyncDomainJoinedComputerSync

認証ポップアップが表示されますので、Azure ADの管理者アカウントのID,PWを入力します。
※サービス接続ポイント (SCP) オブジェクトは、登録中に Azure AD テナント情報を検出するために、デバイスによって使用されます。(公式記事から抜粋)

2.サービス接続ポイントの確認

ADSIエディターを起動しサービス接続ポイントオブジェクト”CN = Device Registration Configuration”が作成されていることを確認します。

3.Azure ADにデバイス登録したいコンピューターオブジェクトを同期対象にする

Azure ADにコンピューターオブジェクトが同期されると、Azure ADにデバイス登録される動作となります。

オンプレミスActive Directoryにドメイン参加したコンピューターオブジェクトは既定ではComputersコンテナーに格納されるため、検証作業においてはComputersコンテナーを同期対象として指定していました。
これでは問題がある場合には他のOUを作成して同期対象としておき、そこにデバイス登録したいコンピューターオブジェクトを移すなどの対応が必要になります。

ハイブリッドAzure AD Joinの流れ

新規にオンプレミスのドメインに参加するか、既にオンプレミスドメインに参加している場合にはコンピューターにサインインします。
その後Azure AD ConnectによりオンプレミスActive DirectoryとAzure ADへの同期が実行されることで、Azure ADにデバイスが登録されます。

以下にAzure ADへのデバイス登録に詳細な流れを記載します。

1.オンプレミス コンピューターアカウント の userCertificate 属性に、コンピューターの自己証明書がセットされる
2. Azure AD Connect で、userCertificate 属性に証明書がセットされたコンピューター アカウントが AAD に同期される
3. Azure AD の DRS では、この証明書でコンピューターアカウントを認証し、デバイス オブジェクトが作られる

Windows 10 Enterpiriseのプロビジョニングはこのタイミングで行われます。

[参加情報]
ハイブリッド Azure Active Directory 参加済みデバイスの構成方法
https://docs.microsoft.com/ja-jp/azure/active-directory/device-management-hybrid-azuread-joined-devices-setup

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。