ハイブリッド Azure AD Join の構成方法

ハイブリッド Azure AD Join の構成方法についてはマイクロソフトからドキュメントが公開されていますが、検証によりいくつか補足が必要と思ったため記載していきます。

ハイブリッド Azure AD Join 検証のきっかけは Windows 10 Enterprise ライセンスのアクティベーションにはハイブリッド Azure AD Join が必須と分かったためでした。
記事内で Windows 10 Enterprise ライセンスがアクティベーションされるタイミングについても記載します。

ハイブリッド Azure AD Join について

通常Windows 10 OSのコンピューターはオンプレミス Active Directory か Azure Active Directory のいずれかにしか参加することはできません。
一方ハイブリッド Azure AD Join とは、オンプレミス Active Directory に参加している状態でさらに Azure Active Directory にも参加することになります。

オンプレミス Active Directory の GPO に加えて Azure AD の条件付きアクセスを利用できる点がメリットとして挙げられます。
以下の条件付きアクセスの設定例では、ハイブリッド Azure AD Join しているデバイスのみ Azure AD のアプリケーションへのアクセスを許可しています。

ハイブリッド Azure AD Join のシナリオ

ハイブリッドAzure AD Joinのシナリオとしては次の2つがあります。

1.フェデレーション環境ではない
2.フェデレーション環境である

シナリオにより構成方法が異なりますのでご注意ください。
フェデレーション環境ではないかそうであるかによりAzure ADにデバイスを登録するまでの過程が異なります。
今回記載するシナリオは”1.フェデレーション環境ではない”になります。

ハイブリッド Azure AD Join の構成方法

1.サービス接続ポイントの構成

Azure AD Connect にアクセスし次の PowerShell コマンドを実行します。
コマンドの実行には Azure Active Directory コマンドレットと AD DS ツール(および Active Directory コマンドレット)がインストールされている必要があります。

Initialize-ADSyncDomainJoinedComputerSync

認証ポップアップが表示されますので、Azure AD の管理者アカウントの ID,PW を入力します。
※サービス接続ポイント (SCP) オブジェクトは、登録中に Azure AD テナント情報を検出するために、デバイスによって使用されます。(公式記事から抜粋)

2.サービス接続ポイントの確認

ADSI エディターを起動しサービス接続ポイントオブジェクト “CN = Device Registration Configuration” が作成されていることを確認します。

3.Azure AD にデバイス登録したいコンピューターオブジェクトを同期対象にする

Azure AD にコンピューターオブジェクトが同期されると、Azure AD にデバイス登録される動作となります。

オンプレミス Active Directory にドメイン参加したコンピューターオブジェクトは既定では Computers コンテナーに格納されるため、検証作業においてはComputers コンテナーを同期対象として指定していました。
これでは問題がある場合には他の OU を作成して同期対象としておき、そこにデバイス登録したいコンピューターオブジェクトを移すなどの対応が必要になります。

ハイブリッド Azure AD Join の流れ

新規にオンプレミスのドメインに参加するか、既にオンプレミスドメインに参加している場合にはコンピューターにサインインします。
その後 Azure AD Connect によりオンプレミス Active Directory と Azure AD への同期が実行されることで、Azure AD にデバイスが登録されます。

以下に Azure AD へのデバイス登録に詳細な流れを記載します。

1.オンプレミス コンピューターアカウント の userCertificate 属性に、コンピューターの自己証明書がセットされる
2. Azure AD Connect で、userCertificate 属性に証明書がセットされたコンピューター アカウントが AAD に同期される
3. Azure AD の DRS では、この証明書でコンピューターアカウントを認証し、デバイス オブジェクトが作られる

Windows 10 Enterpiriseのプロビジョニングはこのタイミングで行われます。

[参加情報]
ハイブリッド Azure Active Directory 参加済みデバイスの構成方法
https://docs.microsoft.com/ja-jp/azure/active-directory/device-management-hybrid-azuread-joined-devices-setup

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、弊社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。