Microsoft Entra Connect: デバイスライトバックの有効化

[アーティクル]
11/06/2023

Note

デバイスライトバックには、Microsoft Entra ID P1 または P2 のサブスクリプションが必要です。

このドキュメントでは、Microsoft Entra Connect でデバイスライトバック機能を有効にする方法について説明します。デバイスの書き戻しは、次のシナリオで使用されます。

信頼証明書のハイブリッド展開を使用して Windows Hello for Business を有効にします。
ADFS (2012 R2 以降) で保護されたアプリケーション (証明書利用者の信頼) へのデバイスに基づく条件付きアクセスを有効にします。

これにより、セキュリティが強化され、アプリケーションへのアクセスが信頼されたデバイスに対してのみ許可されることが保証されます。条件付きアクセスの詳細については、条件付きアクセスを使用したリスクの管理および Microsoft Entra デバイス登録を使用したオンプレミスの条件付きアクセスの設定に関する記事を参照してください。

重要

デバイスは、ユーザーと同じフォレスト内にある必要があります。デバイスは単一のフォレストに書き戻される必要があるため、この機能では現在、複数のユーザーフォレストでのデプロイはサポートされていません。

オンプレミスの Active Directory フォレストに追加できるのは、1 つのデバイス登録構成オブジェクトのみです。この機能は、オンプレミスの Active Directory が複数の Microsoft Entra ディレクトリに同期されるトポロジとの互換性はありません。

パート 1: Microsoft Entra Connect をインストールする

カスタムまたは簡単設定を使用して Microsoft Entra Connect をインストールします。すべてのユーザーとグループの同期に成功してから、デバイスの書き戻しを有効にすることをお勧めします。

パート 2: Microsoft Entra Connect でデバイスライトバックを有効にする

インストールウィザードをもう一度実行します。 [追加のタスク] ページで [デバイスオプションの構成] を選び、 [次へ] をクリックします。

Note

新しい [デバイスオプションの構成] は、バージョン 1.1.819.0 以降でのみ使うことができます。
デバイスオプションページで、 [デバイスライトバックの構成] を選びます。 [デバイスライトバックの無効化] オプションは、デバイスライトバックを有効にするまで使用できません。 [次へ] をクリックして、ウィザードの次のページに移動します。
[書き戻し] ページでは、指定したドメインが既定の [デバイスライトバックフォレスト] として表示されます。
[デバイスコンテナー] ページでは、使用可能な 2 つのオプションのどちらかを使って、Active Directory を準備できます。

a. エンタープライズ管理者の資格情報を提供する: デバイスをライトバックする必要があるフォレストのエンタープライズ管理者の資格情報を提供すると、Microsoft Entra Connect はデバイスライトバックの構成中にフォレストを自動的に準備します。

b. PowerShell スクリプトをダウンロードする: Microsoft Entra Connect は、デバイスライトバック用に Active Directory を準備できる PowerShell スクリプトを自動生成します。 Microsoft Entra Connect にエンタープライズ管理者の資格情報を提供できない場合、PowerShell スクリプトをダウンロードすることをお勧めします。ダウンロードした PowerShell スクリプト CreateDeviceContainer.ps1 を、デバイスがライトバックされるフォレストのエンタープライズ管理者に提供します。

Active Directory フォレストを準備するため、次の操作が実行されます。
- CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] にコンテナーとオブジェクトがまだない場合は、新たに作成および構成されます。
- CN=RegisteredDevices,[domain-dn] にコンテナーとオブジェクトがまだない場合は、新たに作成および構成されます。このコンテナーにデバイスオブジェクトが作成されます。
- Active Directory でデバイスを管理するために、必要なアクセス許可を Microsoft Entra コネクタアカントに設定します。
- Microsoft Entra Connect が複数のフォレストにインストールされている場合であっても、1 つのフォレストで実行するだけで済みます。

デバイスが Active Directory に同期されていることを確認する

デバイスの書き戻しは正常に動作するようになっています。デバイスオブジェクトを AD に書き戻すには、最大 3 時間かかる可能性があります。デバイスが正しく同期されていることを確認するには、同期規則が完了した後で次のようにします。

Active Directory 管理センターを起動します。
フェデレーションされているドメイン内の RegisteredDevices を展開します。
現在登録されているデバイスが一覧表示されます。

条件付きアクセスを有効にする

このシナリオを有効にする詳細な手順については、Microsoft Entra デバイス登録を使用したオンプレミスの条件付きアクセスの設定に関する記事をご覧ください。

トラブルシューティング

書き戻しのチェックボックスがオフのままです。

前述の手順を実行してもデバイスライトバックのチェックボックスがオンにならない場合は、次の手順を実行し、ボックスがオンになる前にインストールウィザードで検証が実行されるようにします。

まず次の手順を実行します。

デバイスが存在するフォレストには、デバイスオブジェクトと関連属性が存在するように、Windows 2012 R2 レベルにアップグレードされたフォレストスキーマが必要です。
インストールウィザードが既に実行中の場合、変更は検出されません。この場合は、インストールウィザードを完了してから、再実行してください。
初期化スクリプトで指定したアカウントが、Active Directory Connector に使用されている正しいユーザーであることを確認します。確認する手順は次のとおりです。
- [スタート] メニューから [同期サービス] を開きます。
- [コネクタ] タブを開きます。
- 種類が Active Directory Domain Services のコネクタを探して選択します。
- [アクション] の [プロパティ] を選択します。
- [Active Directory フォレストに接続] を選択します。この画面で指定されているドメインとユーザー名と、スクリプトに指定したアカウントが一致することを確認します。

Active Directory の構成を確認します。

つまり、configuration 名前付けコンテキストの (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) の下に Device Registration Service があることを確認します。

Troubleshoot, DeviceRegistrationService in configuration namespace