![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(25.6, 16%, 12%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
606 件の質問
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(304, 43%, 39%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
チャブーンです。
この件ですが、前提知識が必要だと思いますので、記載しますね。質問者さんは、以下の「フェデレーションドメイン」相当の動作を行っている、と理解しています。
https://qiita.com/Shinya-Yamaguchi/items/d3dac2f091b42ec7336a
上記の場合、コンピューター(デバイス認証)をAD FSでやるのか、Entra IDでやるのかで、コンピューターアカウントの同期の必要性が変わります。従来だとAD FSだとムリに同期させない、がデフォルトだったのだと思います。
しかし昨今のEntra ID Connectだとひとまず「コンピューターオブジェクトの同期」はしてください、という運用になっているようです。(少なくても資料ではそう書いてあります)
この文脈だと、ローカルのデバイス上でデバイス認証用の証明書発行がされれば(内容は同期されるので)ダウンレベル認証として、Entra IDでのデバイス認証が動作する、ということなのではないでしょうか?AD FSがダウンしている場合、カスタムルールがあろうがなかろうが認証は失敗しますので。
ちなみにデバイス認証用の証明書発行はクライアントの「タスクスケジューラー」に登録されており、条件を満たすと発動します。どんな条件で動作するのか?については、以下に資料があるようですので、確認いただくとよいでしょう。
https://jpazureid.github.io/blog/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/