方法:Azure AD Join の実装を計画する

  • [アーティクル]

ユーザーの生産性とセキュリティを維持しながら、オンプレミスの Active Directory に参加しなくても、デバイスを Azure Active Directory (Azure AD) に直接参加させることができます。 Azure AD 参加は、大規模デプロイとスコープ付きのデプロイの両方についてエンタープライズ対応になっています。 オンプレミスのリソースへの シングル サインオン (SSO) アクセスは、Azure AD に参加しているデバイスでも使用できます。 詳しくは、「How SSO to on-premises resources works on Azure AD joined devices」(Azure AD 参加済みデバイス上でのオンプレミスのリソースへの SSO の動作) をご覧ください。

この記事では、Azure AD 参加の実装を計画するために必要な情報を提供します。

前提条件

この記事では、 Azure Active Directory でのデバイス管理の概要 を理解していることを前提とします。

実装の計画

Azure AD 参加の実装を計画するには、以下を理解する必要があります。

  • シナリオをレビューする
  • ID インフラストラクチャをレビューする
  • デバイス管理を評価する
  • アプリケーションとリソースに関する考慮事項を把握する
  • プロビジョニングのオプションを把握する
  • 企業の状態ローミングを構成する
  • 条件付きアクセスを構成する

シナリオをレビューする

Azure AD Join により、Windows を使用するクラウド中心のモデルに移行できます。 デバイス管理の最新化とデバイス関連の IT コストの削減を計画している場合は、Azure AD 参加により、これらの目標を実現するための優れた基盤が提供されます。

目標が次の条件と一致する場合は、Azure AD 参加を検討してください。

  • ユーザー用の生産性スイートとして Microsoft 365 を採用している。
  • クラウド デバイス管理ソリューションを使用してデバイスを管理したい。
  • 地理的に分散したユーザーのデバイス プロビジョニングを簡略化したい。
  • アプリケーション インフラストラクチャの最新化を計画している。

ID インフラストラクチャをレビューする

Azure AD 参加が、マネージド環境とフェデレーション環境の両方で動作している。 ほとんどの組織は、マネージド ドメインを使用してデプロイすると思います。 マネージド ドメインのシナリオでは、Active Directory フェデレーション サービス (AD FS) などのフェデレーション サーバーを構成および管理する必要はありません。

マネージド環境

マネージド環境は、パスワード ハッシュ同期またはパススルー認証のいずれかとシームレス シングル サインオンを使用してデプロイできます。

フェデレーション環境

フェデレーション環境には、WS-Trust と Ws-Fed の両方のプロトコルをサポートしている ID プロバイダーが必要です。

  • WS-Fed: このプロトコルは、デバイスを Azure AD に参加させるために必要です。
  • WS-Trust: このプロトコルは、Azure AD 参加済みデバイスにサインインするために必要です。

AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

ID プロバイダーによってこれらのプロトコルがサポートされていない場合、Azure AD 参加はネイティブには機能しません。

注意

現時点で、Azure AD 参加はプライマリ認証方法として外部認証プロバイダーで構成されている AD FS 2019 では機能しません。 Azure AD 参加ではプライマリ メソッドの既定値として、パスワード認証が設定されます。これにより、このシナリオで認証エラーが発生します

ユーザー構成

ユーザーを以下の場所に作成する場合:

  • オンプレミスの Active Directory: Azure AD Connect を使用して Azure AD と同期する必要があります。
  • Azure AD、追加のセットアップは必要ありません。

Azure AD の UPN とは異なるオンプレミスのユーザー プリンシパル名 (UPN) は、Azure AD 参加済みデバイスでサポートされていません。 お客様のユーザーがオンプレミスの UPN を使用している場合は、Azure AD 内でプライマリ UPN を使用するように切り替えることを計画してください。

UPN の変更は、Windows 10 2004 Update 以降でのみサポートされます。 この更新プログラムがインストールされたデバイスのユーザーには、UPN の変更後も問題は発生しません。 Windows 10 2004 アップデート以前のデバイスの場合は、ユーザーのデバイスで SSO や条件付きアクセスに関する問題が発生する可能性があります。 この問題を解決するために、ユーザーは新しい UPN を使用して [他のユーザー] タイルから Windows にサインインする必要があります。

デバイス管理を評価する

サポートされているデバイス

Azure AD 参加:

  • Windows 10 と Windows 11 のデバイスをサポートします。
  • 以前のバージョンの Windows や他のオペレーティング システムではサポートされていません。 Windows 7 または 8.1 のデバイスを使用している場合は、Windows 10 以上にアップグレードして Azure AD 参加をデプロイする必要があります。
  • FIPS 準拠の TPM 2.0 でサポートされていますが、TPM 1.2 ではサポートされていません。 FIPS 準拠の TPM 1.2 がデバイスにある場合は、Azure AD 参加を進める前に、それらを無効にする必要があります。 TPM の FIPS モードを無効にするためのツールは、TPM の製造元に依存するため、Microsoft では提供していません。 サポートが必要な場合は、お使いのハードウェアの OEM にお問い合わせください。

推奨事項: 更新された機能を利用するために、常に最新の Windows リリースを使用してください。

管理プラットフォーム

Azure AD 参加済みデバイスのデバイス管理は、Intune、MDM CSP などのモバイル デバイス管理(MDM) プラットフォームに基づいています。 Windows 10 以降には、互換性のあるすべての MDM ソリューションで動作する MDM エージェントが組み込まれています。

注意

グループ ポリシーは、オンプレミスの Active Directory に接続されていないため、Azure AD 参加済みデバイスではサポートされません。 Azure AD 参加済みデバイスの管理は MDM からのみ可能

Azure AD 参加済みデバイスの管理には 2 つのアプローチがあります。

  • MDM のみ - デバイスは、Intune などの MDM プロバイダーによってのみ管理されます。 すべてのポリシーは、MDM の登録プロセスの一環として配信されます。 Azure AD Premium または EMS のお客様の場合、MDM の登録は、Azure AD 参加の一部である自動化された手順です。
  • 共同管理 - デバイスは、MDM プロバイダーと Microsoft Configuration Manager によって管理されます。 このアプローチでは、Microsoft Configuration Manager エージェントは、MDM によって管理されるデバイスにインストールされて、特定の側面を管理します。

グループ ポリシーを使用している場合は、Microsoft Intune のグループ ポリシー分析を使用して、GPO と MDM ポリシーのパリティを評価します。

サポート対象のポリシーとサポート対象外のポリシーを確認して、グループ ポリシーの代わりに MDM ソリューションを使用できるかどうかを判断します。 サポート対象外のポリシーの場合は、以下を検討してください。

  • Azure AD 参加済デバイスまたはユーザーにサポート対象外のポリシーが必要か?
  • サポート対象外のポリシーはクラウド主導のデプロイに適用できるか?

MDM ソリューションを Azure AD アプリ ギャラリーから入手できない場合は、「Azure Active Directory integration with MDM」(Azure Active Directory と MDM の統合) に概説されているプロセスに従って追加できます。

共同管理では、Microsoft Configuration Manager を使用してデバイスの特定の側面を管理しながら、MDM プラットフォームを通じてポリシーを配信できます。 Microsoft Intune は、Microsoft Configuration Manager との共同管理を可能にします。 Windows 10 以降のデバイスの共同管理については、「共同管理とは」を参照してください。 Intune 以外の MDM 製品を使用する場合は、適用可能な共同管理のシナリオについて MDM のプロバイダーにお問い合わせください。

推奨事項: Azure AD 参加済みデバイスについては MDM のみの管理をご検討ください。

アプリケーションとリソースに関する考慮事項を把握する

ユーザー エクスペリエンスとアクセスの制御を向上させるために、アプリケーションをオンプレミスからクラウドに移行することをお勧めします。 Azure AD 参加済みデバイスでは、オンプレミスとクラウドの両方のアプリケーションにシームレスにアクセスできます。 詳しくは、「How SSO to on-premises resources works on Azure AD joined devices」(Azure AD 参加済みデバイス上でのオンプレミスのリソースへの SSO の動作) をご覧ください。

以下のセクションでは、さまざまな種類のアプリケーションとリソースに関する考慮事項を示します。

クラウドベース アプリケーション

Azure AD アプリ ギャラリーにアプリケーションが追加されている場合、ユーザーは Azure AD 参加済みデバイスから SSO を取得できます。 それ以上の構成は必要ありません。 ユーザーは Microsoft Edge と Chrome の両方のブラウザーで SSO を取得できます。 Chrome の場合は、Windows 10 アカウントの拡張機能をデプロイする必要があります。

すべての Win32 アプリケーションが次のようになります。

  • トークン要求を Web Account Manager (WAM) に依存する場合は、SSO も Azure AD 参加済みデバイス上で取得します。
  • WAM に依存しない場合は、ユーザーに認証を求めるプロンプトが表示されることがあります。

オンプレミスの Web アプリケーション

アプリがカスタム ビルドであるかオンプレミスでホストされている場合は、以下の目的でそれらのアプリをブラウザーの信頼済みサイトに追加する必要があります。

  • Windows 統合認証を動作させる
  • プロンプトなしの SSO エクスペリエンスをユーザーに提供する。

AD FS を使用する場合は、「AD FS によるシングル サインオンを確認および管理する」をご覧ください。

推奨事項: エクスペリエンスを向上させるために、クラウド (たとえば、Azure) にホストし、Azure AD と統合することをご検討ください。

従来のプロトコルに依存するオンプレミスのアプリケーション

デバイスがドメイン コントローラーへのアクセス権を持つ場合、ユーザーは Azure AD 参加済みデバイスから SSO を取得します。

注意

Azure AD 参加済みデバイスでは、オンプレミスとクラウドの両方のアプリケーションにシームレスにアクセスできます。 詳しくは、「How SSO to on-premises resources works on Azure AD joined devices」(Azure AD 参加済みデバイス上でのオンプレミスのリソースへの SSO の動作) をご覧ください。

推奨事項:Azure AD アプリのプロキシをデプロイして、これらのアプリケーションへのアクセスをセキュリティで保護できるようにします。

オンプレミスのネットワーク共有

デバイスにオンプレミスのドメイン コントローラーへのアクセス権がある場合、ユーザーには Azure AD 参加済みデバイスからの SSO があります。 この動作のしくみはこちらを参照してください

プリンター

オンプレミスの依存関係を持たないクラウドベースの印刷管理ソリューションを使用するには、ユニバーサル印刷をデプロイすることをお勧めします。

マシン認証に依存するオンプレミスのアプリケーション

Azure AD 参加済みデバイスでは、マシンの認証に依存するオンプレミスのアプリケーションはサポートされていません。

推奨事項: これらのアプリケーションを廃止し、最新の代替アプリケーションに移行することをご検討ください。

リモート デスクトップ サービス

Azure AD 参加済みデバイスにリモート デスクトップ接続を行うには、ホスト マシンが Azure AD 参加済みまたはハイブリッド Azure AD 参加済みである必要があります。 参加していないデバイスまたは Windows 以外のデバイスからのリモート デスクトップはサポートされていません。 詳しくは、Azure AD に参加しているリモート PC への接続に関する記事をご覧ください

Windows 10 2004 更新プログラム以降、ユーザーは Azure AD 登録済み Windows 10 以降のデバイスから別の Azure AD Join を使用したデバイスへのリモート デスクトップも使用できるようになります。

RADIUS と Wi-Fi 認証

現在、Azure AD に参加しているデバイスでは Wi-Fi アクセス ポイントに接続するための RADIUS 認証がサポートされていません。これは、RADIUS がオンプレミスのコンピューター オブジェクトの存在に依存するためです。 代わりに、Intune 経由でプッシュされる証明書またはユーザー資格情報を使用して Wi-Fi に対する認証を行います。

プロビジョニングのオプションを把握する

: Azure AD 参加済みデバイスは、システム準備ツール (Sysprep) または同様のイメージング ツールを使用してデプロイすることはできません

次のアプローチを使用して Azure AD 参加済みデバイスをプロビジョニングできます。

  • OOBE/設定内でのセルフサービス - セルフサービス モードでは、ユーザーは Windows Out of Box Experience (OOBE) の実行中に、または Windows 設定から、Azure AD 参加のプロセスを実行します。 詳しくは、「職場のデバイスを組織のネットワークに参加させる」をご覧ください。
  • Windows Autopilot - Windows Autopilot では、OOBE のエクスペリエンスを円滑にするためにデバイスの事前構成を行うことができます。 詳しくは、「Windows Autopilot の概要」をご覧ください。
  • 一括登録 - 一括登録により、一括プロビジョニング ツールを使用してデバイスを構成することで、管理者主導の Azure AD 参加が可能になります。 詳しくは、「Windows デバイスの一括登録」をご覧ください。

この 3 つのアプローチの比較を次に示します

要素 セルフサービス セットアップ Windows Autopilot 一括登録
セットアップにユーザーの操作が必要 はい はい いいえ
IT 部門の作業が必要 いいえ はい はい
適用可能なフロー OOBE & 設定 OOBE のみ OOBE のみ
プライマリ ユーザーに対するローカル管理者権限 既定では、はい 構成可能 いいえ
デバイス OEM のサポートが必要 いいえ はい いいえ
サポートされているバージョン 1511+ 1709+ 1703+

前の表を確認し、どのアプローチを採用するかについて次の考慮事項を検討して、1 つまたは複数のデプロイ アプローチを選択します。

  • ユーザーは技術的な知識に精通していてセットアップを自分で実行できるか?
    • これらのユーザーにはセルフサービスが最適です。 ユーザー エクスペリエンスを強化するために Windows Autopilot をご検討ください。
  • ユーザーはリモートと企業プレミス内のどちらにいるか?
    • 手間をかけずにセットアップするために、リモート ユーザーにはセルフサービスまたは Autopilot が最適です。
  • ユーザー主導の構成と管理者が管理する構成のどちらを優先するか?
    • 管理者主導のデプロイで、ユーザーに渡す前にデバイスをセットアップするには、一括登録が適しています。
  • 1 社か 2 社の OEM からデバイスを購入するか、それとも広範な OEM のデバイスを使用するか?
    • Autopilot もサポートしている限られた OEM から購入する場合は、Autopilot とのより緊密な統合を活用できます。

デバイス設定を構成する

Azure portal では、組織内の Azure AD 参加済みデバイスのデプロイを制御することができます。 関連設定を構成するには、 [Azure Active Directory] ページで Devices > Device settings を選択します。 詳細情報

ユーザーはデバイスを Azure AD に参加させることができます

デプロイのスコープと、どのユーザーが Azure AD 参加済みデバイスをセットアップするかに基づいて、このオプションを [すべて] または [選択済み] に設定します。

ユーザーはデバイスを Azure AD に参加させることができます

Azure AD 参加済みデバイス上の追加のローカル管理者

[選択済み] を選択し、すべての Azure AD 参加済みデバイス上のローカル管理者のグループに追加するユーザーを選択します。

Azure AD 参加済みデバイス上の追加のローカル管理者

デバイスを参加させるには多要素認証 (MFA) が必要

デバイスを Azure AD に参加させるときにユーザーに MFA の実行を要求する場合は、[はい] を選択します。

デバイスを参加させるには多要素認証が必要

推奨事項: デバイスを参加させるために MFA を適用するには、条件付きアクセスでユーザー操作「デバイスの登録または参加」を使用します。

モビリティ設定の構成

モビリティ設定を構成するには、最初に MDM プロバイダーを追加することが必要な場合があります。

MDM プロバイダーを追加するには:

  1. [Azure Active Directory] ページの [管理]セクションで、Mobility (MDM and MAM) をクリックします。

  2. [アプリケーションの追加] をクリックします。

  3. 一覧から、使用する MDM プロバイダーを選択します。

    Azure Active Directory の [アプリケーションを追加する] ページのスクリーンショット。いくつかの MDM プロバイダーが一覧表示されます。

MDM プロバイダーを選択して関連設定を構成します。

MDM ユーザー スコープ

デプロイのスコープに基づいて [一部] または [すべて] を選択します。

MDM ユーザー スコープ

スコープに基づいて、次のいずれかのようになります。

  • ユーザーが MDM のスコープ内にいる:Azure AD Premium のサブスクリプションがある場合は、Azure AD 参加と共に MDM の登録が自動化されます。 スコープ内のすべてのユーザーには、MDM に対する適切なライセンスが必要です。 このシナリオで MDM の登録に失敗した場合は、Azure AD 参加もロールバックされます。
  • ユーザーが MDM のスコープ内にいない: ユーザーが MDM のスコープ内にいない場合、Azure AD 参加は MDM 登録なしで完了します。 このスコープでは、アンマネージド デバイスが生じます。

MDM URL

MDM の構成に関連する URL は 3 つあります。

  • MDM 使用条件 URL
  • MDM 探索 URL
  • MDM 準拠 URL

Azure Active Directory MDM 構成セクションの一部に、MDM の使用条件、検出、コンプライアンスのための URL フィールドがあるスクリーンショット。

各 URL には、定義済みの既定値があります。 これらのフィールドが空の場合、詳細については MDM プロバイダーに問い合わせてください。

MAM 設定

MAM は、Azure AD 参加に適用されません。

企業の状態ローミングを構成する

Azure AD に対して状態ローミングを有効にして、ユーザーがデバイス間で設定を同期できるようにするには、「Azure Active Directory の Enterprise State Roaming を有効にする」をご覧ください。

推奨事項:この設定は、ハイブリッド Azure AD 参加済みデバイスに対しても有効にしてください。

条件付きアクセスを構成する

Azure AD 参加済みデバイスに対して MDM プロバイダーが構成されている場合、プロバイダーは、デバイスが管理下に入るとすぐにデバイスに準拠のフラグを設定します。

準拠デバイス

この実装を使用して、条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求することができます。

次のステップ