Azure AD 参加済みデバイス
すべての組織で、サイズや業界に関係なく、Azure AD 参加済みデバイスをデプロイすることができます。 Azure AD 参加は、ハイブリッド環境でも動作し、クラウドおよびオンプレミス アプリとリソースと両方にアクセスできます。
| Azure AD Join | 説明 |
|---|---|
| 定義 | デバイスにサインインするための組織アカウントを必要とする Azure AD にのみ参加します |
| 主な対象 | クラウド専用およびハイブリッド組織の両方に適しています。 |
| 組織内のすべてのユーザーに適用できます | |
| デバイスの所有権 | Organization |
| オペレーティング システム | すべての Windows 11 および Windows 10 デバイス (Home エディションを除く) |
| Azure で実行されている Windows Server 2019 以降の仮想マシン (Server Core はサポートされません) | |
| Provisioning | セルフサービス: Windows の Out of Box Experience (OOBE) または設定 |
| 一括登録 | |
| Windows Autopilot | |
| デバイスのサインイン オプション | 以下を使用する組織アカウント: |
| Password | |
| Windows Hello for Business | |
| FIDO2.0 セキュリティ キー (プレビュー) | |
| デバイス管理 | モバイル デバイス管理 (例:Microsoft Intune) |
| Configuration Manager のスタンドアロンまたは Microsoft Intune との共同管理 | |
| 主な機能 | クラウドとオンプレミスの両方のリソースへの SSO |
| MDM 登録と MDM コンプライアンス評価を使用する条件付きアクセス | |
| ロック画面でのセルフサービス パスワード リセット および Windows Hello PIN のリセット |
Azure AD 参加済みデバイスには、組織の Azure AD アカウントを使用してサインインします。 リソースへのアクセスを、Azure AD アカウントと、デバイスに適用される条件付きアクセスポリシーに基づいて制御できます。
管理者は、Microsoft Intune などの Mobile Device Management (MDM) ツールを使用するか、Microsoft Configuration Manager を使用する共同管理シナリオで、Azure AD 登録済みデバイスをセキュリティで保護し、さらに制御することができます。 これらのツールは、次のような組織に必要な構成を適用するための手段を提供します。
- ストレージを暗号化する必要がある
- パスワードの複雑さ
- ソフトウェア インストール
- ソフトウェア更新プログラム
管理者は、Configuration Manager を利用して Azure AD 参加済みデバイスで組織のアプリケーションを利用できるようにし、ビジネス向けおよび教育機関向けの Microsoft Store からのアプリを管理することができます。
Azure AD 参加は、Out of Box Experience (OOBE)、一括登録、または Windows Autopilot などのセルフサービス オプションを使用して実行できます。
Azure AD 参加済みデバイスでは、オンプレミス リソースが組織のネットワーク上にある場合、引き続きそれらへのシングル サインオン アクセスを維持できます。 Azure AD 参加済みであるデバイスは引き続き、ファイル、印刷、およびその他のアプリケーションなどのオンプレミス サーバーに対して認証することができます。
シナリオ
Azure AD 参加を、次のようなさまざまなシナリオで使用できます。
- Azure AD および Intune などの MDM を使用してクラウド ベースのインフラストラクチャに移行しようと考えています。
- たとえばタブレットや電話などのモバイル デバイスを管理する必要があるが、オンプレミスのドメインへの参加を使用できない。
- ユーザーが主に必要としているのは、Microsoft 365 や Azure AD に統合されているその他の SaaS アプリにアクセスすることである。
- ユーザーのグループを Active Directory ではなく Azure AD で管理したい。 このシナリオは、季節従業員、請負業者、学生などに適用できます。
- 在宅で働く作業員やリモートの支店の作業員に制限のあるオンプレミスのインフラに対する参加機能を提供したい。
すべての Windows 11 および Windows 10 デバイス (Home エディションを除く) で Azure AD 参加を構成できます。
Azure AD 参加済みデバイスの目的は、次の操作を単純化することです。
- 職場所有のデバイスの Windows でのデプロイ
- 任意の Windows デバイスからの組織のアプリとリソースへのアクセス
- 作業が所有するデバイスの、クラウド ベースの管理
- ユーザーが、Azure AD または同期された Active Directory の職場あるいは学校アカウントを使用して、デバイスにサインインする。
Azure AD Join は、次の方法のいずれかを使用して展開できます: