ハイブリッド Azure AD 参加の構成

  • [アーティクル]

Azure AD に自分のデバイスを取り込んで、クラウドとオンプレミスのリソースでのシングル サインオン (SSO) を実現することで、ユーザーの生産性を最大化できます。 同時に、条件付きアクセスを使用して、リソースへのアクセスを保護できます。

前提条件

  • Azure AD Connect バージョン 1.1.819.0 以降。
    • Azure AD Connect の同期構成から既定のデバイス属性を除外しないでください。 Azure AD と同期される既定のデバイスの属性について詳しくは、Azure AD Connect によって同期される属性に関するセクションを参照してください。
    • Hybrid Azure AD Join を使用したいデバイスのコンピューター オブジェクトが、特定の組織単位(OU)に属している場合は、Azure AD Connect で同期する正しい OU を構成します。 Azure AD Connect を使用してコンピューター オブジェクトを同期する方法の詳細については、「組織単位ベースのフィルター処理」を参照してください。
  • Azure AD テナントのグローバル管理者の資格情報。
  • オンプレミスのActive Directory Domain Services のフォレストごとのエンタープライズ管理者の資格情報。
  • (フェデレーションドメインの場合) 少なくとも Active Directory フェデレーションサービス (AD FS) がインストールされた Windows Server 2012 R2 以上。
  • ユーザーはデバイスを Azure AD に登録できます。 この設定の詳細情報については、デバイス設定の構成に関する記事の「デバイス設定の構成」の見出しの下にあります。

ネットワーク接続の要件

Hybrid Azure AD Join では、デバイスが組織のネットワーク内から次の Microsoft リソースにアクセスできる必要があります。

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (シームレス SSO を使用しているか、使用する予定の場合)
  • 組織のセキュリティ トークン サービス (STS) (フェデレーション ドメインの場合)

警告

データ損失防止や Azure AD テナントの制限などのシナリオで SSL トラフィックを傍受するプロキシ サーバーを組織で使用している場合は、https://device.login.microsoftonline.com へのトラフィックが TLS の中断と検査から除外されていることを確認してください。 この URL を除外しないと、クライアント証明書の認証に干渉し、デバイス登録とデバイスベースの条件付きアクセスに問題が発生する可能性があります。

組織がアウトバウンド プロキシ経由でのインターネットへのアクセスを必要とする場合は、Windows 10 以降のコンピューターを Azure AD にデバイス登録できるように、Web プロキシ自動発見 (WPAD) を使用することができます。 WPAD の構成と管理の問題に対処するには、「自動検出のトラブルシューティング」を参照してください。

WPAD を使用しない場合は、Windows 10 1709 で始まるグループ ポリシー オブジェクト (GPO) を使用して、コンピューターに WinHTTP プロキシ設定を構成できます。 詳細については、「GPO によってデプロイされる WinHTTP プロキシ設定」を参照してください。

注意

WinHTTP 設定を使用して自分のコンピューター上でプロキシ設定を構成すると、構成されたプロキシに接続できないコンピューターは、インターネットに接続できなくなります。

組織が認証されたアウトバウンド プロキシ経由でのインターネットへのアクセスを必要とする場合、お使いの Windows 10 以降のコンピューターがアウトバウンド プロキシに対して正常に認証されることを確認してください。 Windows 10 以降のコンピューターではマシン コンテキストを使用してデバイス登録が実行されるため、マシン コンテキストを使用してアウトバウンド プロキシ認証を構成します。 構成要件については、送信プロキシ プロバイダーに確認してください。

デバイス 登録接続のテスト スクリプトを使用して、デバイスがシステムアカウントで必要な Microsoft リソースにアクセスできることを確認します。

マネージド ドメイン

ほとんどの組織は、Hybrid Azure AD Join をマネージド ドメインに実装すると考えています。 管理対象ドメインでは、シームレスなシングル サインオンによるパスワード ハッシュ同期 (phs)またはパススルー認証 (pta)が使用されます。 マネージド ドメインのシナリオでは、フェデレーションサーバーを構成する必要はありません。

管理対象ドメインに対して Azure AD Connect を使用してHybrid Azure AD Join を構成します。

  1. Azure AD Connect を起動し、 [構成] を選択します。

  2. [追加のタスク] で、 [デバイス オプションの構成] を選択し、 [次へ] を選択します。

  3. [概要][次へ] を選択します。

  4. [Azure AD に接続] で、Azure AD テナントのグローバル管理者の資格情報を入力します。

  5. [デバイス オプション] で、 [Hybrid Azure AD Join の構成] を選択し、 [次へ] を選択します。

  6. [デバイスのオペレーティング システム] で、Active Directory 環境内のデバイスで使用されているオペレーティング システムを選択し、 [次へ] を選択します。

  7. [SCP の構成] で、Azure AD Connect で SCP を構成するフォレストごとに次の手順を実行し、 [次へ] を選択します。

    1. フォレストを選択します。
    2. 認証サービスを選択します。
    3. [追加] を選択して、エンタープライズ管理者の資格情報を入力します。

    Azure AD Connect SCP 構成のマネージド ドメイン

  8. [構成の準備完了] で、 [構成] を選択します。

  9. [構成が完了しました] で、 [終了] を選択します。

フェデレーション ドメイン

フェデレーション環境には、以下の要件をサポートする ID プロバイダーが必要です。 Active Directory フェデレーション サービス (AD FS) を使用しているフェデレーション環境がある場合は、以下の要件は既にサポートされています。

  • WIAORMULTIAUTHN 要求: この要求は、Windows ダウンレベル デバイスに対してHybrid Azure AD Join を行うために必要です。
  • WS-Trust プロトコル: このプロトコルは、Windows の現在のハイブリッド Azure AD 参加デバイスを Azure AD で認証するために必要です。 AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransportadfs/services/trust/13/windowstransport はどちらも、イントラネットに接続するエンドポイントとしてのみ有効にする必要があります。Web アプリケーション プロキシを介してエクストラネットに接続するエンドポイントとしては公開しないでください。 WS-Trust WIndows エンドポイントを無効にする方法の詳細については、プロキシの WS-Trust Windows エンドポイントを無効にする方法に関するセクションを参照してください。 どのエンドポイントが有効になっているかは、AD FS 管理コンソールの [サービス][エンドポイント] で確認できます。

フェデレーション環境に対して Azure AD Connect を使用してHybrid Azure AD Join を構成する。

  1. Azure AD Connect を起動し、 [構成] を選択します。

  2. [追加のタスク] ページで、 [デバイス オプションの構成] を選択し、 [次へ] を選択します。

  3. [概要] ページで、 [次へ] を選択します。

  4. [Azure AD に接続] ページで、Azure AD テナントのグローバル管理者の資格情報を入力し、[次へ] を選択します。

  5. [デバイス オプション] ページで、 [Hybrid Azure AD Join の構成] を選択し、 [次へ] を選択します。

  6. [SCP] ページで、次の手順を実行し、 [次へ] を選択します。

    1. [フォレスト] を選択します。
    2. [認証サービス] を選択します。 組織が Windows 10 以降のクライアントのみを使用していて、ユーザーがコンピューターまたはデバイスの同期を構成済みか組織でシームレス SSO が使用されている場合を除き、[AD FS サーバー] を選択する必要があります。
    3. [追加] を選択して、エンタープライズ管理者の資格情報を入力します。

    Azure AD Connect SCP 構成のフェデレーション ドメイン

  7. [デバイスのオペレーティング システム] ページで、対象の Active Directory 環境内のデバイスで使用されているオペレーティング システムを選択し、 [次へ] を選択します。

  8. [フェデレーション構成] ページで、ご自身の AD FS 管理者の資格情報を入力し、 [次へ] を選択します。

  9. [構成の準備完了] ページで、 [構成] を選択します。

  10. [構成が完了しました] ページで、 [終了] を選択します。

フェデレーションに関する注意事項

Windows 10 1803 以降では、AD FS を使用したフェデレーション環境の即時的なHybrid Azure AD Join が失敗した場合、Azure AD Connect を使用して Azure AD のコンピューター オブジェクトを同期させ、Hybrid Azure AD Join のデバイス登録を完了させます。

その他のシナリオ

組織は、完全なロールアウトを行う前に、環境のサブセットに対してHybrid Azure AD Join をテストできます。 対象となるデプロイを完了する手順については、「Hybrid Azure AD Join の対象となるデプロイ」を参照してください。 組織には、このパイロットグループ内のさまざまなロールやプロファイルのユーザーのサンプルを含める必要があります。 対象を絞ってロールアウトすると、組織全体に対してを有効にする前に、計画で対処されていない可能性のある問題を特定するのに役立ちます。

Azure AD Connect を使用して AD FS を構成できない組織もあります。 要求を手動で構成する手順については、「ハイブリッド Azure Active Directory 参加を手動で構成する」を参照してください。

米国政府機関向けクラウド (GCCHigh と DoD を含む)

Azure Governmentの組織の場合、Hybrid Azure AD Join には、デバイスが組織のネットワーク内から次の Microsoft リソースにアクセスできる必要があります。

  • https://enterpriseregistration.windows.nethttps://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (シームレス SSO を使用しているか、使用する予定の場合)

ハイブリッド Azure AD 参加済みデバイスのトラブルシューティング

ドメイン参加済み Windows デバイスの Hybrid Azure AD Join を完了するときに問題が発生した場合は、以下を参照してください。

次の手順