Hybrid Azure AD Join の対象指定デプロイ
対象指定デプロイを使用することで、Hybrid Azure AD Join を使用するデバイスの計画と前提条件を検証してから、組織全体でそれを有効にすることができます。 この記事では、Hybrid Azure AD Join の対象指定デプロイを実行する方法について説明します。
Windows の現在のデバイスにおける Hybrid Azure AD Join の対象指定デプロイ
Windows 10 を実行するデバイスの場合、Hybrid Join の実行がサポートされる最小バージョンは Windows 10 (バージョン 1607) です。 ベスト プラクティスとして、Windows 10 または 11 の最新バージョンにアップグレードしてください。 以前のオペレーティング システムをサポートする必要がある場合は、「ダウンレベル デバイスのサポート」のセクションを参照してください。
Windows の現在のデバイスで Hybrid Azure AD Join の対象指定デプロイを実行するには、以下を行う必要があります。
- サービス接続ポイント (SCP) エントリを Active Directory (AD) からクリアします (存在する場合)。
- グループ ポリシー オブジェクト (GPO) を使用して、ドメイン参加済みのコンピューターで SCP のクライアント側レジストリ設定を構成します。
- Active Directory フェデレーション サービス (AD FS) を使用している場合、GPO を使用して、AD FS サーバーで SCP のクライアント側レジストリ設定を構成する必要もあります。
- また、デバイスの同期を有効にするために、Azure AD Connect で同期オプションをカスタマイズする必要がある場合もあります。
AD から SCP をクリアする
AD で SCP オブジェクトを変更するには、Active Directory サービス インターフェイス エディター (ADSI Edit) を使用します。
- ADSI Edit デスクトップ アプリケーションは、エンタープライズ管理者として、管理ワークステーションまたはドメイン コントローラーから起動します。
- ドメインの構成名前付けコンテキストに接続します。
- CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration を参照します。
- リーフ オブジェクト CN=62a0ff2e-97b9-4513-943f-0d221bd30080 を右クリックし、[プロパティ] を選択します。
- [属性エディター] ウィンドウからキーワードを選択し、[編集] を選択します。
- azureADId と azureADName の値を選択し (一度に 1 つずつ)、[削除] を選択します。
- [ADSI エディター] を閉じます。
SCP のクライアント側レジストリ設定を構成する
次の例を使用して、デバイスのレジストリ内の SCP エントリを構成するレジストリ設定をデプロイするためのグループ ポリシー オブジェクト (GPO) を作成します。
- グループ ポリシー管理コンソールを開き、ドメインに新しいグループ ポリシー オブジェクトを作成します。
- 新しく作成した GPO に名前 (ClientSideSCP など) を付けます。
- GPO を編集して、次のパスを参照します。[コンピューターの構成]>[基本設定]>[Windows 設定]>[レジストリ]。
- [レジストリ] を右クリックして、[新規]>[レジストリ項目] を選択します。
- [全般] タブで、次を構成します。
- アクション: 更新。
- ハイブ: HKEY_LOCAL_MACHINE。
- キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 値の名前: TenantId。
- 値の種類: REG_SZ。
- 値のデータ: Azure AD インスタンスの GUID またはテナント ID (この値は、Azure portal>[Azure Active Directory]>[プロパティ]>[テナント ID] にあります)。
- [OK] を選択します。
- [全般] タブで、次を構成します。
- [レジストリ] を右クリックして、[新規]>[レジストリ項目] を選択します。
- [全般] タブで、次を構成します。
- アクション: 更新。
- ハイブ: HKEY_LOCAL_MACHINE。
- キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 値の名前: TenantName。
- 値の種類: REG_SZ。
- 値のデータ: AD FS などのフェデレーション環境を使用している場合は、確認済みのドメイン名。 マネージド環境を使用している場合は、確認済みのドメイン名または onmicrosoft.com のドメイン名 (たとえば、
contoso.onmicrosoft.com)。
- [OK] を選択します。
- [全般] タブで、次を構成します。
- 新しく作成された GPO のエディターを閉じます。
- 制御されたロールアウト群に属している、ドメイン参加済みのコンピューターを含む適切な OU に、新しく作成した GPO をリンクします。
AD FS 設定を構成する
Azure Active DirectoryがAD FS を使用している場合は、まず、上記の手順を使用して、GPO を AD FS サーバーにリンクすることで、クライアント側の SCP を構成する必要があります。 SCP オブジェクトで、デバイス オブジェクトの権限のソースを定義します。 オンプレミスまたは Azure AD を指定できます。 クライアント側 SCP が AD FS 用に構成されている場合、デバイス オブジェクトのソースは Azure AD として確立されます。
注意
AD FS サーバー上でクライアント側の SCP を構成できなかった場合、デバイス ID のソースはオンプレミスと見なされます。 Active Directory フェデレーション サービス (AD FS) は、ADFS デバイスの登録の属性 「MaximumInactiveDays」 で定義された期間が経過した後、オンプレミスのディレクトリからデバイス オブジェクトの削除を開始します。 Active Directory フェデレーション サービス (AD FS)デバイスの登録オブジェクトは、Get-AdfsDeviceRegistration コマンドレットを使用して見つけることができます。
ダウンレベル デバイスのサポート
ダウンレベルの Windows デバイスを登録するには、組織で Microsoft ダウンロード センターから入手可能な Microsoft Workplace Join for non-Windows 10 computers をインストールする必要があります。
Microsoft Configuration Manager などのソフトウェア ディストリビューション システムを使用して、このパッケージをデプロイできます。 パッケージは、quiet パラメーターを使用する、標準のサイレント インストール オプションをサポートしています。 Configuration Manager の Current Branch には、完了した登録を追跡する機能など、以前のバージョンにはない利点が追加されています。
インストーラーによって、ユーザー コンテキストで実行されるシステムにスケジュール済みタスクが作成されます。 このタスクは、ユーザーが Windows にサインインするとトリガーされます。 Azure AD によって認証が行われた後、ユーザーの資格情報を使ってサイレントにデバイスが Azure AD に登録されます。
デバイスの登録を制御するには、選択したダウンレベルの Windows デバイスのグループに Windows インストーラー パッケージをデプロイする必要があります。
注意
AD で SCP が構成されていない場合、グループ ポリシー オブジェクト (GPO) を使用してドメインに参加しているコンピューターで、「SCP のクライアント側レジストリ設定を構成する」で説明されている同じアプローチに従います。
デバイスが保留中の状態になる理由
オンプレミスデバイスの Azure AD Connect 同期で Hybrid Azure AD Join タスクを構成すると、タスクはデバイス オブジェクトを Azure AD に同期し、デバイスがデバイスの登録を完了する前に、デバイスの登録済み状態を一時的に「保留中」に設定します。 この保留中状態は、デバイスを登録する前に、Azure AD ディレクトリにデバイスを追加する必要があるためです。 デバイス登録プロセスの詳細については、 「動作のしくみ:デバイス登録」を参照してください。
検証後
すべてが期待どおりに動作していることを確認したら、Windows の現在およびダウンレベルのデバイスの残りの部分を Azure AD に自動的に登録できます。 Azure AD Connect を使用して SCP を構成することで、Hybrid Azure AD Join を自動化します。