Azure Active Directory デバイスのデプロイを計画する

この記事は、デバイスを Azure AD と統合する方法を評価し、実装計画を選択するのに役立ちます。また、サポートされているデバイス管理ツールへの主要なリンクを提供します。

ユーザーのデバイスの状況は常に拡大しています。 組織は、デスクトップ、ラップトップ、携帯電話、タブレットなどのデバイスを提供する場合があります。 ユーザーが多くの自分のデバイスを使用したり、さまざまな場所から情報にアクセスしたりする場合があります。 このような環境で管理者としての職務は、すべてのデバイスで組織のリソースを安全な状態に保つことです。

Azure Active Directory (Azure AD) を使用すると、組織では、デバイス ID 管理を使用してこれらの目標を達成することができます。 デバイスを Azure AD に取り込んで、Azure portal の中央の場所から制御できるようになりました。 このプロセスにより統合されたエクスペリエンスと強化されたセキュリティが得られ、新しいデバイスの構成に必要な時間が短縮されます。

デバイスを Azure AD に統合する方法は複数あり、オペレーティング システムや要件に基づいて、個別または組み合わせて動作させることができます。

学習する

始める前に、デバイス ID 管理の概要について理解しておいてください。

メリット

デバイスに Azure AD ID を指定することの主なメリットは次のとおりです。

  • 生産性の向上 – ユーザーは、オンプレミスとクラウドのリソースへの シームレスなサインオン (SSO) を実行して、どこにいても生産性を高めることができます。

  • セキュリティの強化 – デバイスまたはユーザーの ID に基づいて、リソースに条件付きアクセス ポリシーを適用できます。 デバイスを Azure AD に参加させることは、パスワードレス戦略を使用してセキュリティを強化するための前提条件です。

  • ユーザー エクスペリエンスの向上 – ユーザーが個人のデバイスと会社のデバイスの両方から組織のクラウドベースのリソースに簡単にアクセスできます。 管理者は、すべての Windows デバイスで統一されたエクスペリエンスを実現するために Enterprise State Roaming を有効にすることができます。

  • デプロイと管理の簡素化 - Windows Autopilot一括プロビジョニング、または セルフサービス: Out of Box Experience (OOBE) を使用してデバイスを Azure AD に取り込むプロセスを簡素化できます。 Microsoft Intune などのモバイル デバイス管理 (MDM) ツールとそれらの ID を使用して、Azure portal でデバイスを管理します。

デプロイ プロジェクトを計画する

お客様の環境でこのデプロイの戦略を決定するときは、お客様の組織のニーズを考慮してください。

適切な関係者を関わらせる

テクノロジ プロジェクトが失敗した場合、通常その原因は、影響、結果、責任に関する想定が一致しないことです。 これらの落とし穴を回避するには、適切な利害関係者が担当していることを確認し、プロジェクトにおけるその利害関係者の役割がよく理解されていることを確認します。

このプランでは、次の利害関係者をリストに追加します。

Role 説明
デバイス管理者 計画が組織のデバイス要件を満たしていることを検証できるデバイス チームの代表。
ネットワーク管理者 ネットワーク要件を満たしていることを確認できるネットワーク チームの代表。
デバイス管理チーム デバイスのインベントリを管理するチーム。
OS 固有の管理チーム 特定の OS バージョンをサポートおよび管理するチーム。 たとえば、Mac または iOS に重点を置いたチームがある場合があります。

連絡を計画する

コミュニケーションは、新しいサービスの成功に必要不可欠です。 ユーザー エクスペリエンスがどのように変わるのか、いつ変わるのか、問題が発生したときにサポートを受ける方法について、ユーザーに事前に連絡します。

パイロットを計画する

統合方法の初期構成は、テスト環境で行うか、小さいグループのテスト用デバイスで行うことをお勧めします。 「パイロットのベスト プラクティス」を参照してください。

ハイブリッド Azure AD 参加を対象とするデプロイを、組織全体で同時に有効にする前に実行することもできます。

警告

組織には、パイロット グループ内のさまざまなロールやプロファイルからのユーザーのサンプルを含める必要があります。 対象を絞ってロールアウトすると、組織全体に対してを有効にする前に、計画で対処されていない可能性のある問題を特定するのに役立ちます。

統合方法を選択する

組織では、1 つの Azure AD テナントで複数のデバイス統合方法を使用できます。 目標は、Azure AD でデバイスを安全に管理するために適した方法を選択することです。 所有権、デバイスの種類、主要な対象ユーザー、組織のインフラストラクチャなど、この決定を行う多くのパラメーターがあります。

使用する統合方法を決定する際には、次の情報を参考にしてください。

デバイス統合のデシジョン ツリー

組織が所有するデバイスのオプションを決定するには、このツリーを使用します。

注意

この図では、個人のデバイスや持ち込みのデバイス (BYOD) のシナリオは示していません。 この場合は、常に Azure AD の登録になります。

Decision tree

比較表

iOS および Android デバイスは Azure AD 登録のみが可能です。 次の表に、Windows クライアント デバイスに関する大まかな考慮事項を示します。 これを概要として使用し、その後さまざまな統合方法について詳しく説明します。

考慮事項 Azure AD 登録済み Azure AD 参加済み ハイブリッド Azure AD 参加済み
クライアント オペレーティング システム
Windows 11 または Windows 10 デバイス Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows のダウンレベルのデバイス (Windows 8.1 または Windows 7) Checkmark for these values.
サインイン オプション
エンドユーザーのローカル資格情報 Checkmark for these values.
Password Checkmark for these values. Checkmark for these values. Checkmark for these values.
デバイスの PIN Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello for Business Checkmark for these values. Checkmark for these values.
FIDO 2.0 セキュリティ キー Checkmark for these values. Checkmark for these values.
Microsoft Authenticator アプリ (パスワードレス) Checkmark for these values. Checkmark for these values. Checkmark for these values.
主な機能
クラウド リソースへの SSO Checkmark for these values. Checkmark for these values. Checkmark for these values.
オンプレミスのリソースへの SSO Checkmark for these values. Checkmark for these values.
条件付きアクセス
(デバイスは準拠としてマーク済みであることが必要)
(MDM による管理が必要)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
条件付きアクセス
(ハイブリッド Azure AD 参加済みデバイスが必要)
Checkmark for these values.
Windows のログイン画面からのセルフサービス パスワード リセット Checkmark for these values. Checkmark for these values.
Windows Hello の PIN のリセット Checkmark for these values. Checkmark for these values.

Azure AD の登録

登録されたデバイスは、多くの場合 Microsoft Intune で管理されます。 デバイスは、オペレーティング システムに応じて、いくつかの方法で Intune に登録されます。

Azure AD 登録済みデバイスでは、持ち込みのデバイス (BYOD) と会社所有のデバイスによるクラウド リソースへの SSO がサポートされています。 リソースへのアクセスは、デバイスとユーザーに適用された Azure AD の条件付きアクセス ポリシーに基づいています。

デバイスの登録

登録されたデバイスは、多くの場合 Microsoft Intune で管理されます。 デバイスは、オペレーティング システムに応じて、いくつかの方法で Intune に登録されます。

BYOD と企業所有のモバイル デバイスは、ポータル サイト アプリをインストールするユーザーによって登録されます。

組織に最適なオプションがデバイスの登録である場合は、次のリソースを参照してください。

Azure AD 参加

Azure AD Join により、Windows を使用するクラウド中心のモデルに移行できます。 デバイス管理の最新化とデバイス関連の IT コストの削減を計画している場合は、これにより優れた基盤が提供されます。 Azure AD 参加は、Windows 10 以降のデバイスのみで機能します。 新しいデバイスの最初の選択肢として検討してください。

オンプレミスのリソースが組織のネットワーク上にある場合、Azure AD 参加済みデバイスではオンプレミスのリソースへの SSO を実行でき、ファイル、印刷、その他のアプリケーションなどのオンプレミスのサービスに対して認証を行うことができます。

このオプションが組織に最適な場合は、次のリソースを参照してください。

Azure AD 参加済みデバイスのプロビジョニング

デバイスを Azure AD 参加にプロビジョニングするには、次の方法があります。

Windows 10 Professional または Windows 10 Enterprise のいずれかがデバイスにインストールされている場合、既定のエクスペリエンスは、会社所有のデバイスのセットアップ プロセスになります。

慎重にこれらのアプローチを比較した後に、デプロイ手順を選択してください。

Azure AD 参加は別の状態になっているデバイスにとって最適なソリューションであると判断する場合があります。 次の表は、デバイスの状態を変更する方法を示しています。

現在のデバイスの状態 目的のデバイスの状態 操作方法
オンプレミスのドメイン参加済み Azure AD 参加済み Azure AD に参加する前に、オンプレミスのドメインからデバイスを切断します。
ハイブリッド Azure AD 参加済み Azure AD 参加済み Azure AD に参加する前に、オンプレミスのドメインと Azure AD からデバイスを切断する。
Azure AD 登録済み Azure AD 参加済み Azure AD に参加する前にデバイスの登録を解除する。

ハイブリッド Azure AD 参加

オンプレミスの Active Directory 環境があるときに、既存のドメイン参加済みコンピューターを Azure AD に参加させたい場合は、Hybrid Azure AD Join を使用してこのタスクを実現できます。 これは、Windows の最新のデバイスと Windows のダウンレベルのデバイスの両方を含む、さまざまな種類の Windows デバイスをサポートしています。

ほとんどの組織には、ドメイン参加済みデバイスが既にあり、グループ ポリシーまたは System Center Configuration Manager (SCCM) を使用して管理されています。 そのような場合は、Hybrid Azure AD 参加を、既存の投資を活用しながら利点の利用を開始するように構成することをお勧めします。

Hybrid Azure AD Join が組織に最適なオプションの場合は、次のリソースを参照してください。

デバイスへの Hybrid Azure AD Join のプロビジョニング

ID インフラストラクチャを確認します。 Azure AD Connect には、Hybrid Azure AD 参加を構成するためのウィザードが用意されています。

必要なバージョンの Azure AD Connect をインストールすることができない場合は、ハイブリッド Azure AD Join を手動で構成する方法に関するページを参照してください。

Note

オンプレミスのドメインに参加している Windows 10 以降のデバイスは、既定で Hybrid Azure AD 参加済みになるように、Azure AD への自動参加を試行します。 これは、適切な環境を設定した場合にのみ成功します。

ハイブリッド Azure AD 参加は別の状態になっているデバイスにとって最適なソリューションであると判断する場合があります。 次の表は、デバイスの状態を変更する方法を示しています。

現在のデバイスの状態 目的のデバイスの状態 操作方法
オンプレミスのドメイン参加済み ハイブリッド Azure AD 参加済み Azure AD 接続または AD FS を使用して Azure に参加する。
オンプレミスのワークグループ参加済みまたは新規 ハイブリッド Azure AD 参加済み Windows Autopilot でサポートされています。 それ以外の場合、デバイスはハイブリッド Azure AD 参加の前にオンプレミスのドメイン参加済みである必要があります。
Azure AD 参加済み ハイブリッド Azure AD 参加済み Azure AD から切断します。これにより、オンプレミスのワークグループまたは新しい状態になります。
Azure AD 登録済み ハイブリッド Azure AD 参加済み Windows のバージョンによって異なります。 これらの考慮事項を参照してください

デバイスを管理する

デバイスを Azure AD に登録または参加させたら、デバイス ID を管理するための中央の場所として Azure portal を使用します。 Azure Active Directory デバイスのページでは、次のことができます。

古いデバイスを管理することで環境をクリーンな状態に保って、現在のデバイスの管理に関するリソースに集中するようにしてください。

サポートされているデバイス管理ツール

管理者は、他のデバイス管理ツールを使用して、登録済みと参加済みのデバイスをセキュリティで保護し、さらに制御することができます。 これらのツールでは、ストレージの暗号化、パスワードの複雑さ、ソフトウェアのインストール、およびソフトウェアの更新を必要とするなど、構成を適用する手段が提供されます。

統合デバイスでサポートされているプラットフォームとサポートされていないプラットフォームを確認します。

デバイス管理ツール Azure AD 登録済み Azure AD 参加済み ハイブリッド Azure AD 参加済み
モバイル デバイス管理 (MDM)
例:Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Microsoft Intune および Microsoft Endpoint Configuration Manager との共同管理
(Windows 10 以降)
Checkmark for these values. Checkmark for these values.
グループ ポリシー
(Windows のみ)
Checkmark for these values.

登録済みの iOS または Android デバイスのデバイス管理の有無にかかわらず、Microsoft Intune のモバイル アプリケーション管理 (MAM) を検討することをお勧めします。

また、管理者は、組織内の Windows オペレーティング システムをホストする仮想デスクトップ インフラストラクチャ (VDI) プラットフォームをデプロイして、管理を効率化し、リソースの統合と一元化によってコストを削減することもできます。

次のステップ