Microsoft Entra ハイブリッド参加の対象のデプロイ

対象指定デプロイを使用することで、ハイブリッド Microsoft Entra 参加済みデバイスの計画と前提条件を検証してから、組織全体でそれを有効にすることができます。 この記事では、Microsoft Entra ハイブリッド参加の対象指定デプロイを実行する方法について説明します。

注意事項

Active Directory の値を変更する場合は注意が必要です。 確立された環境に変更を加えた場合、意図しない結果になる可能性があります。

Windows デバイスでの Microsoft Entra ハイブリッドジョインの選択的な展開

Windows 10 を実行するデバイスの場合、Hybrid Join の実行がサポートされる最小バージョンは Windows 10 (バージョン 1607) です。 ベスト プラクティスとして、Windows 10 または 11 の最新バージョンにアップグレードしてください。

Windows デバイスで Microsoft Entra ハイブリッド参加のターゲット展開を行うには、次の操作を行う必要があります。

1. Windows Server Active Directory からサービス接続ポイント (SCP) エントリが存在する場合はクリアします。
2. グループ ポリシー オブジェクト (GPO) を使用して、ドメインに参加しているコンピューターで SCP のクライアント側レジストリ設定を構成します。
3. Active Directory フェデレーション サービス (AD FS) を使用している場合は、GPO を 使用して AD FS サーバー上の SCP のクライアント側レジストリ設定も構成する必要があります。
4. デバイスの同期を有効にするには、Microsoft Entra Connect の 同期オプションをカスタマイズ する必要がある場合があります。

ヒント

SCP は、特定の状況でデバイスのレジストリでローカルに構成される場合があります。 デバイスがその構成を使用するレジストリ内の値を見つけた場合、それ以外の場合は SCP のディレクトリに対してクエリを実行し、ハイブリッド結合を試みます。

Microsoft Windows Server Active Directory から SCP をクリアする

Active Directory サービス インターフェイス エディター (ADSI 編集) を使用して、Microsoft Windows Server Active Directory の SCP オブジェクトを変更します。

1. ADSI Edit デスクトップ アプリケーションは、エンタープライズ管理者として、管理ワークステーションまたはドメイン コントローラーから起動します。
2. ドメインの構成名前付けコンテキストに接続します。
3. CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration を参照します。
4. リーフ オブジェクト CN=62a0ff2e-97b9-4513-943f-0d221bd30080 を右クリックし、[プロパティ] を選択します。
   1. [属性エディター] ウィンドウからキーワードを選択し、[編集] を選択します。
   2. azureADId と azureADName の値を選択し (一度に 1 つずつ)、[削除] を選択します。
5. [ADSI エディター] を閉じます。

SCP のクライアント側レジストリ設定を構成する

次の例を使用して、デバイスのレジストリ内の SCP エントリを構成するレジストリ設定をデプロイするためのグループ ポリシー オブジェクト (GPO) を作成します。

1. グループ ポリシー管理コンソールを開き、ドメインに新しいグループ ポリシー オブジェクトを作成します。
   1. 新しく作成した GPO に名前 (ClientSideSCP など) を付けます。
2. GPO を編集して、次のパスを参照します。[コンピューターの構成]>[基本設定]>[Windows 設定]>[レジストリ]。
3. [レジストリ] を右クリックして、[新規]>[レジストリ項目] を選択します。
   1. [全般] タブで、次を構成します。
      1. アクション: 更新。
      2. ハイブ: HKEY_LOCAL_MACHINE。
      3. キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
      4. 値の名前: TenantId。
      5. 値の種類: REG_SZ。
      6. 値データ: Microsoft Entra テナントのグローバル一意識別子 (GUID) または テナント ID です。[Entra ID]>[概要]>[プロパティ]>[テナント ID] で確認できます。
   2. [OK] を選択.
4. [レジストリ] を右クリックして、[新規]>[レジストリ項目] を選択します。
   1. [全般] タブで、次を構成します。
      1. アクション: 更新。
      2. ハイブ: HKEY_LOCAL_MACHINE。
      3. キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
      4. 値の名前: TenantName。
      5. 値の種類: REG_SZ。
      6. 値のデータ: AD FS などのフェデレーション環境を使用している場合は、確認済みのドメイン名。 マネージド環境を使用している場合は、確認済みのドメイン名または onmicrosoft.com のドメイン名 (たとえば、contoso.onmicrosoft.com)。
   2. [OK] を選択.
5. 新しく作成された GPO のエディターを閉じます。
6. 新しく作成した GPO を、制御されたロールアウトの対象となるドメイン参加済みコンピューターを含む適切な組織単位 (OU) にリンクします。

AD FS 設定を構成する

Microsoft Entra ID で AD FS を使用している場合は、まず、上記の手順を使用して、GPO を AD FS サーバーにリンクすることで、クライアント側の SCP を構成する必要があります。 SCP オブジェクトで、デバイス オブジェクトの権限のソースを定義します。 オンプレミスまたは Microsoft Entra ID を指定できます。 クライアント側 SCP が AD FS 用に構成されている場合、デバイス オブジェクトのソースは Microsoft Entra ID として確立されます。

注

AD FS サーバー上でクライアント側の SCP を構成できなかった場合、デバイス ID のソースはオンプレミスと見なされます。 Active Directory フェデレーション サービス (AD FS) は、ADFS デバイスの登録の属性 「MaximumInactiveDays」 で定義された期間が経過した後、オンプレミスのディレクトリからデバイス オブジェクトの削除を開始します。 Active Directory フェデレーション サービス (AD FS)デバイスの登録オブジェクトは、Get-AdfsDeviceRegistration コマンドレットを使用して見つけることができます。

デバイスが保留中の状態になる理由

オンプレミスデバイスの Microsoft Entra Connect 同期で Microsoft Entra ハイブリッド参加タスクを構成すると、タスクはデバイス オブジェクトを Microsoft Entra ID に同期し、デバイスがデバイスの登録を完了する前に、デバイスの登録済み状態を一時的に「保留中」に設定します。 この保留中状態は、デバイスを登録する前に、Microsoft Entra ディレクトリにデバイスを追加する必要があるためです。 デバイス登録プロセスの詳細については、 「動作のしくみ：デバイス登録」を参照してください。

検証完了

すべてが期待どおりに動作することを確認したら、残りの Windows デバイスを Microsoft Entra ID に自動的に登録できます。 Microsoft Entra Connect を使用して SCP を構成して、Microsoft Entra ハイブリッド参加を自動化します。

関連コンテンツ

• Microsoft Entra ハイブリッド参加の実装を計画する
• Microsoft Entra ハイブリッド参加を構成する
• Microsoft Entra ハイブリッド ジョインを手動で構成する