Microsoft Entra ハイブリッド参加の実装を計画する

オンプレミスの Active Directory Domain Services (AD DS) 環境があるときに、AD DS ドメイン参加済みコンピューターを Microsoft Entra ID に参加させたい場合は、Microsoft Entra ハイブリッド参加を実行することで、このタスクを実行できます。

ヒント

オンプレミスのリソースへの SSO アクセスは、Microsoft Entra に参加しているデバイスでも使用できます。 詳しくは、「Microsoft Entra 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ」をご覧ください。

前提条件

この記事では、Microsoft Entra ID でのデバイス ID 管理の概要を理解していることを前提とします。

Note

Windows 10 以降の Microsoft Entra ハイブリッド参加に最低限必要なドメイン コントローラー バージョンは、Windows Server 2008 R2 です。

Microsoft Entra ハイブリッド参加済みデバイスには、ドメイン コントローラーへのネットワーク接続が定期的に必要になります。 この接続がない場合、デバイスは使用できなくなります。

ドメイン コントローラーへの通信経路がないと利用できないシナリオには、次のようなものがあります。

• デバイスのパスワードの変更
• ユーザー パスワードの変更 (キャッシュされた資格情報)
• TPM をリセットしたため

実装の計画

ハイブリッド Microsoft Entra の実装を計画するには、以下を理解する必要があります。

• サポート対象デバイスを確認する
• 知っておくべきことを確認する
• Microsoft Entra ハイブリッド参加の対象を絞ったデプロイを確認する
• ID インフラストラクチャに基づいてシナリオを選択する
• Microsoft Entra ハイブリッド参加でのオンプレミス AD UPN サポートを確認する

サポート対象デバイスを確認する

Microsoft Entra ハイブリッド参加は、幅広い Windows デバイスをサポートしています。 旧バージョンの Windows を実行しているデバイスの構成の場合、他の手順が必要なので、サポートされるデバイスは 2 つのカテゴリにグループ化されます。

最新の Windows デバイス

• Windows 11
• Windows 10
• Windows Server 2016
  • 注:Azure 国内クラウドのお客様にはバージョン 1803 が必要です
• Windows Server 2019

Windows デスクトップ オペレーティング システムを実行しているデバイスの場合、サポートされているバージョンについてはこの記事「Windows 10 リリース情報」を参照してください。 ベスト プラクティスとして、Microsoft は Windows の最新バージョンにアップグレードすることをお勧めします。

ダウンレベルの Windows デバイス

• Windows Server 2012 R2
• Windows Server 2012

最初の計画手順として、環境を確認し、ダウンレベルの Windows デバイスをサポートする必要があるかどうかを判断する必要があります。

知っておくべきことを確認する

サポートされていないシナリオ

• Microsoft Entra ハイブリッド参加は、ドメイン コントローラー (DC) ロールを実行している Windows Server ではサポートされていません。
• 資格情報のローミングや、ユーザー プロファイルまたは必須のプロファイルのローミングを使用している場合、Microsoft Entra ハイブリッド参加はダウンレベルの Windows デバイスではサポートされていません。
• Server Core OS では、どの種類のデバイス登録もサポートされていません。
• ユーザー状態移行ツール (USMT) では、デバイス登録は処理されません。

OS イメージングの考慮事項

• システム準備ツール (Sysprep) を利用していて、インストールに Windows 10 1809 より前のイメージを使用している場合は、そのイメージが、既に Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に登録されているデバイスからのものではないことを確認します。

• 仮想マシン (VM) のスナップショットを利用して追加の VM を作成する場合は、そのスナップショットが、既に Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に登録されている VM からのものではないことを確認します。

• 再起動時にディスクへの変更をクリアする統合書き込みフィルターおよび類似のテクノロジーを使用している場合、デバイスで Microsoft Entra ハイブリッド参加が使用された後にそれらを適用する必要があります。 Microsoft Entra ハイブリッド参加を完了する前にこのようなテクノロジーを有効にすると、再起動のたびにデバイスが切断されることになります。

Microsoft Entra 登録済み状態のデバイスの処理

Windows 10 以降のドメイン参加済みデバイスがテナントに対して Microsoft Entra 登録済みである場合、Microsoft Entra ハイブリッド参加済みデバイスかつ Microsoft Entra 登録済みデバイスという二重状態になる可能性があります。 このシナリオに自動的に対処するには、(KB4489894 が適用された) Windows 10 1803 以降にアップグレードすることをお勧めします。 1803 より前のリリースでは、Microsoft Entra ハイブリッド参加を有効にする前に、Microsoft Entra の登録済み状態を手動で削除する必要があります。 1803 以降のリリースでは、この二重状態を回避するために次の変更が行われています。

• ユーザーの既存の Microsoft Entra 登録済み状態が自動的に削除されるのは、"デバイスが Microsoft Entra ハイブリッド参加済みになり、同じユーザーがログインした後" です。 たとえば、ユーザー A がデバイスに Microsoft Entra 登録済み状態を保持していた場合、ユーザー A がデバイスにログインしたときにのみ、ユーザー A の二重状態はクリーンアップされます。 同じデバイスに複数のユーザーがいる場合、それらのユーザーがログインすると、二重状態は個別にクリーンアップされます。 管理者が Microsoft Entra の登録済み状態を削除すると、Windows 10 では、自動登録を介して Microsoft Entra 登録の一部として登録が行われた場合に、Intune またはその他の MDM からもデバイスの登録が解除されます。
• デバイス上のすべてのローカル アカウントの Microsoft Entra 登録済みの状態は、この変更による影響を受けません。 ドメイン アカウントにのみ適用されます。 ローカル アカウントのユーザーはドメイン ユーザーではないため、ユーザーのログオン後でも、Microsoft Entra 登録済みの状態は自動的には削除されません。
• 次のレジストリ値を HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin に追加すると、ドメイン参加済みデバイスが Microsoft Entra 登録済みになることを防ぐことができます:"BlockAADWorkplaceJoin"=dword:00000001。
• Windows 10 1803 では、Windows Hello for Business が構成されている場合、二重状態のクリーンアップ後に Windows Hello for Business を再構成する必要があります。 この問題は KB4512509 で解決されています。

Note

Windows 10 と Windows 11 では Microsoft Entra の登録済み状態がローカルで自動的に削除されますが、Microsoft Entra 内のデバイス オブジェクトは、Intune で管理されている場合はすぐには削除されません。 Microsoft Entra 登録済みの状態の削除を確認するには、dsregcmd /status を実行し、それに基づいて、デバイスが Microsoft Entra に登録されていないものと見なすことができます。

単一フォレストと複数 Microsoft Entra テナントでの Microsoft Entra ハイブリッド参加

それぞれのテナントにデバイスを Microsoft Entra ハイブリッド参加として登録するには、組織は AD ではなくデバイスでサービス コネクション ポイント (SCP) を構成する必要があります。 これを実現する方法の詳細については、「Microsoft Entra ハイブリッド参加の対象を絞ったデプロイ」を参照してください。 特定の Microsoft Entra 機能が、単一フォレストと複数の Microsoft Entra テナントの構成では動作しないことを理解しておくことは、組織にとって重要です。

• デバイス ライトバックは機能しません。 この構成は、ADFS を使用してフェデレーションされているオンプレミス アプリ用のデバイス ベースの条件付きアクセスに影響します。 この構成は、ハイブリッド証明書信頼モデルを使用しているときの Windows Hello for Business のデプロイにも影響します。
• グループ ライトバックは機能しません。 この構成は、Exchange がインストールされているフォレストへの Office 365 グループのライトバックに影響します。
• シームレス SSO は機能しません。 この構成は、組織がクロス OS またはブラウザー プラットフォームで使用している可能性がある SSO シナリオに影響します (たとえば、Firefox を使用している iOS/Linux、Safari、Windows 10 拡張機能のない Chrome など)。
• マネージド環境での Windows ダウンレベル デバイスに対する Microsoft Entra ハイブリッド参加は機能しません。 たとえば、マネージド環境の Windows Server 2012 R2 に対する Microsoft Entra ハイブリッド参加にはシームレス SSO が必要ですが、シームレス SSO は機能しないため、そのようなセットアップでは Microsoft Entra ハイブリッド参加は機能しません。
• オンプレミスの Microsoft Entra パスワード保護は機能しません。 この構成は、Microsoft Entra ID に格納されている同じグローバルとカスタムの禁止パスワード リストを使用するオンプレミスの Active Directory Domain Services (AD DS) ドメイン コントローラーに対して、パスワード変更とパスワード リセット イベントを実行する機能に影響します。

その他の考慮事項

• 環境で仮想デスクトップ インフラストラクチャ (VDI) を使用する場合は、「デバイス ID とデスクトップ仮想化」を参照してください。

• Microsoft Entra ハイブリッド参加は、FIPS に準拠している TPM 2.0 でサポートされており、TPM 1.2 ではサポートされていません。 FIPS に準拠している TPM 1.2 がデバイスにある場合は、Microsoft Entra ハイブリッド参加を進める前に、それらを無効にする必要があります。 TPM の FIPS モードを無効にするためのツールは、TPM の製造元に依存するため、Microsoft では提供していません。 サポートが必要な場合は、お使いのハードウェアの OEM にお問い合わせください。

• Windows 10 1903 リリース以降、TPM 1.2 は Microsoft Entra ハイブリッド参加では使用されず、それらの TPM を含むデバイスは TPM を持っていないものと見なされます。

• UPN の変更は、Windows 10 2004 Update 以降でのみサポートされます。 Windows 10 2004 アップデート以前のデバイスの場合は、ユーザーのデバイスで SSO や条件付きアクセスに関する問題が発生する可能性があります。 この問題を解決するには、Microsoft Entra ID からデバイスの参加を解除 (昇格された特権を使用して "dsregcmd /leave" を実行) し、再度参加する (自動的に行われる) 必要があります。 なお、この問題は Windows Hello for Business でサインインしているユーザーには影響しません。

対象を絞った Microsoft Entra ハイブリッド参加を確認する

Microsoft Entraハイブリッド参加を組織全体に有効にする前に、対象を絞ったロールアウトを実行することができます。 実行方法については、記事「Microsoft Entra ハイブリッド参加の対象を絞ったデプロイ」を参照してください。

警告

組織には、パイロット グループ内のさまざまなロールやプロファイルからのユーザーのサンプルを含める必要があります。 対象を絞ってロールアウトすると、組織全体に対して有効にする前に、計画で対処されていない可能性のある問題を特定するのに役立ちます。

ID インフラストラクチャに基づいてシナリオを選択する

Microsoft Entra ハイブリッド参加は、UPN がルーティング可能かどうかに応じて、マネージド環境とフェデレーション環境の両方で動作します。 サポートされるシナリオについては、ページ下部の表を参照してください。

マネージド環境

マネージド環境は、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) のシームレス シングル サインオンを使用してデプロイできます。

これらのシナリオでは、フェデレーション サーバーを認証用に構成する必要はありません。

Note

段階的なロールアウトを使用するクラウド認証は、Windows 10 1903 Update 以降でのみサポートされます。

フェデレーション環境

フェデレーション環境には、以下の要件をサポートする ID プロバイダーが必要です。 Active Directory フェデレーション サービス (AD FS) を使用しているフェデレーション環境がある場合は、以下の要件は既にサポートされています。

• WIAORMULTIAUTHN 要求: この要求は、Windows ダウンレベル デバイスに対して Microsoft Entra ハイブリッド参加を行うために必要です。
• WS-Trust プロトコル: このプロトコルは、Windows の現在の Microsoft Entra ハイブリッド参加済みデバイスを Microsoft Entra ID で認証するために必要です。 AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。/adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransport と adfs/services/trust/13/windowstransport はどちらも、イントラネットに接続するエンドポイントとしてのみ有効にする必要があります。Web アプリケーション プロキシを介してエクストラネットに接続するエンドポイントとして公開することはできません。 WS-Trust WIndows エンドポイントを無効にする方法の詳細については、プロキシの WS-Trust Windows エンドポイントを無効にする方法に関するセクションを参照してください。 どのエンドポイントが有効になっているかは、AD FS 管理コンソールの [サービス]>[エンドポイント] で確認できます。

バージョン 1.1.819.0 以降で、Microsoft Entra Connect には、次の Microsoft Entra ハイブリッド参加を構成するためのウィザードが用意されています。 このウィザードを使用すると、構成プロセスを大幅に簡略化できます。 Microsoft Entra Connect の必要なバージョンをインストールすることができない場合は、デバイス登録を手動で構成する方法に関するページを参照してください。 contoso.com が確認済みのカスタム ドメインとして登録されている場合、同期されたオンプレミス AD DS UPN サフィックスが test.contoso.com のようなサブドメイン内にある場合でも、ユーザーは PRT を取得できます。

Microsoft Entra ハイブリッド参加でのオンプレミス AD ユーザー UPN サポートを確認する

ときには、オンプレミスの AD ユーザー UPN が Microsoft Entra UPN と異なる場合があります。 このような場合、Windows 10 以降の Microsoft Entra ハイブリッド参加では、認証方法、ドメインの種類、および Windows のバージョンに基づいて、オンプレミスの AD UPN のサポートが提供されます。 環境内に存在できるオンプレミスの AD UPN は 2 種類あります。

• ルーティング可能なユーザーの UPN: ルーティング可能な UPN には、ドメイン レジストラーに登録されている有効な確認済みドメインがあります。 たとえば、contoso.com が Microsoft Entra ID 内のプライマリ ドメインの場合、contoso.org は、Contoso 社によって所有され、Microsoft Entra ID で確認されているオンプレミスの AD 内のプライマリ ドメインです。
• ルーティング不可能なユーザーの UPN: ルーティングできない UPN には、確認済みドメインがないため、組織のプライベート ネットワーク内でのみ適用されます。 たとえば、contoso.com が Microsoft Entra ID 内のプライマリ ドメインの場合、contoso.local はオンプレミスの AD 内のプライマリ ドメインですが、インターネットで確認可能なドメインではないため、Contoso 社のネットワーク内でのみ使用されます。

Note

このセクションの情報は、オンプレミスのユーザー UPN に対してのみ適用されます。 オンプレミスのコンピューター ドメイン サフィックスには適用されません (例: computer1.contoso.local)。

次の表は、Windows 10 の Microsoft Entra ハイブリッド参加における、これらのオンプレミスの AD UPN のサポートに関する詳細を示しています

オンプレミスの AD UPN の種類	ドメインの種類	Windows 10 のバージョン	説明
ルーティング可能	フェデレーション	1703 リリースから	一般公開
ルーティング不可能	フェデレーション	1803 リリースから	一般公開
ルーティング可能	マネージド	1803 リリースから	一般提供されていますが、Windows ロック画面上の Microsoft Entra SSPR は、オンプレミスの UPN が Microsoft Entra UPN と異なっている環境ではサポートされていません。 オンプレミスの UPN は、Microsoft Entra ID の onPremisesUserPrincipalName 属性に同期する必要があります
ルーティング不可能	マネージド	サポートされていません

次のステップ

• Microsoft Entra ハイブリッド参加の構成