オンプレミスの Active Directory Domain Services (AD DS) 環境があり、AD DS ドメインに参加しているコンピューターを Microsoft Entra ID に参加させる場合は、Microsoft Entra ハイブリッド参加を実行してこのタスクを実行できます。
ヒント
オンプレミスのリソースへのシングル サインオン (SSO) アクセスは、Microsoft Entra に参加しているデバイスでも使用できます。 詳しくは、「Microsoft Entra 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ」をご覧ください。
[前提条件]
この記事では、 Microsoft Entra ID でのデバイス ID 管理の概要について理解していることを前提としています。
注
Windows 10 以降の Microsoft Entra ハイブリッド参加に必要な最小ドメイン コントローラー (DC) バージョンは、Windows Server 2008 R2 です。
Microsoft Entra ハイブリッド参加済みデバイスには、ドメイン コントローラーへの定期的なネットワーク通信経路が必要です。 この接続がない場合、デバイスは使用できなくなります。
ドメイン コントローラーが見えない状態で中断するシナリオを次に示します。
- デバイスのパスワードの変更
- ユーザー パスワードの変更 (キャッシュされた資格情報)
- トラステッド プラットフォーム モジュール (TPM) のリセット
実装の計画
ハイブリッド Microsoft Entra の実装を計画するには、次の点を理解してください。
- サポートされているデバイスを確認する
- 知っておくべきことを確認する
- Microsoft Entra ハイブリッド参加の対象となる展開を確認する
- ID インフラストラクチャに基づいてシナリオを選択する
- Microsoft Entra のハイブリッド参加のために、オンプレミスの Microsoft Windows Server Active Directory のユーザー プリンシパル名 (UPN) がサポートされているか確認する
サポートされているデバイスを確認する
Microsoft Entra ハイブリッド参加は、幅広い Windows デバイスをサポートしています。
- ウィンドウズ11
- Windows 10
- Windows Server 2016
- 手記: Azure National クラウドのお客様にはバージョン 1803 が必要です
- Windows Server 2019
- Windows Server 2022
ベスト プラクティスとして、最新バージョンの Windows にアップグレードすることをお勧めします。
知っておくべきことを確認する
サポートされていないシナリオ
- ドメイン コントローラー (DC) ロールを実行している Windows Server では、Microsoft Entra ハイブリッド参加はサポートされていません。
- Server Core OS では、どの種類のデバイス登録もサポートされていません。
- ユーザー状態移行ツール (USMT) は、デバイスの登録では機能しません。
OS イメージングに関する考慮事項
システム準備ツール (Sysprep) に依存していて、 Windows 10 1809 より前 のイメージをインストールに使用している場合は、Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に既に登録されているデバイスのイメージではないことを確認してください。
仮想マシン (VM) スナップショットに依存して VM をさらに作成する場合は、Microsoft Entra ハイブリッド参加済みとして Microsoft Entra ID に既に登録されている VM からのスナップショットではないことを確認してください。
再起動時にディスクの変更をクリアする 統合書き込みフィルター と同様のテクノロジを使用している場合は、デバイスが Microsoft Entra ハイブリッドに参加した後に適用する必要があります。 Microsoft Entra ハイブリッド結合が完了する前にこのようなテクノロジを有効にすると、毎回の再起動時にデバイスが結合から外れてしまいます。
Microsoft Entra 登録済み状態のデバイスの処理
Windows 10 以降のドメイン参加済みデバイスが Microsoft Entra にテナントに登録されている場合、Microsoft Entra ハイブリッド参加済みデバイスと Microsoft Entra 登録済みデバイスのデュアル状態になる可能性があります。 このシナリオに自動的に対処するには、Windows 10 1803 (KB4489894が適用された状態) 以降にアップグレードすることをお勧めします。 1803 より前のリリースでは、Microsoft Entra ハイブリッド参加を有効にする前に、Microsoft Entra 登録済み状態を手動で削除する必要があります。 1803 以降のリリースでは、このデュアル状態を回避するために次の変更が行われました。
- ユーザーの既存の Microsoft Entra 登録済み状態は、 デバイスが Microsoft Entra ハイブリッドに参加し、同じユーザーがログインした後に自動的に削除されます。 たとえば、ユーザー A がデバイスに Microsoft Entra 登録済み状態を保持していた場合、ユーザー A がデバイスにログインしたときにのみ、ユーザー A の二重状態はクリーンアップされます。 同じデバイスに複数のユーザーが存在する場合、それらのユーザーがサインインすると、デュアル状態が個別にクリーンアップされます。 管理者が Microsoft Entra 登録済み状態を削除すると、登録が自動登録による Microsoft Entra 登録の一部として行われる場合、Windows 10 は Intune またはその他のモバイル デバイス管理 (MDM) からデバイスの登録を解除します。
- デバイス上のローカル アカウントの Microsoft Entra 登録済み状態は、この変更の影響を受けません。 ドメイン アカウントにのみ適用されます。 ローカル アカウントの Microsoft Entra 登録済み状態は、ユーザーがドメイン ユーザーではないので、ユーザーログオン後も自動的に削除されません。
- HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001 にレジストリ値を追加することで、ドメインに参加しているデバイスが Microsoft Entra に登録されないようにすることができます。
- Windows 10 1803 では、Windows Hello for Business が構成されている場合、ユーザーはデュアル状態のクリーンアップ後に Windows Hello for Business を再構成する必要があります。 この問題は、KB4512509で解決されます。
注
Windows 10 と Windows 11 は Microsoft Entra 登録済み状態をローカルで自動的に削除しますが、Intune で管理されている場合、Microsoft Entra ID のデバイス オブジェクトはすぐには削除されません。 dsregcmd /statusを実行して、Microsoft Entra 登録済み状態の削除を検証できます。
単一フォレスト、複数 Microsoft Entra テナントに対する Microsoft Entra ハイブリッド参加
デバイスを Microsoft Entra ハイブリッド参加として各テナントに登録するには、組織は、Microsoft Windows Server Active Directory ではなく、デバイスでサービス接続ポイント (SCP) 構成が行われるようにする必要があります。 このタスクを実行する方法の詳細については、 Microsoft Entra ハイブリッド参加の対象展開に関する記事を参照してください。 組織は、特定の Microsoft Entra 機能が 1 つのフォレスト(複数の Microsoft Entra テナント構成)では機能しないことを理解することが重要です。
- デバイス書き戻しは機能しません。 この構成は、 AD FS を使用してフェデレーションされているオンプレミス アプリのデバイス ベースの条件付きアクセスに影響します。 この構成は、 ハイブリッド証明書信頼モデルを使用する場合の Windows Hello for Business の展開にも影響します。
- グループの書き戻しは機能しない。 この構成は、Exchange がインストールされているフォレストへの Office 365 グループの書き戻しに影響します。
- シームレス SSO は機能しません。 この構成は、Windows 10 拡張機能のない Firefox、Safari、Chrome で iOS や Linux などのブラウザー プラットフォームを使用している組織の SSO シナリオに影響します。
- オンプレミスの Microsoft Entra Password Protection は機能しません。 この構成は、Microsoft Entra ID に格納されているのと同じグローバルおよびカスタム禁止パスワード リストを使用して、オンプレミスの Active Directory Domain Services (AD DS) ドメイン コントローラーに対してパスワード変更とパスワード リセット イベントを実行する機能に影響します。
その他の考慮事項
環境で仮想デスクトップ インフラストラクチャ (VDI) を使用している場合は、「 デバイス ID とデスクトップ仮想化」を参照してください。
Microsoft Entra ハイブリッド参加は、Federal Information Processing Standard (FIPS) 準拠の TPM 2.0 でサポートされており、TPM 1.2 ではサポートされていません。 デバイスに FIPS 準拠の TPM 1.2 がある場合は、Microsoft Entra ハイブリッド参加に進む前に無効にする必要があります。 TPM の FIPS モードを無効にするためのツールは、TPM の製造元に依存するため、Microsoft では提供していません。 サポートが必要な場合は、お使いのハードウェアの OEM にお問い合わせください。
Windows 10 1903 リリース以降、TPM バージョン 1.2 は Microsoft Entra ハイブリッド参加では使用されず、これらの TPM を持つデバイスは TPM を持たないかのように扱われます。
UPN の変更は、Windows 10 2004 Update 以降でのみサポートされます。 Windows 10 2004 更新プログラムより前のデバイスの場合、ユーザーはデバイスで SSO と条件付きアクセスの問題を抱えている可能性があります。 この問題を解決するには、Microsoft Entra ID からデバイスの参加を解除し (管理者特権で "dsregcmd/leave" を実行)、再参加 (自動的に行われます) する必要があります。 ただし、Windows Hello for Business でサインインするユーザーは、この問題に直面しません。
対象となる Microsoft Entra ハイブリッド参加を確認する
組織は、全社的に有効化する前に、Microsoft Entra ハイブリッド参加を計画的に段階的に展開することを検討することをお勧めします。 Microsoft Entra ハイブリッド参加の対象となる展開に関する記事を確認して、それを実現する方法を理解してください。
Warnung
組織には、パイロット グループ内のさまざまなロールやプロファイルからのユーザーのサンプルを含める必要があります。 対象を絞ってロールアウトすると、組織全体に対して有効にする前に、計画で対処されていない可能性のある問題を特定するのに役立ちます。
ID インフラストラクチャに基づいてシナリオを選択する
Microsoft Entra ハイブリッド参加は、UPN がルーティング可能であるかルーティング不可能であるかに応じて、マネージド環境とフェデレーション環境の両方で機能します。 サポートされているシナリオの表については、ページの下部を参照してください。
マネージド環境
マネージド環境は、 パスワード ハッシュ同期 (PHS) または パススルー認証 (PTA) を使用 して シームレス シングル サインオンを使用してデプロイできます。
これらのシナリオでは、認証 (AuthN) 用にフェデレーション サーバーを構成する必要はありません。
注
段階的ロールアウトを使用したクラウド認証 は、Windows 10 1903 更新プログラム以降でのみサポートされます。
フェデレーション環境
フェデレーション環境には、以下の要件をサポートする ID プロバイダーが必要です。 Active Directory フェデレーション サービス (AD FS) を使用しているフェデレーション環境がある場合は、以下の要件は既にサポートされています。
WS-Trust プロトコル: このプロトコルは、Microsoft Entra ID を使用して Microsoft Entra ハイブリッド参加済み Windows デバイスを認証するために必要です。 AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Warnung
adfs/services/trust/2005/windowstransport または adfs/services/trust/13/windowstransport はどちらもイントラネットに接続するエンドポイントとしてのみ有効にする必要があり、Web アプリケーション プロキシ経由でエクストラネットに接続するエンドポイントとして公開しないでください。 WS-Trust WIndows エンドポイントを無効にする方法の詳細については、プロキシの WS-Trust Windows エンドポイントを無効にする方法に関するセクションを参照してください。 どのエンドポイントが有効になっているかは、AD FS 管理コンソールの [サービス]>[エンドポイント] で確認できます。
バージョン 1.1.819.0 以降、Microsoft Entra Connect では、Microsoft Entra ハイブリッド参加を構成するためのウィザードが提供されます。 ウィザードを使用すると、構成プロセスを大幅に簡略化できます。 必要なバージョンの Microsoft Entra Connect をインストールするオプションがない場合は、「 デバイスの登録を手動で構成する方法」を参照してください。 contoso.com が確認済みのカスタム ドメインとして登録されている場合、同期されたオンプレミス AD DS UPN サフィックスが test.contoso.com のようなサブドメイン内にある場合でも、ユーザーは PRT を取得できます。
オンプレミスの Microsoft Windows Server Active Directory ユーザーの Microsoft Entra ハイブリッド参加の UPN サポートを確認する
- ルーティング可能なユーザー UPN: ルーティング可能な UPN には、ドメイン レジストラーに登録されている有効な検証済みドメインがあります。 たとえば、contoso.com が Microsoft Entra ID のプライマリ ドメインである場合、contoso.org は Contoso が所有し、 Microsoft Entra ID で検証されたオンプレミス AD のプライマリ ドメインです。
- ルーティング不可能なユーザー UPN: ルーティング不可能な UPN には検証済みのドメインがないため、組織のプライベート ネットワーク内でのみ適用されます。 たとえば、contoso.com が Microsoft Entra ID のプライマリ ドメインであり、contoso.local がオンプレミス AD のプライマリ ドメインである場合、インターネットでは検証可能なドメインではなく、Contoso のネットワーク内でのみ使用されます。
注
このセクションの情報は、オンプレミス ユーザー UPN にのみ適用されます。 オンプレミスのコンピューター ドメイン サフィックス (例: computer1.contoso.local) には適用されません。
次の表は、Windows 10 Microsoft Entra ハイブリッド参加におけるこれらのオンプレミスの Microsoft Windows Server Active Directory UPN のサポートの詳細を示しています。
| オンプレミスの Microsoft Windows Server Active Directory UPN の種類 | ドメインの種類 | Windows 10 のバージョン | 説明 |
|---|---|---|---|
| ルーティング可能 | フェデレーション | 1703 リリースから | 一般公開 |
| ルーティング不可 | フェデレーション | 1803 リリースから | 一般公開 |
| ルーティング可能 | マネージド | 1803 リリースから | 一般提供されている Windows ロック画面の Microsoft Entra SSPR は、オンプレミスの UPN が Microsoft Entra UPN と異なる環境ではサポートされていません。 オンプレミスの UPN を Microsoft Entra ID の onPremisesUserPrincipalName 属性に同期する必要があります |
| ルーティング不可 | マネージド | サポートされていません |