オンプレミス リソースへのアクセスを準備する
Microsoft Managed Desktop では、デバイスは自動的に Microsoft Entra ID に参加します。 このため、オンプレミスの Active Directoryを使用している場合は、Microsoft Entra ID に参加しているデバイスがオンプレミスの Active Directoryと通信できることを確認する必要があります。
注:
ハイブリッド Microsoft Entra参加は、Microsoft Managed Desktop ではサポートされていません。
Microsoft Entra ID を使用すると、ユーザーはシングル Sign-On (SSO) を利用できます。 シングル サインオンとは、通常、リソースを使用するたびに資格情報を提供する必要がないことを意味します。
Microsoft Entra ID への参加の詳細については、「方法: Microsoft Entra参加の実装を計画する」を参照してください。 Microsoft Entra ID に参加しているデバイスでのシングル Sign-On (SSO) の背景情報については、「Microsoft Entra参加済みデバイスでのオンプレミス リソースへの SSO のしくみ」を参照してください。
この記事では、ローカルの Active Directory 接続に依存するアプリやその他のリソースが Microsoft マネージド デスクトップでスムーズに動作するようにするために確認する必要がある事項について説明します。
オンプレミス リソースのシングル サインオン
UPN とパスワードを使用したシングル サインオン (SSO) は、Microsoft マネージド デスクトップ デバイスで既定で有効になっています。 ただし、ユーザーは Windows Hello for Business を使用することもできます。これには、いくつかの追加のセットアップ手順が必要です。
UPN とパスワードを使用したシングル サインオン
ほとんどの組織では、ユーザーは SSO を使用して、Microsoft マネージド デスクトップ デバイスで UPN とパスワードによる認証を行うことができます。 この関数が機能することを確認するには、次のことを再確認する必要があります。
- Microsoft Entra接続が設定されていることを確認します。 Windows Server 2008 R2 以降を実行しているオンプレミスの Active Directory サーバーを使用する必要があります。
- Microsoft Entra Connect でサポートされているバージョンが実行されていることを確認します。 次の 3 つの属性を Microsoft Entra ID と同期するように設定する必要があります。
- オンプレミスの Active Directory の DNS ドメイン名 (ユーザーが配置されている場所)。
- オンプレミスの Active Directoryの NetBIOS (ユーザーが配置されている場所)。
- 対象ユーザーのアカウント名。
Windows Hello for Business を使用したシングル サインオン
Microsoft マネージド デスクトップ デバイスでは、Windows Hello for Business を採用することで、ユーザーに高速でパスワードレスなエクスペリエンスも提供します。 ユーザーがそれぞれ UPN とパスワードを指定しなくてもWindows Hello for Businessが機能することを確認するには、「オンプレミス Microsoft Entra Single-Sign Windows Hello for Businessを使用してチェックに参加しているデバイスを構成する」を参照してください。要件を満たしてから、そこに示されている手順に従います。
認証を使用するアプリとリソース
Microsoft Entra ID を使用するアプリの設定に関する完全なガイダンスについては、「Azure コンテンツ セットのアプリケーションとリソースに関する考慮事項について」を参照してください。 まとめると、以下のようになります。
| アプリまたはサービス | タスク |
|---|---|
| クラウドベースのアプリ | Microsoft Entra アプリ ギャラリーに追加されたアプリなど、クラウドベースのアプリを使用する場合、ほとんどの場合、Microsoft Managed Desktop を使用するためにそれ以上の準備は必要ありません。 ただし、Web アカウント マネージャー (WAM) を使用していない Win32 アプリでは、引き続きユーザーに認証を求めるメッセージが表示される場合があります。 |
| オンプレミスでホストされているアプリ | オンプレミスでホストされているアプリの場合は、これらのアプリをブラウザーの信頼済みサイトの一覧に必ず追加してください。 この手順では、ユーザーに資格情報の入力を求めることなく、Windows 認証がシームレスに動作できるようになります。 アプリを追加するには、「構成可能な設定」の「信頼済みサイト」を参照してください。 |
| Active Directory フェデレーション サービス | Active Directory フェデレーション サービスを使用している場合は、「AD FS でのシングル サインオンの確認と管理」の手順を使用して、SSO が有効になっていることを確認します。 |
| 古いプロトコルを使用するオンプレミス アプリ | オンプレミスで古いプロトコルを使用するアプリの場合、デバイスがオンプレミスのドメイン コントローラーにアクセスして認証できる限り、追加のセットアップは必要ありません。 ただし、これらのアプリケーションに安全なアクセスを提供するには、アプリケーション プロキシMicrosoft Entraデプロイする必要があります。 詳細については、「Microsoft Entra アプリケーション プロキシを介したオンプレミス アプリケーションへのリモート アクセス」を参照してください。 |
| オンプレミス アプリとコンピューター認証 | オンプレミスで実行され、マシン認証に依存する アプリはサポートされていないため、新しいバージョンに置き換えることを検討する必要があります。 |
認証を使用するネットワーク共有
デバイスが UNC パスを使用してオンプレミス ドメイン コントローラーにアクセスできる限り、ユーザーがネットワーク共有にアクセスするための追加のセットアップは必要ありません。
プリンター
Microsoft マネージド デスクトップ デバイスは、Hybrid Cloud Print を構成していない限り、オンプレミスの Active Directory に公開されているプリンターに接続できません。
クラウドのみの環境ではプリンターを自動的に検出することはできませんが、デバイスがオンプレミス ドメイン コントローラーにアクセスできる限り、ユーザーはプリンター パスまたはプリンター キュー パスを使用してオンプレミスのプリンターを使用できます。