共同管理にMicrosoft Entra ID を使用する
クラウドでは、ID が新しいコントロール プレーンです。 Microsoft Entra ID を使用すると、クラウド環境とオンプレミス環境の両方でユーザー、デバイス、アプリケーションをリンクできます。 デバイスを Microsoft Entra ID に登録すると、ユーザーの生産性とリソースのセキュリティを向上させることができます。 Microsoft Entra ID にデバイスを含めるのは、共同管理とデバイス ベースの条件付きアクセスの両方の基盤です。
デバイス ベースの条件付きアクセスの詳細については、「 方法: 条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する」を参照してください。
次のビデオでは、シニア プログラム マネージャーの Sandeep Deo と製品マーケティング マネージャーの Adam Harbour が、共同管理のMicrosoft Entra ID について話し合い、デモを行います。
Microsoft Entra ID には、会社所有のデバイスがorganizationのニーズに合わせて 2 つのオプションが用意されています。
Microsoft Entra参加済みデバイス: Windows 10以降のデバイスを Microsoft Entra ID に参加させ、オンプレミスの Active Directoryに参加させる必要はありません。
Windows 10以降をサポート
オンプレミス環境に追加の構成を必要とせずに設定する
Microsoft Entra ID でいくつかの設定を有効にすると、ユーザーが Windows セットアップ エクスペリエンス (OOBE) を使用してデバイスを Microsoft Entra ID に参加させることができます
詳細については、「方法: Microsoft Entra参加の実装を計画する」を参照してください。
ハイブリッド参加済みデバイスのMicrosoft Entra: 既存のドメイン参加済みデバイスを Azure A に参加させる
Windows 10以降、またはWindows 8.1をサポートします
AD FS 要求または Microsoft Entra Connect を使用してセットアップする
Windows 10以降の場合、参加はマシン コンテキストで行われるため、ユーザーは追加の手順を実行する必要はありません
詳細については、「Microsoft Entra ハイブリッド結合の実装を計画する方法」を参照してください。
どちらのオプションも、ユーザーに似た機能を提供します。 ニーズに応じて、どちらを選択しても柔軟です。 たとえば、Active Directory に参加していない場合でも、Microsoft Entra参加済みマシンからオンプレミス リソースにアクセスできます。
認証方法に関係なく、さまざまな環境でデバイスをMicrosoft Entra ID に参加させることができます。 たとえば、フェデレーション認証やクラウド認証などです。
既にオンプレミスの Active Directoryがある場合は、どちらのオプションも簡単に設定できます。
利点
デバイスを Microsoft Entra ID に結合すると、organizationに次の利点があります。
クラウド リソースへのシングル サインオン
Microsoft Entra ID に参加しているデバイスでは、クラウドまたはオンプレミスのリソースにアクセスする統合エクスペリエンスが得られます。 Microsoft Entra ID に参加している Windows マシンにサインインすると、追加のサインイン プロンプトなしですべてのアプリケーションにシングル サインオンします。
Windows Hello for Business
Windows Hello for Businessは、強力なパスワードレス認証を Windows に提供します。 デバイスを Microsoft Entra ID に参加させることにより、クラウドとオンプレミスの両方のリソースに対してユーザー ベース全体でWindows Hello for Businessを有効にすることができます。 Windows Hello for Businessは、複雑なパスワードを記憶したり、誤って公開したりする問題を排除します。 サインイン プロセスはシンプルで安全です。
詳しくは、「Windows Hello for Business」をご覧ください。
デバイス ベースの条件付きアクセス
デバイスの状態に基づいて条件付きアクセスを有効にして、organizationのデータをより適切に保護します。 デバイス ベースの条件付きアクセスには、マネージド デバイスが必要です。 このデバイスは、準拠しているデバイスまたはMicrosoft Entraハイブリッド参加済みデバイスである必要があります。 参加済みデバイスMicrosoft Entra場合は、Intune でデバイスを準拠としてマークする必要があります。 ただし、ハイブリッド参加済みデバイスMicrosoft Entra場合、条件付きアクセスを評価するためにデバイスの状態自体が使用されます。 共同管理を使用すると、ハイブリッド参加済みデバイスの Intune を通じてコンプライアンスを評価Microsoft Entra追加の利点が得られます。 この機能により、デバイスの構成はそのままになります。
デバイス ベースの条件付きアクセスの詳細については、「 方法: 条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する」を参照してください。
自動デバイス ライセンス
Microsoft Entraに参加しているすべての Windows デバイスは、ライセンス チェックを通過します。 これらのチェックを使用すると、Microsoft クラウドを介して Pro から Enterprise に自動的にアップグレードできます。 ユーザーから関連するサブスクリプションを削除すると、デバイスはそのライセンスを自動的にダウングレードします。 この機能は、複雑なプロセスやオンプレミス システムを使用せずに、Windows ライセンスを管理するための単一のコントロール ウィンドウを提供します。
セルフサービス機能
セルフサービス機能には、セルフサービス パスワード リセットと BitLocker 回復キーが含まれます。 Microsoft Entra ID には、パスワードをリセットしたり、BitLocker 回復キーにアクセスしたりするための直接オプションも用意されています。 Microsoft Entra ID を使用して、Web ブラウザーではなく Windows ロック画面から直接パスワードをリセットできます。 これらの機能により、ユーザーの摩擦が軽減され、organizationのヘルプデスク コストを削減できます。
詳細については、「チュートリアル: ユーザーがセルフサービス パスワード リセットを使用してアカウントのロックを解除したり、パスワードMicrosoft Entraリセットしたりできるようにする」を参照してください。
Enterprise State Roaming
Microsoft Entra ID に参加しているすべてのデバイスは、設定をクラウドに同期できます。 ユーザーがサインインするデバイスは、生産性を高めるためにすべての設定を同期します。
価値提案
どちらの方法でも、デバイスを MICROSOFT ENTRA ID に結合すると、デジタル変換が加速されます。 これにより、Microsoft 365 によって提供されるより多くの機能が有効になります。 エクスペリエンスが向上し、データのセキュリティが強化されます。
Microsoft Entra ID には、次のような作業負荷を軽減するためのいくつかのオプションが用意されています。
organization内のすべてのデバイス ID を 1 か所から管理します。
セルフサービス パスワード リセットを有効にすることで、ヘルプデスクのコストを削減します。 その後、ユーザーはいつでもデバイスの Windows ロック画面からパスワードをリセットできます。
Configure
既にオンプレミスの Active Directory環境があり、ドメイン参加済みデバイスを Microsoft Entra ID に参加させる場合は、ハイブリッド参加済みデバイスMicrosoft Entra構成します。 詳細については、「方法: Microsoft Entraハイブリッド結合の実装を計画する」を参照してください。
Configuration Managerには、新しいWindows 10以降のドメイン参加済みデバイスをMicrosoft Entra ID で自動的に登録するクライアント設定があります。 クライアント設定の構成の詳細については、「クライアント設定 を構成する方法」を参照してください。
デバイスをオンプレミス ドメインに参加させずにMicrosoft Entra参加を構成する場合は、環境内での参加Microsoft Entraに関する考慮事項を確認してください。 参加Microsoft Entra使用することを決めたら、organizationのニーズに基づいてデプロイする多くのオプションがあります。 詳細については、次の記事を参照してください。