クラウドネイティブなエンドポイントとオンプレミス リソース
ヒント
クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます。
- エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
- マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
- クラウド ネイティブ エンドポイント: Microsoft Entra に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
- ワークロード: 任意のプログラム、サービス、またはプロセス。
クラウド ネイティブなエンドポイントは、オンプレミスのリソースにアクセスできます。 この記事では、さらに詳しく説明し、よく寄せられる質問に回答します。
この機能は、以下に適用されます。
- Windows クラウドネイティブ エンドポイント
クラウドネイティブ エンドポイントとその利点の概要については、「クラウド ネイティブなエンドポイントとは」を参照してください。
前提条件
クラウド ネイティブな Windows エンドポイントが、オンプレミスの Active Directory (AD) を認証に使用するオンプレミスのリソースやサービスにアクセスするには、次の前提条件が必要です。
クライアント アプリでは、Windows 統合認証 (WIA) を使用する必要があります。 詳細については、「Windows 統合認証 (WIA)」を参照してください。
Microsoft Entra Connect を構成します。 Microsoft Entra Connect は、オンプレミス AD から Microsoft Entra にユーザー アカウントを同期します。 詳細については、「 Microsoft Entra Connect 同期: 同期を理解してカスタマイズする」を参照してください。
Microsoft Entra Connect では、必要なドメイン データが Microsoft Entra に同期されていることを確認するために、ドメイン ベースのフィルター処理を調整する必要がある場合があります。
デバイスには、AD ドメインのドメイン コントローラーと、アクセスするサービスまたはリソースへの見通し接続 (直接または VPN 経由) があります。
オンプレミス Windows デバイスと同様
エンド ユーザーの場合、Windows クラウド ネイティブ エンドポイントは、他のオンプレミス Windows デバイスと同様に動作します。
次の一覧は、ユーザーが Microsoft Entra 参加済みデバイスからアクセスできる一般的なオンプレミス リソースのセットです。
ファイル サーバー: SMB (Server Message Block) を使用して、ネットワーク共有または NAS (Network Attached Storage) をホストするドメイン メンバー サーバーにネットワーク ドライブをマップできます。
ユーザーは、ドライブを共有ドキュメントや個人用ドキュメントにマップできます。
ドメイン メンバー サーバー上のプリンター リソース: ユーザーはローカルまたは最近使用したプリンターに印刷できます。
Windows 統合セキュリティを使用するドメイン メンバー サーバー上の Web サーバー: ユーザーは、任意の Win32 または Web ベースのアプリケーションにアクセスできます。
Microsoft Entra 参加済みエンドポイントからオンプレミス AD ドメインを管理する場合: リモート サーバー管理ツールをインストールします。
- Active Directory ユーザーとコンピューター (ADUC) スナップインを使用して、すべての AD オブジェクトを管理します。 接続先のドメインを手動で入力する必要があります。
- DHCP スナップインを使用して、AD 参加済みの DHCP サーバーを管理します。 DHCP サーバーの名前またはアドレスの入力が必要な場合があります。
ヒント
Microsoft Entra 参加済みデバイスがクラウドネイティブのアプローチでキャッシュされた資格情報をどのように使用しているかを理解するには、「 OPS108: ハイブリッド世界の Windows 認証内部 (syfuhs.net) (外部 Web サイトを開く)」をご覧ください。
オンプレミス リソースへの認証とアクセス
次の手順では、Microsoft Entra 参加済みエンドポイントが(アクセス許可に基づいて) オンプレミス リソースを認証し、アクセスする方法について説明します。
以下にその手順の概要を示します。 完全なプロセスを説明する詳細なスイムレーン グラフィックスなど、詳細な情報については、 プライマリ更新トークン (PRT) と Microsoft Entra に関するページを参照してください。
ユーザーがサインインすると、その資格情報がクラウド認証プロバイダー (CloudAP) と Web アカウント マネージャー (WAM) に送信されます。
CloudAP プラグインは、ユーザーとデバイスの資格情報を Microsoft Entra に送信します。 または、Windows Hello for Business を使用して認証します。
Windows サインイン中、Microsoft Entra CloudAP プラグインは、ユーザー資格情報を使用して Microsoft Entra にプライマリ更新トークン (PRT) を要求します。 また、ユーザーがインターネットに接続していない場合に、キャッシュされたサインインを有効にする PRT もキャッシュされます。 ユーザーがアプリケーションにアクセスしようとすると、Microsoft Entra WAM プラグインは PRT を使用して SSO を有効にします。
Microsoft Entra は、ユーザーとデバイスを認証し、ID トークン & PRT を返します。 ID トークンには、ユーザーに関する次の属性が含まれます。
sAMAccountName
netBIOSDomainName
dnsDomainName
これらの属性は、Microsoft Entra Connect を使用してオンプレミス AD から同期されます。
Kerberos 認証プロバイダーは、資格情報と属性を受け取ります。 デバイス上で、Windows ローカル セキュリティ機関 (LSA) サービスによって Kerberos および NTLM 認証が有効になります。
Kerberos または NTLM 認証を要求するオンプレミス リソースへのアクセス試行中に、デバイスはドメイン名関連の属性を使用して、DC Locator を使用してドメイン コントローラー (DC) を検索します。
- DC が見つかった場合は、認証のために資格情報と
sAMAccountName
が DC に送信されます。 - Windows Hello for Business を使用している場合は、Windows Hello for Business 証明書を使用して PKINIT を実行します。
- DC が見つからない場合は、オンプレミス認証は行われません。
注:
PKINIT は Kerberos 5 の事前認証メカニズムであり、X.509 証明書を使用してキー配布センター (KDC) をクライアントに対して認証し、その逆も行われます。
- DC が見つかった場合は、認証のために資格情報と
DC はユーザーを認証します。 DC は、オンプレミス リソースまたはアプリケーションでサポートされるプロトコルに基づいて、Kerberos Ticket-Granting Ticket (TGT) または NTLM トークンを返します。 Windows は、今後使用するために返された TGT または NTLM トークンをキャッシュします。
ドメインの Kerberos TGT または NTLM トークンを取得しようとして失敗した場合 (関連する DCLocator タイムアウトによって遅延が発生する場合があります)、Windows 資格情報マネージャーを再試行します。 または、ユーザーは、オンプレミス リソースの資格情報を要求する認証ポップアップを受け取る場合があります。
Windows 統合認証 (WIA) を使用するすべてのアプリでは、ユーザーがアプリにアクセスしようとすると、SSO が自動的に使用されます。 WIA には、オンプレミスのサービスまたはリソースへのアクセス時に NTLM または Kerberos を使用して、オンプレミス AD ドメインに対する標準ユーザー認証が含まれます。
詳細については、「 Microsoft Entra 参加済みデバイスでのオンプレミス リソースへの SSO のしくみ」を参照してください。
Windows 統合認証の価値を強調することが重要です。 ネイティブ クラウド エンドポイントは、WIA 用に構成された任意のアプリケーションで "動作" するだけです。
ユーザーが WIA を使用するリソース (ファイル サーバー、プリンター、Web サーバーなど) にアクセスすると、通常の Kerberos ワークフローである Kerberos サービス チケットと TGT が交換されます。
クラウド ネイティブなエンドポイントのガイダンスに従う
- 概要: クラウド ネイティブなエンドポイントとは
- チュートリアル: クラウド ネイティブ Windows エンドポイントの利用を開始する
- 概念: Microsoft Entra 参加済みとハイブリッド Microsoft Entra 参加済み
- 🡺 概念: クラウド ネイティブなエンドポイントとオンプレミス リソース (こちら)
- 高度な計画ガイド
- 既知の問題と重要な情報