クラウドネイティブなエンドポイントとオンプレミス リソース

ヒント

クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます:

• エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
• マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
• クラウド ネイティブ エンドポイント: Azure AD に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
• ワークロード: 任意のプログラム、サービス、またはプロセス。

クラウド ネイティブなエンドポイントは、オンプレミスのリソースにアクセスできます。 この記事では、さらに詳しく説明し、よく寄せられる質問に回答します。

この機能は、以下に適用されます。

• Windows クラウドネイティブ エンドポイント

クラウドネイティブ エンドポイントとその利点の概要については、「クラウド ネイティブなエンドポイントとは」を参照してください。

前提条件

クラウド ネイティブな Windows エンドポイントが、オンプレミスの Active Directory (AD) を認証に使用するオンプレミスのリソースやサービスにアクセスするには、次の前提条件が必要です。

• クライアント アプリでは、Windows 統合認証 (WIA) を使用する必要があります。 詳細については、「Windows 統合認証 (WIA)」を参照してください。

• 接続Microsoft Entra構成します。 Microsoft Entra Connect では、オンプレミス AD からMicrosoft Entraにユーザー アカウントが同期されます。 詳細については、「接続の同期: 同期Microsoft Entra理解してカスタマイズする」を参照してください。

  Microsoft Entra Connect では、ドメイン ベースのフィルター処理を調整して、必要なドメイン データがMicrosoft Entraに同期されていることを確認する必要がある場合があります。

• デバイスには、AD ドメインのドメイン コントローラーと、アクセスするサービスまたはリソースへの見通し接続 (直接または VPN 経由) があります。

オンプレミス Windows デバイスと同様

エンド ユーザーの場合、Windows クラウド ネイティブ エンドポイントは、他のオンプレミス Windows デバイスと同様に動作します。

次の一覧は、Microsoft Entra参加済みデバイスからユーザーがアクセスできる一般的なオンプレミス リソースのセットです。

• ファイル サーバー: SMB (Server Message Block) を使用して、ネットワーク共有または NAS (Network Attached Storage) をホストするドメイン メンバー サーバーにネットワーク ドライブをマップできます。

  ユーザーは、ドライブを共有ドキュメントや個人用ドキュメントにマップできます。

• ドメイン メンバー サーバー上のプリンター リソース: ユーザーはローカルまたは最近使用したプリンターに印刷できます。

• Windows 統合セキュリティを使用するドメイン メンバー サーバー上の Web サーバー: ユーザーは、任意の Win32 または Web ベースのアプリケーションにアクセスできます。

• Microsoft Entra参加済みエンドポイントからオンプレミス AD ドメインを管理する場合: リモート サーバー管理ツールをインストールします。

  • Active Directory ユーザーとコンピューター (ADUC) スナップインを使用して、すべての AD オブジェクトを管理します。 接続先のドメインを手動で入力する必要があります。
  • DHCP スナップインを使用して、AD 参加済みの DHCP サーバーを管理します。 DHCP サーバーの名前またはアドレスの入力が必要な場合があります。

ヒント

参加済みデバイスMicrosoft Entraクラウドネイティブアプローチでキャッシュされた資格情報を使用する方法を理解するには、「OPS108: ハイブリッドワールド (syfuhs.net) の内部をWindows 認証する (外部 Web サイトを開く)」 をwatchします。

オンプレミス リソースへの認証とアクセス

次の手順では、Microsoft Entra参加済みエンドポイントが(アクセス許可に基づいて) オンプレミス リソースを認証してアクセスする方法について説明します。

以下にその手順の概要を示します。 完全なプロセスを説明する詳細なスイムレーン グラフィックスなど、より具体的な情報については、「プライマリ更新トークン (PRT)」と「Microsoft Entra」を参照してください。

1. ユーザーがサインインすると、その資格情報がクラウド認証プロバイダー (CloudAP) と Web アカウント マネージャー (WAM) に送信されます。

2. CloudAP プラグインは、ユーザーとデバイスの資格情報をMicrosoft Entraに送信します。 または、Windows Hello for Business を使用して認証します。

3. Windows サインイン中、Microsoft Entra CloudAP プラグインは、ユーザー資格情報を使用してMicrosoft Entraからプライマリ更新トークン (PRT) を要求します。 また、ユーザーがインターネットに接続していない場合に、キャッシュされたサインインを有効にする PRT もキャッシュされます。 ユーザーがアプリケーションにアクセスしようとすると、Microsoft Entra WAM プラグインは PRT を使用して SSO を有効にします。

4. Microsoft Entraは、ユーザーとデバイスを認証し、ID トークン & PRT を返します。 ID トークンには、ユーザーに関する次の属性が含まれます。

   • sAMAccountName
   • netBIOSDomainName
   • dnsDomainName

   これらの属性は、Microsoft Entra Connect を使用してオンプレミス AD から同期されます。

   Kerberos 認証プロバイダーは、資格情報と属性を受け取ります。 デバイス上で、Windows ローカル セキュリティ機関 (LSA) サービスによって Kerberos および NTLM 認証が有効になります。

5. Kerberos または NTLM 認証を要求するオンプレミス リソースへのアクセス試行中に、デバイスはドメイン名関連の属性を使用して、DC Locator を使用してドメイン コントローラー (DC) を検索します。

   • DC が見つかった場合は、認証のために資格情報と sAMAccountName が DC に送信されます。
   • Windows Hello for Business を使用している場合は、Windows Hello for Business 証明書を使用して PKINIT を実行します。
   • DC が見つからない場合は、オンプレミス認証は行われません。

   注:

   PKINIT は Kerberos 5 の事前認証メカニズムであり、X.509 証明書を使用してキー配布センター (KDC) をクライアントに対して認証し、その逆も行われます。

   MS-PKCA: Kerberos プロトコルの初期認証 (PKINIT) の公開キー暗号化

6. DC はユーザーを認証します。 DC は、オンプレミス リソースまたはアプリケーションでサポートされるプロトコルに基づいて、Kerberos Ticket-Granting Ticket (TGT) または NTLM トークンを返します。 Windows は、今後使用するために返された TGT または NTLM トークンをキャッシュします。

   ドメインの Kerberos TGT または NTLM トークンを取得しようとして失敗した場合 (関連する DCLocator タイムアウトによって遅延が発生する場合があります)、Windows 資格情報マネージャーを再試行します。 または、ユーザーは、オンプレミス リソースの資格情報を要求する認証ポップアップを受け取る場合があります。

7. Windows 統合認証 (WIA) を使用するすべてのアプリでは、ユーザーがアプリにアクセスしようとすると、SSO が自動的に使用されます。 WIA には、オンプレミスのサービスまたはリソースへのアクセス時に NTLM または Kerberos を使用して、オンプレミス AD ドメインに対する標準ユーザー認証が含まれます。

   詳細については、「オンプレミス リソースへの SSO のしくみ」Microsoft Entra参加済みデバイスに関するページを参照してください。

   Windows 統合認証の価値を強調することが重要です。 ネイティブ クラウド エンドポイントは、WIA 用に構成された任意のアプリケーションで "動作" するだけです。

   ユーザーが WIA を使用するリソース (ファイル サーバー、プリンター、Web サーバーなど) にアクセスすると、通常の Kerberos ワークフローである Kerberos サービス チケットと TGT が交換されます。

クラウド ネイティブなエンドポイントのガイダンスに従う

1. 概要: クラウド ネイティブなエンドポイントとは
2. チュートリアル: クラウド ネイティブ Windows エンドポイントの利用を開始する
3. 概念: Microsoft Entra参加済みとハイブリッド Microsoft Entra参加済み
4. 🡺 概念: クラウド ネイティブなエンドポイントとオンプレミス リソース (こちら)
5. 高度な計画ガイド
6. 既知の問題と重要な情報

役に立つオンライン リソース

• プライマリ更新トークン (PRT) とMicrosoft Entra
• Microsoft Entra参加済みデバイスでのオンプレミス リソースへの SSO のしくみ
• Windows Hello for Business のしくみ - 認証 - Windows セキュリティ
• 統合 Windows 認証
• Microsoft Entra Kerberos 認証 (プレビュー)
• Microsoft Entra認証に関するドキュメント