結合Microsoft Entra説明する
Windows 10以降では、AD DS ドメインへの参加に加えて、デバイスに参加してMicrosoft Entra IDできるようになりました。 Microsoft Entra IDでのユーザー アカウントの作成に加えて、Microsoft Entra ID内のデバイスを表すオブジェクトを作成できるようになりました。また、クラウドからMicrosoft Entra IDに参加しているデバイスを管理できます。
デバイスを AD DS ドメインに参加させるか、Microsoft Entra IDするかを決定する前に、これら 2 つの概念の違いを理解しておくことが重要です。 AD DS ドメインに参加するデバイスは、サポートされているオペレーティング システムのバージョンを実行する必要があります。たとえば、Windows および Windows RT オペレーティング システムの Home エディションでは、ドメインへの参加はサポートされていません。 AD DS ドメインに参加できるデバイスは、通常、オンプレミスのアプリケーションとサービスにアクセスします。 ドメイン アカウントと Microsoft アカウントを統合すると、一部のクラウド リソースにもデバイスがアクセスできます。
Microsoft Entra IDに参加できるデバイスの範囲は、AD DS の場合よりも大きくなります。 通常、AD DS ドメインに参加できるのは、Windows Pro または Enterprise Edition を実行しているデバイスのみです。 ただし、Windows Home (Pro & Enterprise を含む)、iOS、Android などのオペレーティング システムを実行しているデバイスは、Microsoft Entra IDに参加できます。 デバイスをMicrosoft Entra IDに参加させる場合、SSO を使用してクラウドベースのリソースと Azure ベースのリソースに完全にアクセスできます。 管理の観点からは、グループ ポリシーを使用してこれらのデバイスを管理することはできませんが、Intuneを使用してデバイスを管理およびプロビジョニングできます。
Microsoft Entra参加の使用シナリオ
シナリオ 1: クラウドの大部分の企業
Microsoft Entra参加 (Microsoft Entra参加) は、現在クラウドでビジネスの ID を運用および管理している場合や、近日中にクラウドに移行する場合に役立つ可能性があります。 Microsoft Entra IDで作成したアカウントを使用して Windows にサインインできます。 最初の実行エクスペリエンス (FRX) プロセスを通じて、または設定メニューからMicrosoft Entra IDを結合することで、ユーザーはコンピューターをMicrosoft Entra IDに参加させることができます。 また、ユーザーは、ブラウザーまたは Office アプリケーションで、Microsoft 365 などのクラウド リソースへのシングル サインオン (SSO) アクセスを利用することもできます。
シナリオ 2: 教育機関
教育機関には通常、教職員と学生の 2 つのユーザータイプがあります。
教職員は、organizationの長期メンバーと見なされます。 それらのオンプレミス アカウントを作成することが望ましいです。 ただし、学生はorganizationの短期メンバーであり、アカウントはMicrosoft Entra IDで管理できます。 つまり、オンプレミスに格納されるのではなく、ディレクトリ スケールをクラウドにプッシュできます。 また、学生は自分のMicrosoft Entra アカウントで Windows にサインインし、Office アプリケーションの Microsoft 365 リソースにアクセスできるようになります。
これらのシナリオでは、デバイスをMicrosoft Entra IDに参加させることができます。
- 使用するほとんどのアプリケーションとリソースがクラウド内にある場合。 Microsoft 365 などの特定のクラウド サービスを既に使用していて、他のワークロードをクラウドに移行する予定の場合は、クライアント デバイスをMicrosoft Entra IDに参加して、クラウドベースのサービスのアクセスと SSO を容易にする必要があります。
- 一時的なアカウントを分離する場合。 請負業者や季節労働者など、通常のアカウントとは別に一時的なアカウントを管理する必要がある場合でも、限られたクラウドベースのサービスを提供したい場合は、これらのアカウントをMicrosoft Entra IDで作成し、ユーザーのデバイスに参加してMicrosoft Entra IDできます。
- ユーザーが自分のデバイスを組織環境に参加できるようにする場合。 Bring Your Own Device (BYOD) の概念をサポートしていて、ユーザーが自分のデバイスをビジネス環境に参加できるようにする場合は、Microsoft Entra IDが適切なソリューションである可能性があります。 これは特に、ユーザーが iPad や Android タブレットなど、AD DS ドメインに参加できないが、IntuneとMicrosoft Entra IDに登録できる Microsoft 以外のデバイスを利用している場合に当てはまります。
- Microsoft Entra IDと MDM などのIntuneを使用して、クラウドベースのインフラストラクチャに移行する必要があります。
- オンプレミス インフラストラクチャが限られているリモート ブランチ オフィスがあり 、ワーカーに参加機能を提供したいと思っています。
ユーザーは、初期 Windows セットアップ中または後でシステム設定を開くことによって、Windows デバイスをMicrosoft Entra IDに参加させることができます。 どちらの場合も、ユーザーはMicrosoft Entra資格情報を入力し、管理ポリシーを受け入れる必要があります。
また、デバイスに参加できるようにMicrosoft Entra IDを準備する必要があることに注意してください。 これを行うには、Azure portalを開き、Microsoft Entra インスタンスに移動し、[ユーザーとグループの管理] ウィンドウを開きます。 [デバイス設定] セクションで、デバイスに参加するためのオプションを構成できます。
ハイブリッド結合Microsoft Entra
オンプレミスの Active Directory環境があり、ドメインに参加しているデバイスをMicrosoft Entra IDに参加させる場合は、ハイブリッド参加済みデバイスMicrosoft Entra構成することでこれを実現できます。 Microsoft Entraハイブリッド結合では、幅広い Windows デバイスがサポートされています。 古いバージョンの Windows を実行しているデバイスの構成には追加の手順または異なる手順が必要であるため、サポートされるデバイスは 2 つのカテゴリにグループ化されます。
Windows の現在のデバイス
- Windows 10 以降
- Windows Server 2016以降
Windows ダウンレベルデバイス
- Windows 8.1
- Windows Server 2012 R2
最初の計画手順として、環境を確認し、Windows ダウンレベルのデバイスをサポートする必要があるかどうかを判断する必要があります。 Microsoft ダウンロード センターで利用できるWindows 10以外のコンピューターの Microsoft Workplace Join は、下位レベルのデバイスにインストールする必要があります。
環境が複数のMicrosoft Entra テナントに ID データを同期する 1 つのフォレストで構成されている場合、Microsoft Entraハイブリッド結合を使用することはできません。
ハイブリッド結合Microsoft Entra使用する理由:
- Active Directory マシン認証に依存するこれらのデバイスに Win32 アプリが展開されている。
- 一部のデバイスを管理するには、グループ ポリシーが必要です。
- イメージング ソリューションを引き続き使用して、従業員のデバイスを構成する必要があります。
ハイブリッド参加Microsoft Entraは、オンプレミスのドメイン参加済みデバイスをMicrosoft Entra IDに自動的に登録するプロセスです。 すべてのデバイスを自動的に登録したくない場合があります。 これが当てはまる場合は、デバイスのMicrosoft Entraハイブリッド結合を制御する必要があります。