ハイブリッドHybrid Azure AD参加デバイスについて

ハイブリッドAzureAD参加デバイスとは、オンプレミスのActive Directoryに参加し、Azure Active Directory (Azure AD)に登録されているデバイスです。これらのデバイスを使用すると、オンプレミスActive DirectoryとAzure ADの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure Active Directoryを使用して登録済みのデバイスにサインインできます。

従来のオンプレミスAD環境を使用しているが、クラウド・サービスへのリモート・ユーザー・アクセスを許可する必要性が高まっている組織の場合、表に示すように、Azure AD参加済みデバイスとハイブリッドAzure AD参加済みデバイスでこれらのニーズのバランスをとります。

結合タイプ

セルフサービス登録企業ネットワークへのアクセスが必要GPOをサポート

Azure AD Join

Yes(はい)No(いいえ)Azure AD Domain Services

Hybrid Azure AD Join

Yes(はい)Yes(はい)AD Domain Services

Azure ADまたはHybrid Azure AD Joinを実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。

デバイスをハイブリッド参加させる方法

ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectを設定する必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。

ADに参加しているデバイスがAzure ADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、Azure ADテナント連携資格情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、エラーが発生すると、Azure ADからの証明書を使用してデバイス上の属性が更新されます。Azure AD Connect は、次の同期間隔でこの属性を Azure AD に同期します。次にGPOのスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスがAzure ADに参加します。

このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、 「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」 (Microsoftドキュメント)を参照してください。

OktaがHybrid Azure ADに参加しているデバイスとどのように連携するか

デバイスがハイブリッドAzure ADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。OktaはユーザーのID情報を確認し、ユーザーがAzure ADにデバイスを登録できるようにするか、Office 365リソースへのアクセスを許可します。ユーザーは、Microsoft Office 365およびその他のAzure ADリソースにサインインする前に、Oktaで認証します。

<<追加する画像>>