ハイブリッドHybrid Azure AD参加デバイスについて
ハイブリッドAzureAD参加デバイスとは、オンプレミスのActive Directoryに参加し、Azure Active Directory (Azure AD)に登録されているデバイスです。これらのデバイスを使用すると、オンプレミスActive DirectoryとAzure ADの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure Active Directoryを使用して登録済みのデバイスにサインインできます。
従来のオンプレミスAD環境を使用しているが、クラウド・サービスへのリモート・ユーザー・アクセスを許可する必要性が高まっている組織の場合、表に示すように、Azure AD参加済みデバイスとハイブリッドAzure AD参加済みデバイスでこれらのニーズのバランスをとります。
結合タイプ | セルフサービス登録 | 企業ネットワークへのアクセスが必要 | GPOをサポート |
---|---|---|---|
Azure AD Join | Yes(はい) | No(いいえ) | Azure AD Domain Services |
Hybrid Azure AD Join | Yes(はい) | Yes(はい) | AD Domain Services |
Azure ADまたはHybrid Azure AD Joinを実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。
デバイスをハイブリッド参加させる方法
ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectを設定する必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。
ADに参加しているデバイスがAzure ADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、Azure ADテナント連携資格情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、エラーが発生すると、Azure ADからの証明書を使用してデバイス上の属性が更新されます。Azure AD Connect は、次の同期間隔でこの属性を Azure AD に同期します。次にGPOのスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスがAzure ADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、 「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」 (Microsoftドキュメント)を参照してください。
OktaがHybrid Azure ADに参加しているデバイスとどのように連携するか
デバイスがハイブリッドAzure ADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。OktaはユーザーのID情報を確認し、ユーザーがAzure ADにデバイスを登録できるようにするか、Office 365リソースへのアクセスを許可します。ユーザーは、Microsoft Office 365およびその他のAzure ADリソースにサインインする前に、Oktaで認証します。
<<追加する画像>>