Azure ADでハイブリッド結合を構成する

OktaがAzure AD、Office 365ドメインとフェデレーションし、オンプレミスADがADエージェントを介してOktaに接続されたので、ハイブリッド参加の構成を開始できます。

この構成を実現する方法は複数あります。このトピックでは、以下の方法について説明します。

これらの方法と結果の結合タイプについて

Windows AutopilotとMDMの組み合わせを使用すると、マシンは Hybrid Azure AD Joinedとしてではなく、 Azure AD JoinedとしてAzure ADに登録されます。これは、マシンが最初にクラウドとAzure ADを介して参加していたためです。

マシンを Hybrid Azure AD JoinedとしてAzure ADに登録する場合は、Azure AD ConnectとGPO方式も設定する必要があります。両方の方法を構成すると、ローカルのオンプレミスGPOがマシン・アカウントに適用され、次のAzure AD Connectの同期で新しいエントリーがAzure ADに表示されます。この時点で、Azure ADに新しいデバイスの2つのレコード(Azure AD JoinとHybrid AD Join)が表示されます。どちらも有効です。

この2つの参加タイプの違いについては、「 Azure AD参加済みデバイスとは」を参照してください。 および ハイブリッドAzure AD参加済みデバイスとは(Microsoft Docs)。

この手順を開始する

Azure AD Connectとグループ・ポリシー・オブジェクト

この組み合わせにより、ローカル・ドメイン・マシンをAzure ADインスタンスと同期できます。ローカルADから同期されたマシンは、Azure ADに Hybrid Azure AD Joinedと表示されます。

この手順には次のタスクが含まれます:

  1. Azure AD Connectをインストールする:Azure AD Connectをダウンロードして、適切なサーバー(できればドメイン・コントローラー)にインストールします。「 Azure AD ConnectとAzure AD Connect Healthのインストール・ロードマップ」(Microsoft Docs)を参照してください

    このサービスのエンタープライズ管理者権限を持つADで、作成するか既存のサービス・アカウントを使用します。

  2. Hybrid Join用にAzure AD Connectを構成する「 Hybrid Join用にAzure AD Connectを構成する (Microsoft Docs)。 

    SCP構成で、 認証サービスを登録済みのMicrosoft 365ドメインとフェデレーションしたOkta組織に設定してください。

  3. デバイスのグループの自動登録を構成する:ローカル・ドメイン・デバイスがハイブリッドに参加しているマシンとしてAzure AD Connectを介して登録できるようにグループ・ポリシーを構成します。

    「 グループ・ポリシーを使用してWindows 10デバイスを自動的に登録する(Microsoft Docs)を参照してください。

ローカル・デバイスがAzure ADに参加する方法

Azure AD Connectと適切なGPOを構成すると、ローカル・デバイスを接続するための一般的なフローは次のようになります。

  1. 新しいローカル・デバイスは、Azure AD Connectの構成時に設定したサービス接続ポイント (SCP) を使用して、Azure ADテナントのフェデレーション情報を検索することにより、即時の参加を試行します。その後、デバイスはSecurity Token Service(STS)サーバーに到達します。認証の試行は失敗し、自動的に同期接続に戻ります。

  2. エラーが発生すると、デバイスはAzure ADからの証明書でuserCertificate属性を更新します。

  3. 次の同期間隔で、Azure AD Connectはコンピューター・オブジェクトをuserCertificate値とともに送信します。デバイスはAzure ADに参加済みとして表示されますが、登録はされていません。同期間隔は構成によって異なる場合があります。デフォルトの間隔は1時間です。

  4. GPOからのWindowsのスケジュールされたタスクを使用して、Azure ADへの参加が再試行されます。

  5. オブジェクトは参加済みとしてAzure ADに存在するため、再試行するとデバイスが正常に登録されます。

Windows AutopilotとMicrosoft Intune

この方法では、Azure ADへの登録時にAzure ADデバイスのローカル・ドメイン・オブジェクトが作成されます。この組み合わせでは、Azure ADから同期されたマシンは、ローカルのオンプレミスADドメインに作成されることに加えて、 Azure AD Joinedと表示されます。

この手順には次のタスクが含まれます:

  1. Azure ADでWindows AutopilotとMicrosoft Intuneをセットアップする「Intune and Windows Autopilotを使用してハイブリッドAzure ADに参加しているデバイスをデプロイする(Microsoft Docs)」を参照してください。

    Intune Connectorのインストーラーは、Microsoft Edgeブラウザーを使用してダウンロードする必要があります。Microsoft Server 2016はEdgeブラウザーをサポートしていないため、Edgeを備えたWindows 10クライアントを使用してインストーラーをダウンロードし、適切なサーバーにコピーできます。

  2. Azure Portalで適切なユーザーにライセンスを割り当てる 「Azureでライセンスを割り当てるか削除する 」 (Microsoft Docs)ライセンスの割り当てには、少なくともEnterpriseおよび Mobility + Security(Intune)のライセンスが含まれている必要があります。

  3. 構成をテストする:Windows AutopilotとMicrosoft Intuneのセットアップが完了したら、次の手順を使用して構成をテストします。

    1. デバイスがローカル・ドメイン(DNS)を解決できるが、メンバーとして参加していないことを確認します。新しいデバイスがWindows Autopilot Out-of-Box Experience (OOBE)からAzure ADに参加します。

    2. Microsoftでサインインウィンドウで、Azureアカウントと連携しているユーザー名を入力します。サインオンのためにOktaにリダイレクトされます。

    3. サインオン・プロセスが完了すると、コンピューターはWindows Autopilot OOBEを介してデバイスのセットアップを開始します。これには数分かかる場合があります。

    4. この間、クライアントはMicrosoft IntuneとWindows Autopilotのセットアップの一環として作成されたドメイン参加プロファイルを介してローカル・ドメインに登録されます。指定した組織単位(OU)にマシン・アカウントが作成されます。クライアント・マシンもデバイスとしてAzure ADに追加され、Intune MDMに登録されます。

Windows Autopilotとその他のMDM

VMware Workspace ONEまたはAirwatchとWindows Autopilotを使用している場合は、「Azure ADを使用したWindows 10デバイスの登録:Workspace ONE UEM Operational Tutorial」(VMwareドキュメント)を参照してください。

ほかのMDMを使用している場合は、その指示に従います。

次の手順

Azure ADとOktaの統合が完了したので、Okta Device Trustの活用を開始できます。Okta Device Trustのコンテキストアクセス管理ソリューションを利用して、マネージドデバイスを使用するエンドユーザーとパートナーのみがOktaと統合されたアプリケーションにアクセスできるようにすることで、機密性の高い企業リソースを保護できます。Okta Device Trustソリューションを参照してください 。