ハイブリッドAzure AD参加デバイスについて
ハイブリッドAzure AD参加デバイスとは、オンプレミスのActive Directory(AD)に参加し、Azure ADに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスADとAzure ADの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理できます。ユーザーはAzure ADを使用して登録済みデバイスにサインインできます。
従来のオンプレミスAD環境を使用している一部の組織では、クラウドサービスへのリモートユーザーアクセスを許可するニーズがますます高まっています。Azure AD参加済みデバイスとハイブリッドAzure AD参加済みデバイスは、次の表に示すように、このようなニーズのバランスをとります。
|
結合タイプ |
Self Service Registration(セルフサービス登録) | 企業ネットワークへのアクセスが必要 | GPOをサポート |
|---|---|---|---|
|
Azure AD Join |
はい | いいえ | Azure AD Domain Services |
|
Hybrid Azure AD Join |
はい | はい | AD Domain Services |
Azure ADまたはHybrid Azure AD Joinを実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。
ハイブリッドデバイスを参加させる方法
ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。
Azure ADに参加しようとするAD参加デバイスは、Azure AD Connectで構成されたサービス接続ポイント(SCP)を使用して、Azure ADテナント情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、失敗すると、Azure ADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzure ADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzure ADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」(Microsoftドキュメント)を参照してください。
OktaとハイブリッドAzure AD参加デバイスの連携
デバイスをAzure ADにハイブリッド参加させたら、OktaをIDプロバイダー(IdP)として使用してデバイスでの登録・サインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、Azure ADへのデバイス登録やOffice 365リソースへのアクセスを許可します。ユーザーは、Oktaで認証して初めて、Microsoft Office 365などのAzure ADリソースにサインインできるようになります。