ハイブリッドMicrosoft Entra ID参加デバイスについて
ハイブリッドMicrosoft Entra ID参加デバイスとは、オンプレミスのActive Directory(AD)に参加し、Microsoft Entra IDに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスADとMicrosoft Entra IDの両方の機能を利用できます。ハイブリッドMicrosoft Entra ID参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理できます。ユーザーはMicrosoft Entra IDを使用して登録済みデバイスにサインインできます。
従来のオンプレミスAD環境を使用している一部の組織では、クラウドサービスへのリモートユーザーアクセスを許可するニーズがますます高まっています。Microsoft Entra ID参加デバイスとハイブリッドMicrosoft Entra ID参加デバイスは、次の表に示すようにこれらのニーズのバランスをとります。
結合タイプ |
Self Service Registration(セルフサービス登録) | 企業ネットワークへのアクセスが必要 | GPOをサポート |
---|---|---|---|
Microsoft Entra ID参加 |
はい | いいえ | Microsoft Entra ID Domain Services |
ハイブリッドMicrosoft Entra ID参加 |
はい | はい | AD Domain Services |
Microsoft Entra IDまたはハイブリッドMicrosoft Entra ID参加を実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。
ハイブリッドデバイスを参加させる方法
AD参加デバイスをMicrosoft Entra IDに参加させるには、ハイブリッドMicrosoft Entra ID参加用にMicrosoft Entra IDConnectをセットアップする必要があります。さらに、ADに参加しているデバイスをMicrosoft Entra IDに自動登録するGPOも作成する必要があります。
Microsoft Entra IDに参加しようとするAD参加デバイスは、Microsoft Entra ID Connectで構成されたサービス接続ポイント(SCP)を使用して、Azure ADテナント連携情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がMicrosoft Entra IDとまだ同期されていないため、失敗します。ただし、失敗すると、Microsoft Entra IDからの証明書を使用してデバイスの属性が更新されます。Microsoft Entra ID Connectは、次の同期間隔でこの属性をMicrosoft Entra IDに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはMicrosoft Entra IDに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Microsoft Entra IDにハイブリッド参加しているデバイスのトラブルシューティング」(Microsoftドキュメント)を参照してください。
OktaとハイブリッドAzure AD参加デバイスの連携
デバイスをMicrosoft Entra IDにハイブリッド参加させたら、OktaをIDプロバイダー(IdP)として使用してデバイスでの登録およびサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、ユーザーがデバイスをMicrosoft Entra IDに登録できるようにするか、Office 365リソースへのアクセスを許可します。ユーザーは、Oktaで認証して初めて、Microsoft Office 365などのMicrosoft Entra IDリソースにサインインできるようになります。