Azure Active Directoryでハイブリッド参加を構成する

OktaがAzure AD Office 365ドメインと連携認証し、オンプレミスADがAD Agentを介してOktaに接続されたら、ハイブリッド参加の構成を開始できます。

この構成を実現する方法は複数あります。このトピックでは、以下の方法について説明します。

  1. Azure AD Connectとグループポリシーオブジェクト

  2. Windows AutopilotとMicrosoft Intune

  3. Windows Autopilotとその他のMDM

これらの方法と結果の参加タイプについて

Windows AutopilotとMDMの組み合わせを使用すると、マシンはHybrid Azure AD Joinedとしてではなく、Azure AD JoinedとしてAzure ADに登録されます。これは、マシンが最初にクラウドとAzure ADを介して参加していたためです。

マシンをHybrid Azure AD JoinedとしてAzure ADに登録する場合は、Azure AD ConnectとGPO方式も設定する必要があります。両方の方法を構成すると、ローカルのオンプレミスGPOがマシンアカウントに適用されます。次のAzure AD Connectの同期で新しいエントリがAzure ADに表示されます。その後、Azure ADに新しいデバイスの2つのレコード(Azure AD JoinとHybrid AD Join)が表示されます。どちらも有効です。

この2つの参加タイプの違いについては、「 Azure AD参加済みデバイスとは」および「ハイブリッドAzure AD参加済みデバイスとは」(Microsoftドキュメント)を参照してください。

この手順を開始する

Azure AD Connectとグループポリシーオブジェクト

この組み合わせにより、ローカルドメインマシンをAzure ADインスタンスと同期できます。ローカルADから同期されたマシンは、Azure ADにHybrid Azure AD Joinedと表示されます。

この手順には次のタスクが含まれます。

  1. Azure AD Connectをインストールする:Azure AD Connectをダウンロードして、適切なサーバー(できればドメインコントローラー)にインストールします。「Azure AD ConnectとAzure AD Connect Healthのインストールロードマップ」(Microsoftドキュメント)を参照してください。

    このサービスのエンタープライズ管理者権限を持つADで、作成するか既存のサービスアカウントを使用します。

  2. Hybrid Join用にAzure AD Connectを構成する:「 Hybrid Join用にAzure AD Connectを構成する」(Microsoftドキュメント)を参照してください。

    サービス接続ポイント(SCP)構成で、Authentication Service(認証サービス)を登録済みのMicrosoft 365ドメインとフェデレーションしたOkta orgに設定してください。

  3. デバイスのグループの自動登録を構成する:ローカルドメインデバイスがハイブリッドに参加しているマシンとしてAzure AD Connectを介して登録できるようにグループポリシーを構成します。

    グループポリシーを使用してWindows 10デバイスを自動的に登録する」(Microsoftドキュメント)を参照してください。

ローカルデバイスがAzure ADに参加する方法

Azure AD Connectと適切なGPOを構成すると、ローカルデバイスを接続するための一般的なフローは次のようになります。

  1. 新しいローカルデバイスは、Azure AD Connectの構成時に設定したSCPを使用して、Azure ADテナントのフェデレーション情報を検索することにより、即時の参加を試行します。その後、デバイスはSecurity Token Service(STS)サーバーに到達します。認証の試行は失敗し、自動的に同期接続に戻ります。

  2. エラーが発生すると、デバイスはAzure ADからの証明書でuserCertificate属性を更新します。

  3. 次の同期間隔で、Azure AD ConnectはコンピューターオブジェクトをuserCertificate値とともに送信します。デバイスはAzure ADに参加済みとして表示されますが、登録はされていません。同期間隔は構成によって異なる場合があります。デフォルトの間隔は30分です。

  4. GPOからのWindowsのスケジュールされたタスクを使用して、Azure ADへの参加が再試行されます。

  5. オブジェクトは参加済みとしてAzure ADに存在するため、再試行するとデバイスが正常に登録されます。

Windows AutopilotとMicrosoft Intune

この方法では、Azure ADへの登録時にAzure ADデバイスのローカルドメインオブジェクトが作成されます。この組み合わせでは、Azure ADから同期されたマシンは、ローカルのオンプレミスADドメインに作成されることに加えて、Azure AD Joinedと表示されます。

この手順には次のタスクが含まれます。

  1. Azure ADでWindows AutopilotとMicrosoft Intuneをセットアップする:「Intune and Windows Autopilotを使用してハイブリッドAzure ADに参加しているデバイスをデプロイする」(Microsoftドキュメント)を参照してください。

    Intune Connectorのインストーラーは、Microsoft Edgeブラウザーを使用してダウンロードする必要があります。Microsoft Server 2016はEdgeをサポートしていないため、Windows 10を使用してインストーラーをダウンロードし、適切なサーバーにコピーできます。

  2. Azure Portalで適切なユーザーにライセンスを割り当てる :「Azureでライセンスを割り当てるか削除する 」(Microsoft Docs)ライセンスの割り当てには、少なくともEnterpriseおよびMobility + Security(Intune)およびOffice 365のライセンスが含まれている必要があります。

  3. 構成をテストする:Windows AutopilotとMicrosoft Intuneのセットアップが完了したら、次の手順を使用して構成をテストします。

    1. デバイスがローカルドメイン(DNS)を解決できるが、メンバーとして参加していないことを確認します。新しいデバイスがWindows Autopilot Out-of-Box Experience(OOBE)からAzure ADに参加します。

    2. Microsoftでサインインウィンドウで、Azureアカウントと連携しているユーザー名を入力します。サインインのためにOktaにリダイレクトされます。

    3. サインオンプロセスが完了すると、コンピューターはWindows Autopilot OOBEを介してデバイスのセットアップを開始します。これには数分かかる場合があります。

    4. この間、クライアントはMicrosoft IntuneとWindows Autopilotのセットアップの一環として作成されたドメイン参加プロファイルを介してローカルドメインに登録されます。指定した組織単位(OU)にマシンアカウントが作成されます。クライアントマシンもデバイスとしてAzure ADに追加され、Intune MDMに登録されます。

Windows Autopilotとその他のMDM

VMware Workspace ONEまたはAirwatchとWindows Autopilotを使用している場合は、「Azure ADを使用したWindows 10デバイスの登録:Workspace ONE UEM Operational Tutorial」(VMwareドキュメント)を参照してください。

ほかのMDMを使用している場合は、その指示に従います。

次の手順

ハイブリッドAzure AD参加の統合に関するよくある質問

関連項目

Okta Device Trustソリューション