Microsoft Entra IDのハイブリッド参加を構成する

OktaがMicrosoft Entra ID Office 365ドメインと連携認証し、オンプレミスADがAD Agentを介してOktaに接続されたら、ハイブリッド参加の構成を開始できます。

この構成を実現する方法は複数あります。このトピックでは、以下の方法について説明します。

Microsoft Entra ID Connectとグループポリシーオブジェクト
Windows AutopilotとMicrosoft Intune
Windows Autopilotとその他のMDM

これらの方法と結果の参加タイプについて

Windows AutopilotとMDMの組み合わせでは、マシンはハイブリッドMicrosoft Entra ID参加ではなく、Microsoft Entra ID参加としてMicrosoft Entra IDに登録されます。これは、マシンが最初にクラウドとMicrosoft Entra IDを介して参加していたためです。

マシンをハイブリッドMicrosoft Entra ID参加として Microsoft Entra IDに登録する場合は、Microsoft Entra ID ConnectとGPOメソッドも設定する必要があります。両方の方法を構成すると、ローカルのオンプレミスGPOがマシンアカウントに適用されます。次のMicrosoft Entra ID Connectの同期では、Microsoft Entra IDに新しいエントリが表示されます。次に、Microsoft Entra IDに新しいデバイスの2つのレコード（Microsoft Entra ID参加とハイブリッドAD参加）が表示されます。どちらも有効です。

2つの参加タイプの違いについては、「Microsoft Entra ID参加デバイスとは」と「ハイブリッドMicrosoft Entra ID参加デバイスとは」を参照してください。（Microsoftドキュメント）を参照してください。

この手順を開始する

Microsoft Entra ID Connectおよびグループポリシーオブジェクト

この組み合わせにより、ローカルドメインマシンをMicrosoft Entra IDインスタンスと同期できます。ローカルADから同期されたマシンは、Microsoft Entra IDにハイブリッドMicrosoft Entra ID参加として表示されます。

この手順には次のタスクが含まれます。

Microsoft Entra ID Connectをインストールする：Microsoft Entra ID Connectをダウンロードして、適切なサーバー（できればドメインコントローラー）にインストールします。「Microsoft Entra IDConnectとAzure AD Connect Healthのインストールロードマップ」（Microsoftドキュメント）を参照してください。

このサービスのエンタープライズ管理者権限を持つADで、作成するか既存のサービスアカウントを使用します。
ハイブリッド参加用にMicrosoft Entra ID Connectを構成する：「ハイブリッド参加用にAzure AD Connectを構成する」（Microsoftドキュメント）を参照してください。

サービス接続ポイント（SCP）構成で、Authentication Service（認証サービス）を登録済みのMicrosoft 365ドメインとフェデレーションしたOkta orgに設定してください。
デバイスのグループの自動登録を構成する：ローカルドメインデバイスがハイブリッドに参加しているマシンとしてMicrosoft Entra ID Connectを介して登録できるようにグループポリシーを構成します。

「グループポリシーを使用してWindows 10デバイスを自動的に登録する」（Microsoftドキュメント）を参照してください。

ローカルデバイスをMicrosoft Entra IDに参加させる方法

Microsoft Entra ID Connectと適切なGPOを構成すると、ローカルデバイスを接続するための一般的なフローは次のようになります。

新しいローカルデバイスは、Microsoft Entra ID Connectの構成時に設定したSCPを使用して、 Microsoft Entra IDテナントのフェデレーション情報を検索することにより、即時の参加を試行します。その後、デバイスはSecurity Token Service（STS）サーバーに到達します。認証の試行は失敗し、自動的に同期接続に戻ります。
エラーが発生すると、デバイスはMicrosoft Entra IDからの証明書でuserCertificate属性を更新します。
次の同期間隔で、Microsoft Entra ID ConnectはコンピューターオブジェクトをuserCertificate値とともに送信します。デバイスはMicrosoft Entra IDに参加済みとして表示されますが、登録されていません。同期間隔は構成によって異なる場合があります。デフォルトの間隔は30分です。
GPOからのWindowsのスケジュールされたタスクを使用して、Microsoft Entra IDへの参加が再試行されます。
オブジェクトは参加済みとしてMicrosoft Entra IDに存在するため、再試行するとデバイスが正常に登録されます。

Windows AutopilotとMicrosoft Intune

この方法では、Microsoft Entra IDを使って登録すると、Microsoft Entra IDデバイスのローカルドメインオブジェクトが作成されます。この組み合わせでは、Microsoft Entra IDから同期されたマシンは、ローカルオンプレミスADドメインに作成されるだけでなく、Microsoft Entra IDにMicrosoft Entra ID参加済みとして表示されます。

この手順には次のタスクが含まれます。

Microsoft Entra IDでWindows AutopilotとMicrosoft Intuneをセットアップする：「Intune and Windows Autopilotを使用してハイブリッドMicrosoft Entra IDに参加しているデバイスをデプロイする」（Microsoftドキュメント）を参照してください。

Intune Connectorのインストーラーは、Microsoft Edgeブラウザーを使用してダウンロードする必要があります。Microsoft Server 2016はEdgeをサポートしていないため、Windows 10を使用してインストーラーをダウンロードし、適切なサーバーにコピーできます。
Azure Portalで適切なユーザーにライセンスを割り当てる：「Azureでライセンスを割り当てるか削除する」（Microsoft Docs）ライセンスの割り当てには、少なくともEnterpriseおよびMobility + Security（Intune）およびOffice 365のライセンスが含まれている必要があります。
構成をテストする：Windows AutopilotとMicrosoft Intuneのセットアップが完了したら、次の手順を使用して構成をテストします。
1. デバイスがローカルドメイン（DNS）を解決できるが、メンバーとして参加していないことを確認します。新しいデバイスがWindows Autopilot Out-of-Box Experience（OOBE）からMicrosoft Entra IDに参加します。
2. Microsoftでサインインウィンドウで、Azureアカウントと連携しているユーザー名を入力します。サインインのためにOktaにリダイレクトされます。
3. サインオンプロセスが完了すると、コンピューターはWindows Autopilot OOBEを介してデバイスのセットアップを開始します。これには数分かかる場合があります。
4. この間、クライアントはMicrosoft IntuneとWindows Autopilotのセットアップの一環として作成されたドメイン参加プロファイルを介してローカルドメインに登録されます。指定した組織単位（OU）にマシンアカウントが作成されます。クライアントマシンもデバイスとしてMicrosoft Entra IDに追加され、Intune MDMに登録されます。

Windows Autopilotとその他のMDM

VMware Workspace ONEまたはAirwatchとWindows Autopilotを使用している場合は、「Microsoft Entra IDを使用したWindows 10デバイスの登録：Workspace ONE UEM Operational Tutorial」（VMwareドキュメント）を参照してください。

ほかのMDMを使用している場合は、その指示に従います。

次の手順

ハイブリッドMicrosoft Entra ID参加の統合に関するよくある質問