ハイブリッドHybrid Azure AD参加デバイスについて
ハイブリッドAzure AD参加デバイスとは、オンプレミスのActive Directoryに参加し、Azure Active Directory (Azure AD)に登録されているデバイスです。これらのデバイスを使用すると、オンプレミスActive DirectoryとAzure ADの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure Active Directoryを使用して登録済みデバイスにサインインできます。
従来のオンプレミスAD環境を使用しているが、クラウドサービスへのリモートユーザーアクセスを許可する必要性が高まっている組織の場合、表に示すように、Azure AD参加済みデバイスとハイブリッドAzure AD参加済みデバイスでこれらのニーズのバランスをとります。
結合タイプ |
セルフサービス登録 | 企業ネットワークへのアクセスが必要 | GPOをサポート |
---|---|---|---|
Azure AD Join |
はい | いいえ | Azure AD Domain Services |
Hybrid Azure AD Join |
はい | はい | AD Domain Services |
Azure ADまたはHybrid Azure AD Joinを実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。
デバイスをハイブリッド参加させる方法
ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。
ADに参加しているデバイスがAzure ADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、Azure ADテナント連携資格情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、失敗すると、Azure ADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzure ADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzure ADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」(Microsoftドキュメント)を参照してください。
OktaがHybrid Azure ADに参加しているデバイスとどのように連携するか
デバイスがハイブリッドAzure ADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、ユーザーがデバイスをAzure ADに登録できるようにするか、Office 365リソースへのアクセスを許可します。ユーザーは、Microsoft Office 365およびその他のAzure ADリソースにサインインする前に、Oktaで認証します。