ハイブリッドHybrid Azure AD参加デバイスについて

ハイブリッドAzure AD参加デバイスとは、オンプレミスのActive Directoryに参加し、Azure Active Directory (Azure AD)に登録されているデバイスです。これらのデバイスを使用すると、オンプレミスActive DirectoryとAzure ADの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理でき、ユーザーはAzure Active Directoryを使用して登録済みデバイスにサインインできます。

従来のオンプレミスAD環境を使用しているが、クラウドサービスへのリモートユーザーアクセスを許可する必要性が高まっている組織の場合、表に示すように、Azure AD参加済みデバイスとハイブリッドAzure AD参加済みデバイスでこれらのニーズのバランスをとります。

結合タイプ

セルフサービス登録 企業ネットワークへのアクセスが必要 GPOをサポート

Azure AD Join

はい いいえ Azure AD Domain Services

Hybrid Azure AD Join

はい はい AD Domain Services

Azure ADまたはHybrid Azure AD Joinを実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。

デバイスをハイブリッド参加させる方法

ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。

ADに参加しているデバイスがAzure ADに参加しようとすると、Azure AD Connectで構成したサービス接続ポイント(SCP)を使用して、Azure ADテナント連携資格情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、失敗すると、Azure ADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzure ADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzure ADに参加します。

このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」(Microsoftドキュメント)を参照してください。

OktaがHybrid Azure ADに参加しているデバイスとどのように連携するか

デバイスがハイブリッドAzure ADに参加すると、OktaをIDプロバイダー(IdP)として使用して、これらのデバイスの登録とサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、ユーザーがデバイスをAzure ADに登録できるようにするか、Office 365リソースへのアクセスを許可します。ユーザーは、Microsoft Office 365およびその他のAzure ADリソースにサインインする前に、Oktaで認証します。

次の手順

ハイブリッドAzure AD参加を統合するための前提条件