ハイブリッドAzure AD参加デバイスについて
ハイブリッドAzure AD参加デバイスとは、オンプレミスのActive Directory(AD)に参加し、Azure ADに登録されているデバイスです。これらのデバイスを使用すると、オンプレミスADとAzure ADの両方の機能を利用できます。ハイブリッドAzure AD参加を使用すると、オンプレミスのActive Directoryに参加している職場のデバイスを一元管理できます。ユーザーはAzure ADを使用して登録済みデバイスにサインインできます。
従来のオンプレミスAD環境を使用している一部の組織では、クラウドサービスへのリモートユーザーアクセスを許可するニーズがますます高まっています。Azure AD参加済みデバイスとハイブリッドAzure AD参加済みデバイスは、次の表に示すように、このようなニーズのバランスをとります。
|
結合タイプ |
Self Service Registration(セルフサービス登録) | 企業ネットワークへのアクセスが必要 | GPOをサポート |
|---|---|---|---|
|
Azure AD Join |
はい | いいえ | Azure AD Domain Services |
|
Hybrid Azure AD Join |
はい | はい | AD Domain Services |
Azure ADまたはHybrid Azure AD Joinを実装すると、Oktaと統合してフェデレーションおよび認証サービスを提供できます。
ハイブリッドデバイスを参加させる方法
ADに参加しているデバイスをAzure ADに参加させるには、ハイブリッドAzure AD参加用にAzure AD Connectをセットアップする必要があります。さらに、ADに参加しているデバイスをAzure ADに自動登録するGPOも作成する必要があります。
Azure ADに参加しようとするAD参加デバイスは、Azure AD Connectで構成されたサービス接続ポイント(SCP)を使用して、Azure ADテナント情報を検索します。ハイブリッド参加を試みますが、コンピューターオブジェクトのuserCertificate属性がAzure ADとまだ同期されていないため、失敗します。ただし、失敗すると、Azure ADからの証明書を使用してデバイスの属性が更新されます。Azure AD Connectは、次の同期間隔でこの属性をAzure ADに同期します。次回、GPOでスケジュールされたタスクがデバイスへのハイブリッド参加を再試行すると、タスクは成功し、デバイスはAzure ADに参加します。
このプロセスには数時間かかる場合があります。プロセス中に問題が発生した場合は、「Troubleshooting hybrid Azure Active Directory joined devices(ハイブリッドAzure Active Directoryに参加しているデバイスのトラブルシューティング)」(Microsoftドキュメント)を参照してください。
OktaとハイブリッドAzure AD参加デバイスの連携
デバイスをAzure ADにハイブリッド参加させたら、OktaをIDプロバイダー(IdP)として使用してデバイスでの登録やサインオンプロセスを保護できます。Oktaは、ユーザーのID情報を確認してから、Azure ADへのデバイス登録やOffice 365リソースへのアクセスを許可します。ユーザーは、Oktaで認証して初めて、Microsoft Office 365などのAzure ADリソースにサインインできるようになります。