方法:Azure AD Join の実装を計画するHow to: Plan your Azure AD join implementation

Azure AD 参加により、ユーザーの生産性とセキュリティを維持しながら、デバイスをオンプレミスの Active Directory に参加させる必要なしに Azure AD に直接参加させることができます。Azure AD join allows you to join devices directly to Azure AD without the need to join to on-premises Active Directory while keeping your users productive and secure. Azure AD 参加は、大規模デプロイとスコープ付きのデプロイの両方についてエンタープライズ対応になっています。Azure AD join is enterprise-ready for both at-scale and scoped deployments.

この記事では、Azure AD 参加の実装を計画するために必要な情報を提供します。This article provides you with the information you need to plan your Azure AD join implementation.

前提条件Prerequisites

この記事では、Azure Active Directory でのデバイス管理の概要を理解していることを前提としますThis article assumes that you are familiar with the Introduction to device management in Azure Active Directory.

実装の計画Plan your implementation

Azure AD 参加の実装を計画するには、以下を理解する必要があります。To plan your Azure AD join implementation, you should familiarize yourself with:

○ シナリオをレビューするReview your scenarios
○ ID インフラストラクチャをレビューするReview your identity infrastructure
○ デバイス管理を評価するAssess your device management
○ アプリケーションとリソースに関する考慮事項を把握するUnderstand considerations for applications and resources
○ プロビジョニングのオプションを把握するUnderstand your provisioning options
○ 企業の状態ローミングを構成するConfigure enterprise state roaming
○ 条件付きアクセスを構成するConfigure Conditional Access

シナリオをレビューするReview your scenarios

特定のシナリオでは Hybrid Azure AD 参加が望ましい場合がありますが、Azure AD 参加により、Windows を使用するクラウド中心のモデルに移行できます。While Hybrid Azure AD join may be preferred for certain scenarios, Azure AD join enables you to transition towards a cloud-first model with Windows. デバイス管理の最新化とデバイス関連の IT コストの削減を計画している場合は、Azure AD 参加により、これらの目標を実現するための優れた基盤が提供されます。If you are planning to modernize your devices management and reduce device-related IT costs, Azure AD join provides a great foundation towards achieving those objectives.

目標が次の条件と一致する場合は、Azure AD 参加を検討してください。You should consider Azure AD join if your goals align with the following criteria:

  • ユーザー用の生産性スイートとして Microsoft 365 を採用している。You are adopting Microsoft 365 as the productivity suite for your users.
  • クラウド デバイス管理ソリューションを使用してデバイスを管理したい。You want to manage devices with a cloud device management solution.
  • 地理的に分散したユーザーのデバイス プロビジョニングを簡略化したい。You want to simplify device provisioning for geographically distributed users.
  • アプリケーション インフラストラクチャの最新化を計画している。You plan to modernize your application infrastructure.

ID インフラストラクチャをレビューするReview your identity infrastructure

Azure AD 参加は、マネージド環境とフェデレーション環境の両方で動作します。Azure AD join works with both, managed and federated environments.

マネージド環境Managed environment

マネージド環境は、パスワード ハッシュ同期またはパススルー認証のいずれかとシームレス シングル サインオンを使用してデプロイできます。A managed environment can be deployed either through Password Hash Sync or Pass Through Authentication with Seamless Single Sign On.

これらのシナリオでは、フェデレーション サーバーを認証用に構成する必要はありません。These scenarios don't require you to configure a federation server for authentication.

フェデレーション環境Federated environment

フェデレーション環境には、WS-Trust と Ws-Fed の両方のプロトコルをサポートしている ID プロバイダーが必要です。A federated environment should have an identity provider that supports both WS-Trust and WS-Fed protocols:

  • WS-Fed: このプロトコルは、デバイスを Azure AD に参加させるために必要です。WS-Fed: This protocol is required to join a device to Azure AD.
  • WS-Trust: このプロトコルは、Azure AD 参加済みデバイスにサインインするために必要です。WS-Trust: This protocol is required to sign in to an Azure AD joined device.

AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。/adfs/services/trust/2005/usernamemixedWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

ID プロバイダーによってこれらのプロトコルがサポートされていない場合、Azure AD 参加はネイティブには機能しません。If your identity provider does not support these protocols, Azure AD join does not work natively. Windows 10 1809 以降、ユーザーは、Windows 10 への Web サインインによって SAML ベースの ID プロバイダーを使用して Azure AD 参加済みデバイスにサインインできます。Beginning with Windows 10 1809, your users can sign in to an Azure AD joined device with a SAML-based identity provider through web sign-in on Windows 10. 現時点では Web サインインはプレビュー機能であり、運用環境デプロイには推奨されません。Currently, web sign-in is a preview feature and is not recommended for production deployments.

注意

現時点で、Azure AD 参加はプライマリ認証方法として外部認証プロバイダーで構成されている AD FS 2019 では機能しません。Currently, Azure AD join does not work with AD FS 2019 configured with external authentication providers as the primary authentication method. Azure AD 参加ではプライマリ メソッドの既定値として、パスワード認証が設定されます。これにより、このシナリオで認証エラーが発生しますAzure AD join defaults to password authentication as the primary method, which results in authentication failures in this scenario

スマートカードと証明書ベースの認証Smartcards and certificate-based authentication

スマートカードまたは証明書ベースの認証を使用して、Azure AD にデバイスを参加させることはできません。You can't use smartcards or certificate-based authentication to join devices to Azure AD. ただし、AD FS を構成してある場合は、スマートカードを使用して Azure AD 参加済みデバイスにサインインすることができます。However, smartcards can be used to sign in to Azure AD joined devices if you have AD FS configured.

推奨事項: Windows 10 デバイスに対する強力なパスワードなしの認証用に Windows Hello for Business を実装してください。Recommendation: Implement Windows Hello for Business for strong, password-less authentication to Windows 10 devices.

ユーザー構成User configuration

ユーザーを以下の場所に作成する場合:If you create users in your:

  • オンプレミスの Active Directory: Azure AD Connect を使用して Azure AD と同期する必要があります。On-premises Active Directory, you need to synchronize them to Azure AD using Azure AD Connect.
  • Azure AD: 追加のセットアップは不要です。Azure AD, no additional setup is required.

Azure AD の UPN とは異なるオンプレミスの UPN は、Azure AD 参加済みデバイスでサポートされていません。On-premises UPNs that are different from Azure AD UPNs are not supported on Azure AD joined devices. お客様のユーザーがオンプレミスの UPN を使用している場合は、Azure AD 内でプライマリ UPN を使用するように切り替えることを計画してください。If your users use an on-premises UPN, you should plan to switch to using their primary UPN in Azure AD.

デバイス管理を評価するAssess your device management

サポートされているデバイスSupported devices

Azure AD 参加:Azure AD join:

  • Windows 10 デバイスに対してのみ適用されます。Is only applicable to Windows 10 devices.
  • 以前のバージョンの Windows や他のオペレーティング システムには適用されません。Is not applicable to previous versions of Windows or other operating systems. Windows 7/8.1 デバイスを使用している場合は、Windows 10 にアップグレードして Azure AD 参加をデプロイする必要があります。If you have Windows 7/8.1 devices, you must upgrade to Windows 10 to deploy Azure AD join.
  • FIPS モードの TPM のデバイスではサポートされていません。Is not supported on devices with TPM in FIPS mode.

推奨事項: 更新された機能を利用するために、常に最新の Windows 10 リリースを使用してください。Recommendation: Always use the latest Windows 10 release to take advantage of updated features.

管理プラットフォームManagement platform

Azure AD 参加済みデバイスのデバイス管理は、Intune、MDM CSP などの MDM プラットフォームに基づいています。Device management for Azure AD joined devices is based on an MDM platform such as Intune, and MDM CSPs. Windows 10 には、互換性のあるすべての MDM ソリューションで動作する組み込みの MDM エージェントがあります。Windows 10 has a built-in MDM agent that works with all compatible MDM solutions.

注意

グループ ポリシーは、オンプレミスの Active Directory に接続されていないため、Azure AD 参加済みデバイスではサポートされません。Group policies are not supported in Azure AD joined devices as they are not connected to on-premises Active Directory. Azure AD 参加済みデバイスの管理は MDM からのみ可能Management of Azure AD joined devices is only possible through MDM

Azure AD 参加済みデバイスの管理には 2 つのアプローチがあります。There are two approaches for managing Azure AD joined devices:

  • MDM のみ - デバイスは、Intune などの MDM プロバイダーによってのみ管理されます。MDM-only - A device is exclusively managed by an MDM provider like Intune. すべてのポリシーは、MDM の登録プロセスの一環として配信されます。All policies are delivered as part of the MDM enrollment process. Azure AD Premium または EMS のお客様の場合、MDM の登録は、Azure AD 参加の一部である自動化された手順です。For Azure AD Premium or EMS customers, MDM enrollment is an automated step that is part of an Azure AD join.
  • 共同管理 - デバイスは、MDM プロバイダーと SCCM によって管理されます。Co-management - A device is managed by an MDM provider and SCCM. このアプローチでは、SCCM エージェントは、MDM によって管理されるデバイスにインストールされて、特定の側面を管理します。In this approach, the SCCM agent is installed on an MDM-managed device to administer certain aspects.

グループ ポリシーを使用している場合は、MDM 移行分析ツール (MMAT) を使用して MDM ポリシーのパリティを評価します。If you are using group policies, evaluate your MDM policy parity by using the MDM Migration Analysis Tool (MMAT).

サポート対象のポリシーとサポート対象外のポリシーを確認して、グループ ポリシーの代わりに MDM ソリューションを使用できるかどうかを判断します。Review supported and unsupported policies to determine whether you can use an MDM solution instead of Group policies. サポート対象外のポリシーの場合は、以下を検討してください。For unsupported policies, consider the following:

  • Azure AD 参加済デバイスまたはユーザーにサポート対象外のポリシーが必要か?Are the unsupported policies necessary for Azure AD joined devices or users?
  • サポート対象外のポリシーはクラウド主導のデプロイに適用できるか?Are the unsupported policies applicable in a cloud driven deployment?

MDM ソリューションを Azure AD アプリ ギャラリーから入手できない場合は、「Azure Active Directory integration with MDM」(Azure Active Directory と MDM の統合) に概説されているプロセスに従って追加できます。If your MDM solution is not available through the Azure AD app gallery, you can add it following the process outlined in Azure Active Directory integration with MDM.

共同管理では、SCCM を使用してデバイスの特定の側面を管理しながら、MDM プラットフォームを通じてポリシーを配信できます。Through co-management, you can use SCCM to manage certain aspects of your devices while policies are delivered through your MDM platform. Microsoft Intune では、SCCM との共同管理を行うことができます。Microsoft Intune enables co-management with SCCM. 詳しくは、「Windows 10 デバイスの共同管理」をご覧ください。For more information, see Co-management for Windows 10 devices. Intune 以外の MDM 製品を使用する場合は、適用可能な共同管理のシナリオについて MDM のプロバイダーにお問い合わせください。If you use an MDM product other than Intune, please check with your MDM provider on applicable co-management scenarios.

推奨事項: Azure AD 参加済みデバイスについては MDM のみの管理をご検討ください。Recommendation: Consider MDM only management for Azure AD joined devices.

アプリケーションとリソースに関する考慮事項を把握するUnderstand considerations for applications and resources

ユーザー エクスペリエンスとアクセスの制御を向上させるために、アプリケーションをオンプレミスからクラウドに移行することをお勧めします。We recommend migrating applications from on-premises to cloud for a better user experience and access control. ただし、Azure AD 参加済みデバイスでは、オンプレミスとクラウドの両方のアプリケーションにシームレスにアクセスできます。However, Azure AD joined devices can seamlessly provide access to both, on-premises and cloud applications. 詳しくは、「How SSO to on-premises resources works on Azure AD joined devices」(Azure AD 参加済みデバイス上でのオンプレミスのリソースへの SSO の動作) をご覧ください。For more information, see How SSO to on-premises resources works on Azure AD joined devices.

以下のセクションでは、さまざまな種類のアプリケーションとリソースに関する考慮事項を示します。The following sections list considerations for different types of applications and resources.

クラウドベース アプリケーションCloud-based applications

Azure AD アプリ ギャラリーにアプリケーションが追加されている場合、ユーザーは Azure AD 参加済みデバイスから SSO を取得できます。If an application is added to Azure AD app gallery, users get SSO through Azure AD joined devices. 追加の構成は不要です。No additional configuration is required. ユーザーは Microsoft Edge と Chrome の両方のブラウザーで SSO を取得できます。Users get SSO on both, Microsoft Edge and Chrome browsers. Chrome の場合は、Windows 10 アカウントの拡張機能をデプロイする必要があります。For Chrome, you need to deploy the Windows 10 Accounts extension.

すべての Win32 アプリケーションが次のようになります。All Win32 applications that:

  • トークン要求を Web Account Manager (WAM) に依存する場合は、SSO も Azure AD 参加済みデバイス上で取得します。Rely on Web Account Manager (WAM) for token requests also get SSO on Azure AD joined devices.
  • WAM に依存しない場合は、ユーザーに認証を求めるプロンプトが表示されることがあります。Don't rely on WAM may prompt users for authentication.

オンプレミスの Web アプリケーションOn-premises web applications

アプリがカスタム ビルドであるかオンプレミスでホストされている場合は、以下の目的でそれらのアプリをブラウザーの信頼済みサイトに追加する必要があります。If your apps are custom built and/or hosted on-premises, you need to add them to your browser’s trusted sites to:

  • Windows 統合認証を動作させるEnable Windows integrated authentication to work
  • プロンプトなしの SSO エクスペリエンスをユーザーに提供する。Provide a no-prompt SSO experience to users.

AD FS を使用する場合は、「AD FS によるシングル サインオンを確認および管理する」をご覧ください。If you use AD FS, see Verify and manage single sign-on with AD FS.

推奨事項: エクスペリエンスを向上させるために、クラウド (たとえば、Azure) にホストし、Azure AD と統合することをご検討ください。Recommendation: Consider hosting in the cloud (for example, Azure) and integrating with Azure AD for a better experience.

従来のプロトコルに依存するオンプレミスのアプリケーションOn-premises applications relying on legacy protocols

デバイスがドメイン コントローラーへのアクセス権を持つ場合、ユーザーは Azure AD 参加済みデバイスから SSO を取得します。Users get SSO from Azure AD joined devices if the device has access to a domain controller.

推奨事項: Azure AD アプリのプロキシをデプロイして、これらのアプリケーションへのアクセスをセキュリティで保護できるようにします。Recommendation: Deploy Azure AD App proxy to enable secure access for these applications.

オンプレミスのネットワーク共有On-premises network shares

デバイスにオンプレミスのドメイン コントローラーへのアクセス権がある場合、ユーザーには Azure AD 参加済みデバイスからの SSO があります。Your users have SSO from Azure AD joined devices when a device has access to an on-premises domain controller.

プリンターPrinters

プリンターの場合は、Azure AD 参加済みデバイス上でプリンターを検出するためにハイブリッド クラウド印刷をデプロイする必要があります。For printers, you need to deploy hybrid cloud print for discovering printers on Azure AD joined devices.

プリンターは、クラウドのみの環境内では自動的に検出できませんが、ユーザーはプリンターの UNC パスを使用してそれらを直接追加することもできます。While printers can't be automatically discovered in a cloud only environment, your users can also use the printers’ UNC path to directly add them.

マシン認証に依存するオンプレミスのアプリケーションOn-premises applications relying on machine authentication

Azure AD 参加済みデバイスでは、マシンの認証に依存するオンプレミスのアプリケーションはサポートされていません。Azure AD joined devices don't support on-premises applications relying on machine authentication.

推奨事項: これらのアプリケーションを廃止し、最新の代替アプリケーションに移行することをご検討ください。Recommendation: Consider retiring these applications and moving to their modern alternatives.

リモート デスクトップ サービスRemote Desktop Services

Azure AD 参加済みデバイスにリモート デスクトップ接続を行うには、ホスト マシンが Azure AD 参加済みまたは Hybrid Azure AD 参加済みである必要があります。Remote desktop connection to an Azure AD joined devices requires the host machine to be either Azure AD joined or Hybrid Azure AD joined. 参加していないデバイスまたは Windows 以外のデバイスからのリモート デスクトップはサポートされていません。Remote desktop from an unjoined or non-Windows device is not supported. 詳しくは、Azure AD に参加しているリモート PC への接続に関する記事をご覧くださいFor more information, see Connect to remote Azure AD joined pc

プロビジョニングのオプションを把握するUnderstand your provisioning options

次のアプローチを使用して Azure AD 参加をプロビジョニングできます。You can provision Azure AD join using the following approaches:

  • OOBE/設定内でのセルフサービス - セルフサービス モードでは、ユーザーは Windows Out of Box Experience (OOBE) の実行中に、または Windows 設定から、Azure AD 参加のプロセスを実行します。Self-service in OOBE/Settings - In the self-service mode, users go through the Azure AD join process either during Windows Out of Box Experience (OOBE) or from Windows Settings. 詳しくは、「職場のデバイスを組織のネットワークに参加させる」をご覧ください。For more information, see Join your work device to your organization's network.
  • Windows Autopilot - Windows Autopilot により、Azure AD 参加を実行する OOBE のエクスペリエンスを円滑にするためにデバイスの事前構成を行うことができます。Windows Autopilot - Windows Autopilot enables pre-configuration of devices for a smoother experience in OOBE to perform an Azure AD join. 詳しくは、「Windows Autopilot の概要」をご覧ください。For more information, see the Overview of Windows Autopilot.
  • 一括登録 - 一括登録により、一括プロビジョニング ツールを使用してデバイスを構成することで、管理者主導の Azure AD 参加が可能になります。Bulk enrollment - Bulk enrollment enables an administrator driven Azure AD join by using a bulk provisioning tool to configure devices. 詳しくは、「Windows デバイスの一括登録」をご覧ください。For more information, see Bulk enrollment for Windows devices.

この 3 つのアプローチの比較を次に示しますHere’s a comparison of these three approaches

セルフサービス セットアップSelf-service setup Windows AutopilotWindows Autopilot 一括登録Bulk enrollment
セットアップにユーザーの操作が必要Require user interaction to set up はいYes はいYes いいえNo
IT 部門の作業が必要Require IT effort いいえNo 可能Yes はいYes
適用可能なフローApplicable flows OOBE と設定OOBE & Settings OOBE のみOOBE only OOBE のみOOBE only
プライマリ ユーザーに対するローカル管理者権限Local admin rights to primary user 既定では、はいYes, by default 構成可能Configurable いいえNo
デバイス OEM のサポートが必要Require device OEM support いいえNo はいYes いいえNo
サポートされているバージョンSupported versions 1511+1511+ 1709+1709+ 1703+1703+

上記の表を確認し、どのアプローチを採用するかについて次の考慮事項を検討して、1 つまたは複数のデプロイ アプローチを選択します。Choose your deployment approach or approaches by reviewing the table above and reviewing the following considerations for adopting either approach:

  • ユーザーは技術的な知識に精通していてセットアップを自分で実行できるか?Are your users tech savvy to go through the setup themselves?
    • これらのユーザーにはセルフサービスが最適です。Self-service can work best for these users. ユーザー エクスペリエンスを強化するために Windows Autopilot をご検討ください。Consider Windows Autopilot to enhance the user experience.
  • ユーザーはリモートと企業プレミス内のどちらにいるか?Are your users remote or within corporate premises?
    • 手間をかけずにセットアップするために、リモート ユーザーにはセルフサービスまたは Autopilot が最適です。Self-service or Autopilot work best for remote users for a hassle-free setup.
  • ユーザー主導の構成と管理者が管理する構成のどちらを優先するか?Do you prefer a user driven or an admin-managed configuration?
    • 管理者主導のデプロイで、ユーザーに渡す前にデバイスをセットアップするには、一括登録が適しています。Bulk enrollment works better for admin driven deployment to set up devices before handing over to users.
  • 1 社か 2 社の OEM からデバイスを購入するか、それとも広範な OEM のデバイスを使用するか?Do you purchase devices from 1-2 OEMS, or do you have a wide distribution of OEM devices?
    • Autopilot もサポートしている限られた OEM から購入する場合は、Autopilot とのより緊密な統合を活用できます。If purchasing from limited OEMs who also support Autopilot, you can benefit from tighter integration with Autopilot.

デバイス設定を構成するConfigure your device settings

Azure portal では、組織内の Azure AD 参加済みデバイスのデプロイを制御することができます。The Azure portal allows you to control the deployment of Azure AD joined devices in your organization. 関連設定を構成するには、 [Azure Active Directory] ページで Devices > Device settings を選択します。To configure the related settings, on the Azure Active Directory page, select Devices > Device settings.

ユーザーはデバイスを Azure AD に参加させることができますUsers may join devices to Azure AD

デプロイのスコープと、どのユーザーが Azure AD 参加済みデバイスをセットアップできるようにするかに基づいて、このオプションを [すべて] または [選択済み] に設定します。Set this option to All or Selected based on the scope of your deployment and who you want to allow to setup an Azure AD joined device.

ユーザーはデバイスを Azure AD に参加させることができます

Azure AD 参加済みデバイス上の追加のローカル管理者Additional local administrators on Azure AD joined devices

[選択済み] を選択し、すべての Azure AD 参加済みデバイス上のローカル管理者のグループに追加するユーザーを選択します。Choose Selected and selects the users you want to add to the local administrators’ group on all Azure AD joined devices.

Azure AD 参加済みデバイス上の追加のローカル管理者

デバイスを参加させるには多要素認証が必要Require multi-factor Auth to join devices

デバイスを Azure AD に参加させるときにユーザーに MFA の実行を要求する場合は、 [はい] を選択します。Select “Yes if you require users to perform MFA while joining devices to Azure AD. ユーザーが MFA を使用して Azure AD にデバイスを参加させる場合は、デバイス自体が第 2 要素になります。For the users joining devices to Azure AD using MFA, the device itself becomes a 2nd factor.

デバイスを参加させるには多要素認証が必要

モビリティ設定の構成Configure your mobility settings

モビリティ設定を構成するには、最初に MDM プロバイダーを追加することが必要な場合があります。Before you can configure your mobility settings, you may have to add an MDM provider, first.

MDM プロバイダーを追加するには:To add an MDM provider:

  1. [Azure Active Directory] ページの [管理] セクションで、[Mobility (MDM and MAM)] をクリックします。On the Azure Active Directory page, in the Manage section, click Mobility (MDM and MAM).

  2. [アプリケーションの追加] をクリックします。Click Add application.

  3. 一覧から、使用する MDM プロバイダーを選択します。Select your MDM provider from the list.

    アプリケーションを追加する

MDM プロバイダーを選択して関連設定を構成します。Select your MDM provider to configure the related settings.

MDM ユーザー スコープMDM user scope

デプロイのスコープに基づいて [一部] または [すべて] を選択します。Select Some or All based on the scope of your deployment.

MDM ユーザー スコープ

スコープに基づいて、次のいずれかのようになります。Based on your scope, one of the following happens:

  • ユーザーが MDM のスコープ内にいる:Azure AD Premium のサブスクリプションがある場合は、Azure AD 参加と共に MDM の登録が自動化されます。User is in MDM scope: If you have an Azure AD Premium subscription, MDM enrollment is automated along with Azure AD join. スコープ内のすべてのユーザーには、MDM に対する適切なライセンスが必要です。All scoped users must have an appropriate license for your MDM. このシナリオで MDM の登録に失敗した場合は、Azure AD 参加もロールバックされます。If MDM enrollment fails in this scenario, Azure AD join will also be rolled back.
  • ユーザーが MDM のスコープ内にいない:ユーザーが MDM のスコープ内にいない場合、Azure AD 参加は MDM 登録なしで完了します。User is not in MDM scope: If users are not in MDM scope, Azure AD join completes without any MDM enrollment. その結果、アンマネージド デバイスが生じます。This results in an unmanaged device.

MDM URLMDM URLs

MDM の構成に関連する URL は 3 つあります。There are three URLs that are related to your MDM configuration:

  • MDM 使用条件 URLMDM terms of use URL
  • MDM 探索 URLMDM discovery URL
  • MDM 準拠 URLMDM compliance URL

アプリケーションを追加する

各 URL には、定義済みの既定値があります。Each URL has a predefined default value. これらのフィールドが空の場合、詳しくは MDM プロバイダーにお問い合わせください。If these fields are empty, please contact your MDM provider for more information.

MAM 設定MAM settings

MAM は、Azure AD 参加に適用されません。MAM does not apply to Azure AD join.

企業の状態ローミングを構成するConfigure enterprise state roaming

Azure AD に対して状態ローミングを有効にして、ユーザーがデバイス間で設定を同期できるようにするには、「Azure Active Directory の Enterprise State Roaming を有効にする」をご覧ください。If you want to enable state roaming to Azure AD so that users can sync their settings across devices, see Enable Enterprise State Roaming in Azure Active Directory.

推奨事項:この設定は、ハイブリッド Azure AD 参加済みデバイスに対しても有効にしてください。Recommendation: Enable this setting even for hybrid Azure AD joined devices.

条件付きアクセスを構成するConfigure Conditional Access

Azure AD 参加済みデバイスに対して MDM プロバイダーが構成されている場合、プロバイダーは、デバイスが管理下に入るとすぐにデバイスに準拠のフラグを設定します。If you have an MDM provider configured for your Azure AD joined devices, the provider flags the device as compliant as soon as the device is under management.

準拠デバイス

この実装を使用して、条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求することができます。You can use this implementation to require managed devices for cloud app access with Conditional Access.

次の手順Next steps