チュートリアル:フェデレーション ドメイン用のハイブリッド Azure Active Directory 参加の構成Tutorial: Configure hybrid Azure Active Directory join for federated domains

組織内のユーザーと同様、デバイスは保護対象となる主要なアイデンティティです。Like a user in your organization, a device is a core identity you want to protect. デバイスの ID を使用して、いつでもどこからでもリソースを保護できます。You can use a device's identity to protect your resources at any time and from any location. この目標は、次のいずれかの方法を使用して、Azure Active Directory (Azure AD) にデバイス ID を取り込み、管理することで達成できます。You can accomplish this goal by bringing device identities and managing them in Azure Active Directory (Azure AD) by using one of the following methods:

  • Azure AD 参加Azure AD join
  • ハイブリッド Azure AD 参加Hybrid Azure AD join
  • Azure AD の登録Azure AD registration

Azure AD に自分のデバイスを取り込んで、クラウドとオンプレミスのリソースでのシングル サインオン (SSO) を実現することで、ユーザーの生産性を最大化できます。Bringing your devices to Azure AD maximizes user productivity through single sign-on (SSO) across your cloud and on-premises resources. 同時に、条件付きアクセスを使用して、クラウドとオンプレミスのリソースへのアクセスを保護できます。You can secure access to your cloud and on-premises resources with Conditional Access at the same time.

フェデレーション環境には、以下の要件をサポートする ID プロバイダーが必要です。A federated environment should have an identity provider that supports the following requirements. Active Directory フェデレーション サービス (AD FS) を使用しているフェデレーション環境がある場合は、以下の要件は既にサポートされています。If you have a federated environment using Active Directory Federation Services (AD FS), then the below requirements are already supported.

  • WIAORMULTIAUTHN 要求: この要求は、Windows ダウンレベル デバイスに対してハイブリッド Azure AD 参加を行うために必要です。WIAORMULTIAUTHN claim: This claim is required to do hybrid Azure AD join for Windows down-level devices.
  • WS-Trust プロトコル: このプロトコルは、Windows の現在のハイブリッド Azure AD 参加デバイスを Azure AD で認証するために必要です。WS-Trust protocol: This protocol is required to authenticate Windows current hybrid Azure AD joined devices with Azure AD. AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。/adfs/services/trust/2005/windowstransportWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransportadfs/services/trust/13/windowstransport はどちらも、イントラネットに接続するエンドポイントとしてのみ有効にする必要があります。Web アプリケーション プロキシを介してエクストラネットに接続するエンドポイントとしては公開しないでください。Both adfs/services/trust/2005/windowstransport and adfs/services/trust/13/windowstransport should be enabled as intranet facing endpoints only and must NOT be exposed as extranet facing endpoints through the Web Application Proxy. WS-Trust WIndows エンドポイントを無効にする方法の詳細については、プロキシの WS-Trust Windows エンドポイントを無効にする方法に関するセクションを参照してください。To learn more on how to disable WS-Trust Windows endpoints, see Disable WS-Trust Windows endpoints on the proxy. どのエンドポイントが有効になっているかは、AD FS 管理コンソールの [サービス] > [エンドポイント] で確認できます。You can see what endpoints are enabled through the AD FS management console under Service > Endpoints.

このチュートリアルでは、AD FS を使用してフェデレーション環境で Active Directory ドメイン参加済みコンピューター デバイスのハイブリッド Azure AD 参加を構成する方法について説明します。In this tutorial, you learn how to configure hybrid Azure AD join for Active Directory domain-joined computers devices in a federated environment by using AD FS.

学習内容は次のとおりです。You learn how to:

  • ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join
  • ダウンレベルの Windows デバイスの有効化Enable Windows downlevel devices
  • 登録の確認Verify the registration
  • トラブルシューティングTroubleshoot

前提条件Prerequisites

このチュートリアルは、次の記事を理解していることを前提とします。This tutorial assumes that you're familiar with these articles:

このチュートリアルのシナリオを構成するための要件を次に示します。To configure the scenario in this tutorial, you need:

  • Windows Server 2012 R2 と AD FSWindows Server 2012 R2 with AD FS
  • Azure AD Connect バージョン 1.1.819.0 以降Azure AD Connect version 1.1.819.0 or later

バージョン 1.1.819.0 以降の Azure AD Connect には、ハイブリッド Azure AD 参加を構成するためのウィザードが用意されています。Beginning with version 1.1.819.0, Azure AD Connect includes a wizard that you can use to configure hybrid Azure AD join. このウィザードを使用すると、構成プロセスを大幅に簡略化できます。The wizard significantly simplifies the configuration process. 関連するウィザードを使用すると、次の操作を実行できます。The related wizard:

  • デバイス登録のためのサービス接続ポイント (SCP) を構成するConfigures the service connection points (SCPs) for device registration
  • Azure AD 証明書利用者の信頼をバックアップするBacks up your existing Azure AD relying party trust
  • Azure AD 信頼のクレーム規則を更新するUpdates the claim rules in your Azure AD trust

この記事の構成手順は、Azure AD Connect のウィザードの使用に基づいています。The configuration steps in this article are based on using the Azure AD Connect wizard. 以前のバージョンの Azure AD Connect がインストールされている場合は、このウィザードを使用するために 1.1.819 以降にアップグレードする必要があります。If you have an earlier version of Azure AD Connect installed, you must upgrade it to 1.1.819 or later to use the wizard. Azure AD Connect の最新バージョンをインストールすることができない場合は、ハイブリッド Azure AD 参加を手動で構成する方法に関するページを参照してください。If installing the latest version of Azure AD Connect isn't an option for you, see how to manually configure hybrid Azure AD join.

ハイブリッド Azure AD 参加では、デバイスが組織のネットワーク内から次の Microsoft リソースにアクセスできる必要があります。Hybrid Azure AD join requires devices to have access to the following Microsoft resources from inside your organization's network:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • 組織のセキュリティ トークン サービス (STS) (フェデレーション ドメインの場合)Your organization's Security Token Service (STS) (For federated domains)
  • https://autologon.microsoftazuread-sso.com (シームレス SSO を使用しているか、使用する予定の場合)https://autologon.microsoftazuread-sso.com (If you use or plan to use seamless SSO)

Windows 10 1803 以降で、AD FS を使用したフェデレーション環境の即時的なハイブリッド Azure AD 参加が失敗した場合は、Azure AD Connect を利用して Azure AD のコンピューター オブジェクトを同期させます。これは後で、ハイブリッド Azure AD 参加のデバイス登録を完了するために使用されます。Beginning with Windows 10 1803, if the instantaneous hybrid Azure AD join for a federated environment by using AD FS fails, we rely on Azure AD Connect to sync the computer object in Azure AD that's subsequently used to complete the device registration for hybrid Azure AD join. Azure AD Connect で、ハイブリッド Azure AD 参加済みにするデバイスのコンピュータ オブジェクトを Azure AD に対して同期済みであることを確認します。Verify that Azure AD Connect has synced the computer objects of the devices you want to be hybrid Azure AD joined to Azure AD. コンピューター オブジェクトが特定の組織単位 (OU) に属している場合、これらの OU も、Azure AD Connect で同期するよう構成する必要があります。If the computer objects belong to specific organizational units (OUs), you must also configure the OUs to sync in Azure AD Connect. Azure AD Connect を使用してコンピューター オブジェクトを同期する方法の詳細については、Azure AD Connect を使用したフィルタリングの構成に関する記事を参照してください。To learn more about how to sync computer objects by using Azure AD Connect, see Configure filtering by using Azure AD Connect.

組織が送信プロキシ経由でのインターネットへのアクセスを必要とする場合、Microsoft では、Windows 10 コンピューターを Azure AD にデバイス登録できるように Web プロキシ自動発見 (WPAD) を実装することを推奨しています。If your organization requires access to the internet via an outbound proxy, Microsoft recommends implementing Web Proxy Auto-Discovery (WPAD) to enable Windows 10 computers for device registration with Azure AD. WPAD の構成と管理で問題が発生した場合は、自動検出のトラブルシューティングに関する記事を参照してください。If you encounter issues configuring and managing WPAD, see Troubleshoot automatic detection.

WPAD を使用せずに自分のコンピューター上でプロキシ設定を構成する場合は、Windows 10 1709 以降で実行できます。If you don't use WPAD and want to configure proxy settings on your computer, you can do so beginning with Windows 10 1709. 詳細については、グループ ポリシー オブジェクト (GPO) を使用した WinHTTP 設定の構成に関する記事を参照してください。For more information, see Configure WinHTTP settings by using a group policy object (GPO).

注意

WinHTTP 設定を使用して自分のコンピューター上でプロキシ設定を構成すると、構成されたプロキシに接続できないコンピューターは、インターネットに接続できなくなります。If you configure proxy settings on your computer by using WinHTTP settings, any computers that can't connect to the configured proxy will fail to connect to the internet.

組織が認証された送信プロキシ経由でのインターネットへのアクセスを必要とする場合、お使いの Windows 10 コンピューターが送信プロキシに対して正常に認証されることを確認する必要があります。If your organization requires access to the internet via an authenticated outbound proxy, you must make sure that your Windows 10 computers can successfully authenticate to the outbound proxy. Windows 10 コンピューターではマシン コンテキストを使用してデバイス登録が実行されるため、マシン コンテキストを使用して送信プロキシ認証を構成する必要があります。Because Windows 10 computers run device registration by using machine context, you must configure outbound proxy authentication by using machine context. 構成要件については、送信プロキシ プロバイダーに確認してください。Follow up with your outbound proxy provider on the configuration requirements.

デバイスがシステム アカウントで上記の Microsoft リソースにアクセスできるかどうかを確認するには、「デバイス登録接続のテスト」スクリプトを使用できます。To verify if the device is able to access the above Microsoft resources under the system account, you can use Test Device Registration Connectivity script.

ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成するには、次のものが必要です。To configure a hybrid Azure AD join by using Azure AD Connect, you need:

  • Azure AD テナントの全体管理者の資格情報The credentials of a global administrator for your Azure AD tenant
  • 各フォレストのエンタープライズ管理者の資格情報The enterprise administrator credentials for each of the forests
  • AD FS 管理者の資格情報The credentials of your AD FS administrator

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成するには:To configure a hybrid Azure AD join by using Azure AD Connect:

  1. Azure AD Connect を起動し、 [構成] を選択します。Start Azure AD Connect, and then select Configure.

    ようこそ

  2. [追加のタスク] ページで、 [デバイス オプションの構成] を選択し、 [次へ] を選択します。On the Additional tasks page, select Configure device options, and then select Next.

    追加のタスク

  3. [概要] ページで [次へ] を選択します。On the Overview page, select Next.

    概要

  4. [Azure AD に接続] ページで、Azure AD テナントの全体管理者の資格情報を入力し、 [次へ] を選択します。On the Connect to Azure AD page, enter the credentials of a global administrator for your Azure AD tenant, and then select Next.

    Azure への接続

  5. [デバイス オプション] ページで、 [ハイブリッド Azure AD 参加の構成] を選択し、 [次へ] を選択します。On the Device options page, select Configure Hybrid Azure AD join, and then select Next.

    デバイス オプション

  6. [SCP] ページで、次の手順を実行し、 [次へ] を選択します。On the SCP page, complete the following steps, and then select Next:

    SCP

    1. フォレストを選択します。Select the forest.
    2. 認証サービスを選択します。Select the authentication service. 組織が Windows 10 クライアントのみを使用していて、ユーザーがコンピューターまたはデバイスの同期を構成済みか組織でシームレス SSO が使用されている場合を除き、 [AD FS サーバー] を選択する必要があります。You must select AD FS server unless your organization has exclusively Windows 10 clients and you have configured computer/device sync, or your organization uses seamless SSO.
    3. [追加] を選択して、エンタープライズ管理者の資格情報を入力します。Select Add to enter the enterprise administrator credentials.
  7. [デバイスのオペレーティング システム] ページで、対象の Active Directory 環境内のデバイスで使用されているオペレーティング システムを選択し、 [次へ] を選択します。On the Device operating systems page, select the operating systems that the devices in your Active Directory environment use, and then select Next.

    デバイスのオペレーティング システム

  8. [フェデレーションの構成] ページで、AD FS 管理者の資格情報を入力し、 [次へ] を選択します。On the Federation configuration page, enter the credentials of your AD FS administrator, and then select Next.

    フェデレーションの構成

  9. [構成の準備完了] ページで、 [構成] を選択します。On the Ready to configure page, select Configure.

    構成の準備完了

  10. [構成が完了しました] ページで、 [終了] を選択します。On the Configuration complete page, select Exit.

    構成の完了

ダウンレベルの Windows デバイスの有効化Enable Windows downlevel devices

ドメイン参加済みデバイスの一部がダウンレベルの Windows デバイスである場合は、以下の操作が必要です。If some of your domain-joined devices are Windows downlevel devices, you must:

  • デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration
  • ダウンレベルの Windows コンピューターへの Microsoft Workplace Join のインストールInstall Microsoft Workplace Join for Windows downlevel computers

注意

Windows 7 のサポートは 2020 年 1 月 14 日に終了しました。Windows 7 support ended on January 14, 2020. 詳細については、Windows 7 のサポート終了に関する記事を参照してください。For more information, Support for Windows 7 has ended.

デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration

ダウンレベルの Windows デバイスのハイブリッド Azure AD 参加を正常に完了するため、およびデバイスが Azure AD で認証を受けるときに証明書の指定を求めるメッセージが表示されないようにするために、対象のドメイン参加済みデバイスにポリシーをプッシュして、以下の URL を Internet Explorer のローカル イントラネット ゾーンに追加することができます。To successfully complete hybrid Azure AD join of your Windows downlevel devices and to avoid certificate prompts when devices authenticate to Azure AD, you can push a policy to your domain-joined devices to add the following URLs to the local intranet zone in Internet Explorer:

  • https://device.login.microsoftonline.com
  • 組織の STS (フェデレーション ドメインの場合)Your organization's STS (For federated domains)
  • https://autologon.microsoftazuread-sso.com (シームレス SSO の場合)https://autologon.microsoftazuread-sso.com (For seamless SSO)

また、ユーザーのローカル イントラネット ゾーンで [スクリプトを介したステータス バーの更新を許可する] を有効にする必要があります。You also must enable Allow updates to status bar via script in the user’s local intranet zone.

ダウンレベルの Windows コンピューターへの Microsoft Workplace Join のインストールInstall Microsoft Workplace Join for Windows downlevel computers

ダウンレベルの Windows デバイスを登録するには、組織で Windows 10 以外のコンピューター向けの Microsoft Workplace Join をインストールする必要があります。To register Windows downlevel devices, organizations must install Microsoft Workplace Join for non-Windows 10 computers. Windows 10 以外のコンピューター向けの Microsoft Workplace Join は、Microsoft ダウンロード センターで入手できます。Microsoft Workplace Join for non-Windows 10 computers is available in the Microsoft Download Center.

Microsoft Endpoint Configuration Manager などのソフトウェア ディストリビューション システムを使用して、このパッケージをデプロイできます。You can deploy the package by using a software distribution system like Microsoft Endpoint Configuration Manager. このパッケージは、quiet パラメーターを使用した標準のサイレント インストール オプションをサポートしています。The package supports the standard silent installation options with the quiet parameter. Configuration Manager の Current Branch には、完了した登録を追跡する機能など、以前のバージョンにはない利点が追加されています。The current branch of Configuration Manager offers benefits over earlier versions, like the ability to track completed registrations.

インストーラーによって、ユーザー コンテキストで実行されるシステムにスケジュール済みタスクが作成されます。The installer creates a scheduled task on the system that runs in the user context. このタスクは、ユーザーが Windows にサインインするとトリガーされます。The task is triggered when the user signs in to Windows. このタスクでは、デバイスは Azure AD で認証が行われた後、そのユーザー資格情報を使用してサイレントに Azure AD に参加します。The task silently joins the device with Azure AD by using the user credentials after it authenticates with Azure AD.

登録の確認Verify the registration

デバイスの状態を特定して確認するには、次の 3 つの方法があります。Here are 3 ways to locate and verify the device state:

デバイス上でローカルにLocally on the device

  1. Windows PowerShell を開きます。Open Windows PowerShell.
  2. dsregcmd /status」と入力します。Enter dsregcmd /status.
  3. AzureAdJoinedDomainJoined の両方が YES に設定されていることを確認します。Verify that both AzureAdJoined and DomainJoined are set to YES.
  4. DeviceId を使用すると、Azure portal または PowerShell のいずれかで、サービスの状態を比較できます。You can use the DeviceId and compare the status on the service using either the Azure portal or PowerShell.

Azure ポータルの使用Using the Azure portal

  1. 直接リンクを使用して、デバイス ページに移動します。Go to the devices page using a direct link.
  2. デバイスを特定する方法については、Azure portal を使用してデバイス ID を管理する方法に関するページをご覧ください。Information on how to locate a device can be found in How to manage device identities using the Azure portal.
  3. [登録済み] 列に [保留中] と表示されている場合、Hybrid Azure AD Join は完了していません。If the Registered column says Pending, then Hybrid Azure AD Join has not completed. フェデレーション環境では、登録に失敗し、デバイスを同期するように AAD Connect が構成されている場合にのみ、この問題が発生する可能性があります。In federated environments, this can happen only if it failed to register and AAD connect is configured to sync the devices.
  4. [登録済み] 列に日付/時刻が含まれている場合、Hybrid Azure AD Join は完了しています。If the Registered column contains a date/time, then Hybrid Azure AD Join has completed.

PowerShell の使用Using PowerShell

Get-MsolDevice を使用して、Azure テナントのデバイス登録状態を確認します。Verify the device registration state in your Azure tenant by using Get-MsolDevice. このコマンドレットは、Azure Active Directory PowerShell モジュール内にあります。This cmdlet is in the Azure Active Directory PowerShell module.

Get-MSolDevice コマンドレットを使用してサービスの詳細を確認する場合:When you use the Get-MSolDevice cmdlet to check the service details:

  • Windows クライアントの ID と一致するデバイス ID を備えたオブジェクトが存在する必要があります。An object with the device ID that matches the ID on the Windows client must exist.
  • DeviceTrustType の値は [ドメイン参加済み] です。The value for DeviceTrustType is Domain Joined. この設定は、Azure AD ポータルの [デバイス] ページの [ハイブリッド Azure AD 参加済み] 状態に相当します。This setting is equivalent to the Hybrid Azure AD joined state on the Devices page in the Azure AD portal.
  • 条件付きアクセスで使用されるデバイスの場合、Enabled の値は TrueDeviceTrustLevel の値は Managed です。For devices that are used in Conditional Access, the value for Enabled is True and DeviceTrustLevel is Managed.
  1. Windows PowerShell を管理者として開きます。Open Windows PowerShell as an administrator.
  2. Connect-MsolService」と入力して Azure テナントに接続します。Enter Connect-MsolService to connect to your Azure tenant.

すべての Hybrid Azure AD 参加済みデバイスをカウントする ( [保留中] 状態を除く)Count all Hybrid Azure AD joined devices (excluding Pending state)

(Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}).count

[保留中] 状態を含むすべての Hybrid Azure AD 参加済みデバイスをカウントするCount all Hybrid Azure AD joined devices with Pending state

(Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (-not([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}).count

すべての Hybrid Azure AD 参加済みデバイスを一覧表示するList all Hybrid Azure AD joined devices

Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}

[保留中] 状態を含むすべての Hybrid Azure AD 参加済みデバイスを一覧表示するList all Hybrid Azure AD joined devices with Pending state

Get-MsolDevice -All -IncludeSystemManagedDevices | where {($_.DeviceTrustType -eq 'Domain Joined') -and (-not([string]($_.AlternativeSecurityIds)).StartsWith("X509:"))}

1 つのデバイスの詳細情報を表示するには、次のようにします。List details of a single device:

  1. get-msoldevice -deviceId <deviceId>」と入力します (これは、デバイスでローカルに取得された DeviceId です)。Enter get-msoldevice -deviceId <deviceId> (This is the DeviceId obtained locally on the device).
  2. [有効][True] に設定されていることを確認します。Verify that Enabled is set to True.

実装のトラブルシューティングTroubleshoot your implementation

ドメイン参加済み Windows デバイスのハイブリッド Azure AD 参加を行うときに問題が発生した場合は、以下を参照してください。If you experience issues with completing hybrid Azure AD join for domain-joined Windows devices, see:

次のステップNext steps

Azure portal を使用してデバイス ID を管理する方法を学習します。Learn how to manage device identities by using the Azure portal.