チュートリアル: マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成Tutorial: Configure hybrid Azure Active Directory join for managed domains

ユーザーと同じく、デバイスは、保護の対象であると同時に、時と場所を選ばずにリソースを保護するために使用したいもう 1 つの ID になりつつあります。In a similar way to a user, a device is becoming another identity you want to protect and also use to protect your resources at any time and location. この目標は、次のいずれかの方法を使用してデバイスの ID を Azure AD に設定することで達成できます。You can accomplish this goal by bringing your devices' identities to Azure AD using one of the following methods:

  • Azure AD 参加Azure AD join
  • ハイブリッド Azure AD 参加Hybrid Azure AD join
  • Azure AD の登録Azure AD registration

Azure AD にデバイスを設定して、クラウドとオンプレミスのリソースでのシングル サインオン (SSO) を実現することで、ユーザーの生産性を最大化できます。By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. 同時に、条件付きアクセスを使用して、クラウドとオンプレミスのリソースへのアクセスを保護することもできます。At the same time, you can secure access to your cloud and on-premises resources with conditional access.

このチュートリアルでは、マネージド ドメイン内のデバイスのハイブリッド Azure AD 参加を構成する方法を学習します。In this tutorial, you learn how to configure hybrid Azure AD join for devices in managed domains.

  • ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join
  • ダウンレベルの Windows デバイスの有効化Enable Windows down-level devices
  • 参加済みデバイスの確認Verify joined devices
  • トラブルシューティングTroubleshoot

前提条件Prerequisites

このチュートリアルは、次の事項を熟知していることを前提としています。This tutorial assumes that you are familiar with:

この記事のシナリオを構成するには、Azure AD Connect の最新バージョン (1.1.819.0 以降) がインストールされている必要があります。To configure the scenario in this article, you need the latest version of Azure AD Connect (1.1.819.0 or higher) to be installed.

Azure AD Connect が、Azure AD に参加するハイブリッド Azure AD にするデバイスのコンピューター オブジェクトを同期済みであることを確認します。Verify that Azure AD Connect has synchronized the computer objects of the devices you want to be hybrid Azure AD joined to Azure AD. コンピューター オブジェクトが特定の組織単位 (OU) に属している場合、これらの OU を Azure AD Connect についても構成する必要があります。If the computer objects belong to specific organizational units (OU), then these OUs need to be configured for synchronization in Azure AD connect as well.

バージョン 1.1.819.0 以降の Azure AD Connect には、ハイブリッド Azure AD 参加を構成するためのウィザードが用意されています。Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. このウィザードを使用すると、構成プロセスを大幅に簡略化できます。The wizard enables you to significantly simplify the configuration process. 関連するウィザードは、デバイス登録のためのサービス接続ポイント (SCP) を構成します。The related wizard configures the service connection points (SCP) for device registration.

この記事の構成手順は、このウィザードに基づいています。The configuration steps in this article are based on this wizard.

ハイブリッド Azure AD 参加を使用するには、デバイスが組織のネットワーク内から次の Microsoft リソースにアクセスできる必要があります。Hybrid Azure AD join requires the devices to have access to the following Microsoft resources from inside your organization's network:

Windows 10 1709 以降では、組織が送信プロキシ経由でインターネットにアクセスする必要がある場合に、グループ ポリシー オブジェクト (GPO) を使用してコンピューターのプロキシ設定を構成できますIf your organization requires access to the Internet via an outbound proxy, starting with Windows 10 1709, you can configure proxy settings on your computer using a group policy object (GPO). お使いのコンピューターで Windows 10 1709 より古いバージョンが実行されている場合は、Web Proxy Auto-Discovery (WPAD) を実装して、Windows 10 コンピューターが Azure AD にデバイスを登録できるようにする必要があります。If your computer is running anything older than Windows 10 1709, you must implement Web Proxy Auto-Discovery (WPAD) to enable Windows 10 computers to do device registration with Azure AD.

組織が認証された送信プロキシ経由でインターネットにアクセスする必要がある場合は、Windows 10 コンピューターが送信プロキシに対して正常に認証されることを確認する必要があります。If your organization requires access to the Internet via an authenticated outbound proxy, you must make sure that your Windows 10 computers can successfully authenticate to the outbound proxy. Windows 10 コンピューターではマシン コンテキストを使用してデバイス登録が実行されるため、マシン コンテキストを使用して送信プロキシ認証を構成する必要があります。Because Windows 10 computers run device registration using machine context, it is necessary to configure outbound proxy authentication using machine context. 構成要件については、送信プロキシ プロバイダーに確認してください。Follow up with your outbound proxy provider on the configuration requirements.

ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成するには、次のものが必要です。To configure a hybrid Azure AD join using Azure AD Connect, you need:

  • Azure AD テナントの全体管理者の資格情報。The credentials of a global administrator for your Azure AD tenant.

  • 各フォレストのエンタープライズ管理者の資格情報。The enterprise administrator credentials for each of the forests.

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成するには:To configure a hybrid Azure AD join using Azure AD Connect:

  1. Azure AD Connect を起動し、[構成] をクリックします。Launch Azure AD Connect, and then click Configure.

    ようこそ

  2. [追加のタスク] ページで、[デバイス オプションの構成] を選択し、[次へ] をクリックします。On the Additional tasks page, select Configure device options, and then click Next.

    追加のタスク

  3. [概要] ページで、[次へ] をクリックします。On the Overview page, click Next.

    概要

  4. [Azure AD に接続] ページで、Azure AD テナントの全体管理者の資格情報を入力します。On the Connect to Azure AD page, enter the credentials of a global administrator for your Azure AD tenant.

    Azure への接続

  5. [デバイス オプション] ページで、[ハイブリッド Azure AD 参加の構成] を選択し、[次へ] をクリックします。On the Device options page, select Configure Hybrid Azure AD join, and then click Next.

    デバイス オプション

  6. [SCP] ページで、Azure AD Connect で SCP を構成するフォレストごとに次の手順を実行し、[次へ] をクリックします。On the SCP page, for each forest you want Azure AD Connect to configure the SCP, perform the following steps, and then click Next:

    SCP

    a.a. フォレストを選択します。Select the forest.

    b.b. 認証サービスを選択します。Select the authentication service.

    c.c. [追加] をクリックして、エンタープライズ管理者の資格情報を入力します。Click Add to enter the enterprise administrator credentials.

  7. [デバイスのオペレーティング システム] ページで、Active Directory 環境内のデバイスで使用されているオペレーティング システムを選択し、[次へ] をクリックします。On the Device operating systems page, select the operating systems used by devices in your Active Directory environment, and then click Next.

    デバイスのオペレーティング システム

  8. [構成の準備完了] ページで、[構成] をクリックします。On the Ready to configure page, click Configure.

    構成の準備完了

  9. [構成が完了しました] ページで、[終了] をクリックします。On the Configuration complete page, click Exit.

    構成の完了

ダウンレベルの Windows デバイスの有効化Enable Windows down-level devices

ドメイン参加済みデバイスの一部がダウンレベルの Windows デバイスである場合は、以下の操作が必要です。If some of your domain-joined devices are Windows down-level devices, you need to:

  • デバイス設定の更新Update device settings

  • デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration

  • シームレス シングル サインオン (SSO) の構成Configure Seamless Single Sign-On (SSO)

  • ダウンレベルの Windows デバイスの制御Control Windows down-level devices

デバイス設定の更新Update device settings

ダウンレベルの Windows デバイスを登録するには、Azure AD へのデバイスの登録をユーザーに許可するデバイス設定になっている必要があります。To register Windows down-level devices, you need to make sure that the device settings to allow users to register devices in Azure AD are set. この設定は、Azure portal の次の場所で確認できます。In the Azure portal, you can find this setting under:

Home > [Name of your tenant] > Devices - Device settings

[ユーザーはデバイスを Azure AD に登録できます] というポリシーは、[すべて] に設定する必要があります。The following policy must be set to All: Users may register their devices with Azure AD

デバイスを登録する

デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration

ダウンレベルの Windows デバイスのハイブリッド Azure AD 参加を正常に完了するため、およびデバイスが Azure AD で認証を受けるときに証明書の指定を求めるメッセージが表示されないようにするために、ドメイン参加済みデバイスにポリシーをプッシュして、以下の URL を Internet Explorer のローカル イントラネット ゾーンに追加することができます。To successfully complete hybrid Azure AD join of your Windows down-level devices, and to avoid certificate prompts when devices authenticate to Azure AD you can push a policy to your domain-joined devices to add the following URLs to the Local Intranet zone in Internet Explorer:

  • https://device.login.microsoftonline.com

  • https://autologon.microsoftazuread-sso.comhttps://autologon.microsoftazuread-sso.com.

さらに、ユーザーのローカル イントラネット ゾーンで [スクリプトを介したステータス バーの更新を許可する] を有効にする必要があります。Additionally, you need to enable Allow updates to status bar via script in the user’s local intranet zone.

シームレス SSO の構成Configure Seamless SSO

Azure AD クラウド認証方法として Pass-through Authentication (PTA) または Password Hash Sync (PHS) を使用しているマネージド ドメインで、ダウンレベルの Windows デバイスのハイブリッド Azure AD 参加を正常に完了するには、シームレス SSO を構成する必要もあります。To successfully complete hybrid Azure AD join of your Windows down-level devices in a managed domain that is using Pass-through Authentication (PTA) or Password Hash Sync (PHS) as your Azure AD cloud authentication method, you must also configure Seamless SSO.

ダウンレベルの Windows デバイスの制御Control Windows down-level devices

ダウンレベルの Windows デバイスを登録するには、Windows インストーラー パッケージ (.msi) をダウンロード センターからダウンロードし、インストールする必要があります。To register Windows down-level devices, you need to download and install a Windows Installer package (.msi) from the Download Center. 詳細については、こちらをクリックしてください。For more information, click here.

登録の確認Verify the registration

Azure テナントのデバイス登録状態を確認するには、Azure Active Directory PowerShell モジュールGet-MsolDevice コマンドレットを使用できます。To verify the device registration state in your Azure tenant, you can use the Get-MsolDevice cmdlet in the Azure Active Directory PowerShell module.

Get-MSolDevice コマンドレットを使用してサービスの詳細を確認する場合:When using the Get-MSolDevice cmdlet to check the service details:

  • Windows クライアントの ID と一致するデバイス ID を持つオブジェクトが存在する必要があります。An object with the device id that matches the ID on the Windows client must exist.
  • DeviceTrustType の値は [ドメイン参加済み] でなければなりません。The value for DeviceTrustType must be Domain Joined. これは、Azure AD ポータルの [デバイス] ページの [ハイブリッド Azure AD 参加済み] 状態に相当します。This is equivalent to the Hybrid Azure AD joined state on the Devices page in the Azure AD portal.
  • 条件付きアクセスで使用されるデバイスの Enabled の値は TrueDeviceTrustLevelの値は Managed でなければなりません。The value for Enabled must be True and DeviceTrustLevel must be Managed for devices that are used in conditional access.

サービスの詳細を確認するには:To check the service details:

  1. Windows PowerShell を管理者として開きます。Open Windows PowerShell as administrator.

  2. Connect-MsolService」と入力して Azure テナントに接続します。Type Connect-MsolService to connect to your Azure tenant.

  3. get-msoldevice -deviceId <deviceId>」と入力します。Type get-msoldevice -deviceId <deviceId>.

  4. [有効][True] に設定されていることを確認します。Verify that Enabled is set to True.

実装のトラブルシューティングTroubleshoot your implementation

ドメイン参加済み Windows デバイスのハイブリッド Azure AD 参加を行うときに問題が発生した場合は、次のトピックを参照してください。If you are experiencing issues with completing hybrid Azure AD join for domain joined Windows devices, see:

次の手順Next steps