チュートリアル:マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成Tutorial: Configure hybrid Azure Active Directory join for managed domains

このチュートリアルでは、Active Directory ドメイン参加済みデバイスのハイブリッド Azure Active Directory (Azure AD) 参加を構成する方法について説明します。In this tutorial, you learn how to configure hybrid Azure Active Directory (Azure AD) join for Active Directory domain-joined devices. この方法では、オンプレミスの Active Directory と Azure AD の両方を含むマネージド環境がサポートされます。This method supports a managed environment that includes both on-premises Active Directory and Azure AD.

組織内のユーザーと同様、デバイスは保護対象となる主要なアイデンティティです。Like a user in your organization, a device is a core identity you want to protect. デバイスの ID を使用して、いつでもどこからでもリソースを保護できます。You can use a device's identity to protect your resources at any time and from any location. この目標は、Azure AD でデバイスの ID を管理することで達成できます。You can accomplish this goal by managing device identities in Azure AD. 以下のいずれかの方法を使用します。Use one of the following methods:

  • Azure AD 参加Azure AD join
  • ハイブリッド Azure AD 参加Hybrid Azure AD join
  • Azure AD の登録Azure AD registration

この記事では、Hybrid Azure AD Join に重点を置いて説明します。This article focuses on hybrid Azure AD join.

Azure AD に自分のデバイスを取り込んで、クラウドとオンプレミスのリソースでのシングル サインオン (SSO) を実現することで、ユーザーの生産性を最大化できます。Bringing your devices to Azure AD maximizes user productivity through single sign-on (SSO) across your cloud and on-premises resources. 同時に、条件付きアクセスを使用して、クラウドとオンプレミスのリソースへのアクセスを保護できます。You can secure access to your cloud and on-premises resources with Conditional Access at the same time.

マネージド環境は、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA)シームレス シングル サインオンを使用してデプロイできます。You can deploy a managed environment by using password hash sync (PHS) or pass-through authentication (PTA) with seamless single sign-on. これらのシナリオでは、フェデレーション サーバーを認証用に構成する必要はありません。These scenarios don't require you to configure a federation server for authentication.

このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join
  • ダウンレベルの Windows デバイスの有効化Enable Windows down-level devices
  • 参加済みデバイスの確認Verify joined devices
  • トラブルシューティングTroubleshoot

前提条件Prerequisites

  • Azure AD Connect (1.1.819.0 以降)The Azure AD Connect (1.1.819.0 or later)
  • Azure AD テナントの全体管理者の資格情報The credentials of a global administrator for your Azure AD tenant
  • 各フォレストのエンタープライズ管理者の資格情報The enterprise administrator credentials for each of the forests

以下の記事の内容を確認します。Familiarize yourself with these articles:

注意

Azure AD は、マネージド ドメインでのスマートカードや証明書をサポートしていません。Azure AD doesn't support smartcards or certificates in managed domains.

Azure AD Connect で、ハイブリッド Azure AD 参加済みにするデバイスのコンピュータ オブジェクトを Azure AD に対して同期済みであることを確認します。Verify that Azure AD Connect has synced the computer objects of the devices you want to be hybrid Azure AD joined to Azure AD. コンピューター オブジェクトが特定の組織単位 (OU) に属している場合は、これらの OU を Azure AD Connect で同期するように構成します。If the computer objects belong to specific organizational units (OUs), configure the OUs to sync in Azure AD Connect. Azure AD Connect を使用してコンピューター オブジェクトを同期する方法の詳細については、「組織単位ベースのフィルター処理」を参照してください。To learn more about how to sync computer objects by using Azure AD Connect, see Organizational unit–based filtering.

バージョン 1.1.819.0 以降の Azure AD Connect には、Hybrid Azure AD Join を構成するためのウィザードが用意されています。Beginning with version 1.1.819.0, Azure AD Connect includes a wizard to configure hybrid Azure AD join. このウィザードを使用すると、構成プロセスを大幅に簡略化できます。The wizard significantly simplifies the configuration process. このウィザードで、デバイス登録のためのサービス接続ポイント (SCP) を構成します。The wizard configures the service connection points (SCPs) for device registration.

この記事の構成手順は、Azure AD Connect でこのウィザードを使用することに基づいています。The configuration steps in this article are based on using the wizard in Azure AD Connect.

ハイブリッド Azure AD 参加では、デバイスが組織のネットワーク内から次の Microsoft リソースにアクセスできる必要があります。Hybrid Azure AD join requires devices to have access to the following Microsoft resources from inside your organization's network:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (シームレス SSO を使用しているか、使用する予定の場合)https://autologon.microsoftazuread-sso.com (If you use or plan to use seamless SSO)

組織がアウトバウンド プロキシ経由でのインターネットへのアクセスを必要とする場合は、Windows 10 コンピューターを Azure AD にデバイス登録できるように、Web プロキシ自動発見 (WPAD) を実装することを推奨します。If your organization requires access to the internet via an outbound proxy, we recommend implementing Web Proxy Auto-Discovery (WPAD) to enable Windows 10 computers for device registration with Azure AD. WPAD の構成と管理の問題に対処するには、「自動検出のトラブルシューティング」を参照してください。To address issues configuring and managing WPAD, see Troubleshooting Automatic Detection.

WPAD を使用しない場合は、Windows 10 1709 以降のコンピューター上でプロキシ設定を構成できます。If you don't use WPAD, you can configure proxy settings on your computer beginning with Windows 10 1709. 詳細については、「GPO によってデプロイされる WinHTTP プロキシ設定」を参照してください。For more information, see WinHTTP Proxy Settings deployed by GPO.

注意

WinHTTP 設定を使用して自分のコンピューター上でプロキシ設定を構成すると、構成されたプロキシに接続できないコンピューターは、インターネットに接続できなくなります。If you configure proxy settings on your computer by using WinHTTP settings, any computers that can't connect to the configured proxy will fail to connect to the internet.

組織が認証されたアウトバウンド プロキシ経由でのインターネットへのアクセスを必要とする場合、お使いの Windows 10 コンピューターがアウトバウンド プロキシに対して正常に認証されることを確認してください。If your organization requires access to the internet via an authenticated outbound proxy, make sure that your Windows 10 computers can successfully authenticate to the outbound proxy. Windows 10 コンピューターではマシン コンテキストを使用してデバイス登録が実行されるため、マシン コンテキストを使用してアウトバウンド プロキシ認証を構成します。Because Windows 10 computers run device registration by using machine context, configure outbound proxy authentication by using machine context. 構成要件については、送信プロキシ プロバイダーに確認してください。Follow up with your outbound proxy provider on the configuration requirements.

デバイス登録接続のテストのスクリプトを使用して、デバイスがシステム アカウントで上記の Microsoft リソースにアクセスできることを確認します。Verify the device can access the above Microsoft resources under the system account by using the Test Device Registration Connectivity script.

ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join

Azure AD Connect を使用して Hybrid Azure AD Join を構成するには:To configure a hybrid Azure AD join by using Azure AD Connect:

  1. Azure AD Connect を起動し、 [構成] を選択します。Start Azure AD Connect, and then select Configure.

    ようこそ

  2. [追加のタスク] で、 [デバイス オプションの構成] を選択し、 [次へ] を選択します。In Additional tasks, select Configure device options, and then select Next.

    追加のタスク

  3. [概要][次へ] を選択します。In Overview, select Next.

    概要

  4. [Azure AD に接続] で、Azure AD テナントの全体管理者の資格情報を入力します。In Connect to Azure AD, enter the credentials of a global administrator for your Azure AD tenant.

    Azure への接続

  5. [デバイス オプション] で、 [ハイブリッド Azure AD 参加の構成] を選択し、 [次へ] を選択します。In Device options, select Configure Hybrid Azure AD join, and then select Next.

    デバイス オプション

  6. [SCP の構成] で、Azure AD Connect で SCP を構成するフォレストごとに次の手順を実行し、 [次へ] を選択します。In SCP configuration, for each forest where you want Azure AD Connect to configure the SCP, complete the following steps, and then select Next.

    1. フォレストを選択します。Select the Forest.
    2. 認証サービスを選択します。Select an Authentication Service.
    3. [追加] を選択して、エンタープライズ管理者の資格情報を入力します。Select Add to enter the enterprise administrator credentials.

    SCP

  7. [デバイスのオペレーティング システム] で、Active Directory 環境内のデバイスで使用されているオペレーティング システムを選択し、 [次へ] を選択します。In Device operating systems, select the operating systems that devices in your Active Directory environment use, and then select Next.

    デバイスのオペレーティング システム

  8. [構成の準備完了] で、 [構成] を選択します。In Ready to configure, select Configure.

    構成の準備完了

  9. [構成が完了しました] で、 [終了] を選択します。In Configuration complete, select Exit.

    構成の完了

ダウンレベルの Windows デバイスの有効化Enable Windows down-level devices

ドメイン参加済みデバイスの一部がダウンレベルの Windows デバイスである場合は、以下の操作が必要です。If some of your domain-joined devices are Windows down-level devices, you must:

  • デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration
  • シームレス SSO の構成Configure seamless SSO
  • ダウンレベルの Windows コンピューターに対する Microsoft Workplace Join のインストールInstall Microsoft Workplace Join for Windows down-level computers

注意

Windows 7 のサポートは 2020 年 1 月 14 日に終了しました。Windows 7 support ended on January 14, 2020. 詳細については、Windows 7 のサポートの終了に関するページを参照してください。For more information, see Windows 7 support ended.

デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration

ダウンレベルの Windows デバイスの Hybrid Azure AD Join を完了するため、およびデバイスが Azure AD で認証を受けるときに証明書の指定を求めるメッセージが表示されないようにするために、ドメイン参加済みデバイスにポリシーをプッシュして、以下の URL を Internet Explorer のローカル イントラネット ゾーンに追加することができます。To complete hybrid Azure AD join of your Windows down-level devices and to avoid certificate prompts when devices authenticate to Azure AD, you can push a policy to your domain-joined devices to add the following URLs to the local intranet zone in Internet Explorer:

  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com

また、ユーザーのローカル イントラネット ゾーンで [スクリプトを介したステータス バーの更新を許可する] を有効にする必要があります。You also must enable Allow updates to status bar via script in the user's local intranet zone.

シームレス SSO の構成Configure seamless SSO

Azure AD クラウド認証方法としてパスワード ハッシュ同期またはパススルー認証を使用しているマネージド ドメインで、ダウンレベルの Windows デバイスの Hybrid Azure AD Join を完了するには、シームレス SSO を構成する必要もあります。To complete hybrid Azure AD join of your Windows down-level devices in a managed domain that uses password hash sync or pass-through authentication as your Azure AD cloud authentication method, you must also configure seamless SSO.

ダウンレベルの Windows コンピューターに対する Microsoft Workplace Join のインストールInstall Microsoft Workplace Join for Windows down-level computers

ダウンレベルの Windows デバイスを登録するには、組織で Windows 10 以外のコンピューター向けの Microsoft Workplace Join をインストールする必要があります。To register Windows down-level devices, organizations must install Microsoft Workplace Join for non-Windows 10 computers. Windows 10 以外のコンピューター向けの Microsoft Workplace Join は、Microsoft ダウンロード センターで入手できます。Microsoft Workplace Join for non-Windows 10 computers is available in the Microsoft Download Center.

Microsoft Endpoint Configuration Manager などのソフトウェア ディストリビューション システムを使用して、このパッケージをデプロイできます。You can deploy the package by using a software distribution system like Microsoft Endpoint Configuration Manager. このパッケージは、quiet パラメーターを使用した標準のサイレント インストール オプションをサポートしています。The package supports the standard silent installation options with the quiet parameter. Configuration Manager の現在のバージョンには、完了した登録を追跡する機能など、以前のバージョンにはない利点が追加されています。The current version of Configuration Manager offers benefits over earlier versions, like the ability to track completed registrations.

インストーラーによって、ユーザー コンテキストで実行されるシステムにスケジュール済みタスクが作成されます。The installer creates a scheduled task on the system that runs in the user context. このタスクは、ユーザーが Windows にサインインするとトリガーされます。The task is triggered when the user signs in to Windows. このタスクでは、デバイスは Azure AD で認証が行われた後、そのユーザー資格情報を使用してサイレントに Azure AD に参加します。The task silently joins the device with Azure AD by using the user credentials after it authenticates with Azure AD.

登録の確認Verify the registration

Get-MsolDevice を使用して、Azure テナントのデバイス登録状態を確認します。Verify the device registration state in your Azure tenant by using Get-MsolDevice. このコマンドレットは、Azure Active Directory PowerShell モジュール内にあります。This cmdlet is in the Azure Active Directory PowerShell module.

Get-MSolDevice コマンドレットを使用してサービスの詳細を確認する場合:When you use the Get-MSolDevice cmdlet to check the service details:

  • Windows クライアントの ID と一致するデバイス ID を備えたオブジェクトが存在する必要があります。An object with the device ID that matches the ID on the Windows client must exist.
  • DeviceTrustType の値は [ドメイン参加済み] です。The value for DeviceTrustType is Domain Joined. この設定は、Azure AD ポータルの [デバイス] ページの [ハイブリッド Azure AD 参加済み] 状態に相当します。This setting is equivalent to the Hybrid Azure AD joined state on the Devices page in the Azure AD portal.
  • 条件付きアクセスで使用されるデバイスの場合、Enabled の値は TrueDeviceTrustLevel の値は Managed です。For devices that are used in Conditional Access, the value for Enabled is True and DeviceTrustLevel is Managed.

サービスの詳細を確認するには:To check the service details:

  1. Windows PowerShell を管理者として開きます。Open Windows PowerShell as an administrator.
  2. Connect-MsolService」と入力して Azure テナントに接続します。Enter Connect-MsolService to connect to your Azure tenant.
  3. get-msoldevice -deviceId <deviceId>」と入力します。Enter get-msoldevice -deviceId <deviceId>.
  4. [有効][True] に設定されていることを確認します。Verify that Enabled is set to True.

実装のトラブルシューティングTroubleshoot your implementation

ドメイン参加済み Windows デバイスの Hybrid Azure AD Join を行うときに問題が発生した場合は、以下を参照してください。If you experience issues completing hybrid Azure AD join for domain-joined Windows devices, see:

次のステップNext steps

次の記事に進んで、Azure portal を使用してデバイス ID を管理する方法を学習します。Advance to the next article to learn how to manage device identities by using the Azure portal.