チュートリアル:マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成Tutorial: Configure hybrid Azure Active Directory join for managed domains

組織内のユーザーと同様、デバイスは保護対象となる主要な ID です。Like a user in your organization, a device is a core identity you want to protect. デバイスの ID を使用して、いつでもどこからでもリソースを保護できます。You can use a device's identity to protect your resources at any time and from any location. この目標は、次のいずれかの方法を使用して、Azure Active Directory (Azure AD) にデバイス ID を取り込み、管理することで達成できます。You can accomplish this goal by bringing device identities and managing them in Azure Active Directory (Azure AD) by using one of the following methods:

  • Azure AD 参加Azure AD join
  • ハイブリッド Azure AD 参加Hybrid Azure AD join
  • Azure AD の登録Azure AD registration

Azure AD に自分のデバイスを取り込んで、クラウドとオンプレミスのリソースでのシングル サインオン (SSO) を実現することで、ユーザーの生産性を最大化できます。Bringing your devices to Azure AD maximizes user productivity through single sign-on (SSO) across your cloud and on-premises resources. 同時に、条件付きアクセスを使用して、クラウドとオンプレミスのリソースへのアクセスを保護できます。You can secure access to your cloud and on-premises resources with Conditional Access at the same time.

このチュートリアルでは、Active Directory ドメイン参加済みコンピューター デバイスのハイブリッド Azure AD 参加をマネージド環境で構成する方法について説明します。In this tutorial, you learn how to configure hybrid Azure AD join for Active Directory domain-joined computers devices in a managed environment.

マネージド環境は、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA)シームレス シングル サインオンを使用してデプロイできます。A managed environment can be deployed either through password hash sync (PHS) or pass-through authentication (PTA) with seamless single sign-on. これらのシナリオでは、フェデレーション サーバーを認証用に構成する必要はありません。These scenarios don't require you to configure a federation server for authentication.

このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join
  • ダウンレベルの Windows デバイスの有効化Enable Windows down-level devices
  • 参加済みデバイスの確認Verify joined devices
  • トラブルシューティングTroubleshoot

前提条件Prerequisites

このチュートリアルは、次の記事を理解していることを前提とします。This tutorial assumes that you're familiar with these articles:

注意

Azure AD は、マネージド ドメインでのスマートカードや証明書をサポートしていません。Azure AD doesn't support smartcards or certificates in managed domains.

この記事のシナリオを構成するには、Azure AD Connect の最新バージョン (1.1.819.0 以降) がインストールされている必要があります。To configure the scenario in this article, you need the latest version of Azure AD Connect (1.1.819.0 or later) installed.

Azure AD Connect で、ハイブリッド Azure AD 参加済みにするデバイスのコンピュータ オブジェクトを Azure AD に対して同期済みであることを確認します。Verify that Azure AD Connect has synced the computer objects of the devices you want to be hybrid Azure AD joined to Azure AD. コンピューター オブジェクトが特定の組織単位 (OU) に属している場合、これらの OU も、Azure AD Connect で同期するよう構成する必要があります。If the computer objects belong to specific organizational units (OUs), you must also configure the OUs to sync in Azure AD Connect. Azure AD Connect を使用してコンピューター オブジェクトを同期する方法の詳細については、Azure AD Connect を使用したフィルタリングの構成に関する記事を参照してください。To learn more about how to sync computer objects by using Azure AD Connect, see Configure filtering by using Azure AD Connect.

バージョン 1.1.819.0 以降の Azure AD Connect には、ハイブリッド Azure AD 参加を構成するためのウィザードが用意されています。Beginning with version 1.1.819.0, Azure AD Connect includes a wizard that you can use to configure hybrid Azure AD join. このウィザードを使用すると、構成プロセスを大幅に簡略化できます。The wizard significantly simplifies the configuration process. このウィザードで、デバイス登録のためのサービス接続ポイント (SCP) を構成します。The wizard configures the service connection points (SCPs) for device registration.

この記事の構成手順は、Azure AD Connect でこのウィザードを使用することに基づいています。The configuration steps in this article are based on using the wizard in Azure AD Connect.

ハイブリッド Azure AD 参加を使用するには、デバイスが組織のネットワーク内から次の Microsoft リソースにアクセスできる必要があります。Hybrid Azure AD join requires devices to have access to the following Microsoft resources from inside your organization's network:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (シームレス SSO を使用しているか、使用する予定の場合)https://autologon.microsoftazuread-sso.com (If you use or plan to use seamless SSO)

送信プロキシを介してインターネットにアクセスする必要がある組織の場合、Microsoft では、Windows 10 コンピューターを Azure AD にデバイス登録できるように Web プロキシ自動発見 (WPAD) を実装することを推奨しています。If your organization requires access to the internet via an outbound proxy, Microsoft recommends implementing Web Proxy Auto-Discovery (WPAD) to enable Windows 10 computers for device registration with Azure AD. WPAD の構成と管理で問題が発生した場合、自動検出のトラブルシューティングに関する記事を参照してください。If you encounter issues configuring and managing WPAD, see Troubleshoot automatic detection.

WPAD を使用せず、コンピューターでプロキシ設定を構成する必要がある場合、Windows 10 1709 以降、これを実行できます。If you don't use WPAD and need to configure proxy settings on your computer, you can do so beginning with Windows 10 1709. 詳細については、グループ ポリシー オブジェクト (GPO) を使用した WinHTTP 設定の構成に関するページを参照してください。For more information, see Configure WinHTTP settings using a group policy object (GPO).

注意

WinHTTP 設定を使用してコンピューターでプロキシ設定を構成すると、構成したプロキシに接続できないコンピューターでインターネットへの接続が失敗します。If you configure proxy settings on your computer by using WinHTTP settings, any computers that can't connect to the configured proxy will fail to connect to the internet.

組織が認証された送信プロキシ経由でのインターネットへのアクセスを必要とする場合、お使いの Windows 10 コンピューターが送信プロキシに対して正常に認証されることを確認する必要があります。If your organization requires access to the internet via an authenticated outbound proxy, you must make sure that your Windows 10 computers can successfully authenticate to the outbound proxy. Windows 10 コンピューターではマシン コンテキストを使用してデバイス登録が実行されるため、マシン コンテキストを使用して送信プロキシ認証を構成する必要があります。Because Windows 10 computers run device registration by using machine context, you must configure outbound proxy authentication by using machine context. 構成要件については、送信プロキシ プロバイダーに確認してください。Follow up with your outbound proxy provider on the configuration requirements.

デバイスがシステム アカウントで上記の Microsoft リソースにアクセスできるかどうかを確認するには、「デバイス登録接続のテスト」スクリプトを使用できます。To verify if the device is able to access the above Microsoft resources under the system account, you can use Test Device Registration Connectivity script.

ハイブリッド Azure AD 参加の構成Configure hybrid Azure AD join

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成するには、次のものが必要です。To configure a hybrid Azure AD join using Azure AD Connect, you need:

  • Azure AD テナントの全体管理者の資格情報The credentials of a global administrator for your Azure AD tenant
  • 各フォレストのエンタープライズ管理者の資格情報The enterprise administrator credentials for each of the forests

Azure AD Connect を使用してハイブリッド Azure AD 参加を構成するには、次の手順に従います。To configure a hybrid Azure AD join by using Azure AD Connect:

  1. Azure AD Connect を起動し、 [構成] を選択します。Start Azure AD Connect, and then select Configure.

    ようこそ

  2. [追加のタスク] ページで、 [デバイス オプションの構成] を選択し、 [次へ] を選択します。On the Additional tasks page, select Configure device options, and then select Next.

    追加のタスク

  3. [概要] ページで [次へ] を選択します。On the Overview page, select Next.

    概要

  4. [Azure AD に接続] ページで、Azure AD テナントの全体管理者の資格情報を入力します。On the Connect to Azure AD page, enter the credentials of a global administrator for your Azure AD tenant.

    Azure への接続

  5. [デバイス オプション] ページで、 [ハイブリッド Azure AD 参加の構成] を選択し、 [次へ] を選択します。On the Device options page, select Configure Hybrid Azure AD join, and then select Next.

    デバイス オプション

  6. [SCP] ページで、Azure AD Connect で SCP を構成するフォレストごとに次の手順を実行し、 [次へ] を選択します。On the SCP page, for each forest where you want Azure AD Connect to configure the SCP, complete the following steps, and then select Next:

    SCP

    1. フォレストを選択します。Select the forest.
    2. 認証サービスを選択します。Select the authentication service.
    3. [追加] を選択して、エンタープライズ管理者の資格情報を入力します。Select Add to enter the enterprise administrator credentials.
  7. [デバイスのオペレーティング システム] ページで、Active Directory 環境内のデバイスで使用されているオペレーティング システムを選択し、 [次へ] を選択します。On the Device operating systems page, select the operating systems that devices in your Active Directory environment use, and then select Next.

    デバイスのオペレーティング システム

  8. [構成の準備完了] ページで、 [構成] を選択します。On the Ready to configure page, select Configure.

    構成の準備完了

  9. [構成が完了しました] ページで、 [終了] を選択します。On the Configuration complete page, select Exit.

    構成の完了

ダウンレベルの Windows デバイスの有効化Enable Windows downlevel devices

ドメイン参加済みデバイスの一部がダウンレベルの Windows デバイスである場合は、以下の操作が必要です。If some of your domain-joined devices are Windows downlevel devices, you must:

  • デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration
  • シームレス SSO の構成Configure seamless SSO
  • ダウンレベルの Windows コンピューターへの Microsoft Workplace Join のインストールInstall Microsoft Workplace Join for Windows downlevel computers

デバイスの登録用のローカル イントラネット設定の構成Configure the local intranet settings for device registration

ダウンレベルの Windows デバイスのハイブリッド Azure AD 参加を正常に完了するため、およびデバイスが Azure AD で認証を受けるときに証明書の指定を求めるメッセージが表示されないようにするために、対象のドメイン参加済みデバイスにポリシーをプッシュして、以下の URL を Internet Explorer のローカル イントラネット ゾーンに追加することができます。To successfully complete hybrid Azure AD join of your Windows downlevel devices and to avoid certificate prompts when devices authenticate to Azure AD, you can push a policy to your domain-joined devices to add the following URLs to the local intranet zone in Internet Explorer:

  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com

また、ユーザーのローカル イントラネット ゾーンで [スクリプトを介したステータス バーの更新を許可する] を有効にする必要があります。You also must enable Allow updates to status bar via script in the user’s local intranet zone.

シームレス SSO の構成Configure seamless SSO

Azure AD クラウド認証方法として PHS または PTA を使用するマネージド ドメインで、ダウンレベルの Windows デバイスのハイブリッド Azure AD 参加を正常に完了するには、シームレス SSO を構成する必要もあります。To successfully complete hybrid Azure AD join of your Windows downlevel devices in a managed domain that uses PHS or PTA as your Azure AD cloud authentication method, you must also configure seamless SSO.

ダウンレベルの Windows コンピューターへの Microsoft Workplace Join のインストールInstall Microsoft Workplace Join for Windows downlevel computers

ダウンレベルの Windows デバイスを登録するには、組織で Windows 10 以外のコンピューター向けの Microsoft Workplace Join をインストールする必要があります。To register Windows downlevel devices, organizations must install Microsoft Workplace Join for non-Windows 10 computers. Windows 10 以外のコンピューター向けの Microsoft Workplace Join は、Microsoft ダウンロード センターで入手できます。Microsoft Workplace Join for non-Windows 10 computers is available in the Microsoft Download Center.

System Center Configuration Manager などのソフトウェア ディストリビューション システムを使用して、このパッケージをデプロイできます。You can deploy the package by using a software distribution system like System Center Configuration Manager. このパッケージは、quiet パラメーターを使用した標準のサイレント インストール オプションをサポートしています。The package supports the standard silent installation options with the quiet parameter. Configuration Manager の Current Branch には、完了した登録を追跡する機能など、以前のバージョンにはない利点が追加されています。The current branch of Configuration Manager offers benefits over earlier versions, like the ability to track completed registrations.

インストーラーによって、ユーザー コンテキストで実行されるシステムにスケジュール済みタスクが作成されます。The installer creates a scheduled task on the system that runs in the user context. このタスクは、ユーザーが Windows にサインインするとトリガーされます。The task is triggered when the user signs in to Windows. このタスクでは、デバイスは Azure AD で認証が行われた後、そのユーザー資格情報を使用してサイレントに Azure AD に参加します。The task silently joins the device with Azure AD by using the user credentials after it authenticates with Azure AD.

登録の確認Verify the registration

Azure テナントでのデバイス登録状態を確認するために、Azure Active Directory PowerShell モジュールGet-MsolDevice コマンドレットを使用できます。To verify the device registration state in your Azure tenant, you can use the Get-MsolDevice cmdlet in the Azure Active Directory PowerShell module.

Get-MSolDevice コマンドレットを使用してサービスの詳細を確認する場合:When you use the Get-MSolDevice cmdlet to check the service details:

  • Windows クライアントの ID と一致するデバイス ID を備えたオブジェクトが存在する必要があります。An object with the device ID that matches the ID on the Windows client must exist.
  • DeviceTrustType の値は [ドメイン参加済み] でなければなりません。The value for DeviceTrustType must be Domain Joined. この設定は、Azure AD ポータルの [デバイス] ページの [ハイブリッド Azure AD 参加済み] 状態に相当します。This setting is equivalent to the Hybrid Azure AD joined state on the Devices page in the Azure AD portal.
  • 条件付きアクセスで使用されるデバイスの場合、Enabled の値は TrueDeviceTrustLevel の値は Managed でなければなりません。For devices that are used in Conditional Access, the value for Enabled must be True and DeviceTrustLevel must be Managed.

サービスの詳細を確認するには:To check the service details:

  1. Windows PowerShell を管理者として開きます。Open Windows PowerShell as an administrator.
  2. Connect-MsolService」と入力して Azure テナントに接続します。Enter Connect-MsolService to connect to your Azure tenant.
  3. get-msoldevice -deviceId <deviceId> 」を入力します。Enter get-msoldevice -deviceId <deviceId>.
  4. [有効][True] に設定されていることを確認します。Verify that Enabled is set to True.

実装のトラブルシューティングTroubleshoot your implementation

ドメイン参加済み Windows デバイスのハイブリッド Azure AD 参加を行うときに問題が発生した場合は、以下を参照してください。If you experience issues with completing hybrid Azure AD join for domain-joined Windows devices, see:

次の手順Next steps

Azure portal を使用してデバイス ID を管理する方法を学習します。Learn how to manage device identities by using the Azure portal.