方法:Hybrid Azure Active Directory 参加の実装を計画するHow To: Plan your hybrid Azure Active Directory join implementation

デバイスはユーザーと同様、保護の対象であり、時と場所を選ばずにリソースを保護するために使用したいもう 1 つの重要な ID です。In a similar way to a user, a device is another core identity you want to protect and use it to protect your resources at any time and from any location. この目標は、次のいずれかの方法を使用してデバイスの ID を Azure AD に設定して管理することで達成できます。You can accomplish this goal by bringing and managing device identities in Azure AD using one of the following methods:

  • Azure AD 参加Azure AD join
  • ハイブリッド Azure AD 参加Hybrid Azure AD join
  • Azure AD の登録Azure AD registration

Azure AD にデバイスを設定して、クラウドとオンプレミスのリソースでのシングル サインオン (SSO) を実現することで、ユーザーの生産性を最大化できます。By bringing your devices to Azure AD, you maximize your users' productivity through single sign-on (SSO) across your cloud and on-premises resources. 同時に、条件付きアクセスを使用して、クラウドとオンプレミスのリソースへのアクセスを保護することもできます。At the same time, you can secure access to your cloud and on-premises resources with Conditional Access.

オンプレミスの Active Directory (AD) 環境があるときに、AD ドメイン参加済みコンピューターを Azure AD に参加させたい場合は、ハイブリッド Azure AD 参加を実行してこれを実現できます。If you have an on-premises Active Directory (AD) environment and you want to join your AD domain-joined computers to Azure AD, you can accomplish this by doing hybrid Azure AD join. この記事では、ご使用の環境でハイブリッド Azure AD 参加を実装するための関連する手順について説明します。This article provides you with the related steps to implement a hybrid Azure AD join in your environment.

前提条件Prerequisites

この記事では、Azure Active Directory でのデバイス ID 管理の概要を理解していることを前提としますThis article assumes that you are familiar with the Introduction to device identity management in Azure Active Directory.

注意

Windows 10 の Hybrid Azure AD 参加に最低限必要なドメイン コントローラー バージョンは、Windows Server 2008 R2 です。The minimum required domain controller version for Windows 10 hybrid Azure AD join is Windows Server 2008 R2.

実装の計画Plan your implementation

ハイブリッド Azure AD の実装を計画するには、以下を理解する必要があります。To plan your hybrid Azure AD implementation, you should familiarize yourself with:

  • サポート対象デバイスを確認するReview supported devices
  • 知っておくべきことを確認するReview things you should know
  • ハイブリッド Azure AD 参加の制御された検証を確認するReview controlled validation of hybrid Azure AD join
  • ID インフラストラクチャに基づいてシナリオを選択するSelect your scenario based on your identity infrastructure
  • ハイブリッド Azure AD 参加でのオンプレミス AD UPN サポートを確認するReview on-premises AD UPN support for hybrid Azure AD join

サポート対象デバイスを確認するReview supported devices

ハイブリッド Azure AD 参加は、幅広い Windows デバイスをサポートしています。Hybrid Azure AD join supports a broad range of Windows devices. 旧バージョンの Windows を実行しているデバイスの構成の場合、追加の手順または異なる手順が必要なので、サポートされるデバイスは 2 つのカテゴリにグループ化されます。Because the configuration for devices running older versions of Windows requires additional or different steps, the supported devices are grouped into two categories:

最新の Windows デバイスWindows current devices

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
    • :Azure 国内クラウドのお客様にはバージョン 1809 が必要ですNote: Azure National cloud customers require version 1809
  • Windows Server 2019Windows Server 2019

Windows デスクトップ オペレーティング システムを実行しているデバイスの場合、サポートされているバージョンについてはこの記事「Windows 10 リリース情報」を参照してください。For devices running the Windows desktop operating system, supported version are listed in this article Windows 10 release information. ベスト プラクティスとして、Microsoft は Windows 10 の最新バージョンにアップグレードすることをお勧めします。As a best practice, Microsoft recommends you upgrade to the latest version of Windows 10.

ダウンレベルの Windows デバイスWindows down-level devices

最初の計画手順として、環境を確認し、ダウンレベルの Windows デバイスをサポートする必要があるかどうかを判断する必要があります。As a first planning step, you should review your environment and determine whether you need to support Windows down-level devices.

知っておくべきことを確認するReview things you should know

サポートされていないシナリオUnsupported scenarios

  • ID データを複数の Azure AD テナントに同期する単一 AD フォレストで構成されている環境の場合、ハイブリッド Azure AD 参加は現在サポートされていません。Hybrid Azure AD join is currently not supported if your environment consists of a single AD forest synchronizing identity data to more than one Azure AD tenant.

  • ハイブリッド Azure AD 参加は、ドメイン コントローラー (DC) ロールを実行している Windows Server ではサポートされていません。Hybrid Azure AD join is not supported for Windows Server running the Domain Controller (DC) role.

  • 資格情報のローミングや、ユーザー プロファイルまたは必須のプロファイルのローミングを使用している場合、Hybrid Azure AD 参加は Windows ダウンレベル デバイスではサポートされていません。Hybrid Azure AD join is not supported on Windows down-level devices when using credential roaming or user profile roaming or mandatory profile.

  • Server Core OS では、どの種類のデバイス登録もサポートされていません。Server Core OS doesn't support any type of device registration.

OS イメージングの考慮事項OS imaging considerations

  • システム準備ツール (Sysprep) を使用していて、インストールに pre-Windows 10 1809 イメージを使用している場合は、そのイメージが既にハイブリッド Azure AD 参加として Azure AD に登録されているデバイスからのものではないことを確認します。If you are relying on the System Preparation Tool (Sysprep) and if you are using a pre-Windows 10 1809 image for installation, make sure that image is not from a device that is already registered with Azure AD as Hybrid Azure AD join.

  • 仮想マシン (VM) のスナップショットを利用して追加の VM を作成する場合は、そのスナップショットが、既にハイブリッド Azure AD 参加として Azure AD に登録されている VM からのものではないことを確認します。If you are relying on a Virtual Machine (VM) snapshot to create additional VMs, make sure that snapshot is not from a VM that is already registered with Azure AD as Hybrid Azure AD join.

  • 再起動時にディスクへの変更をクリアする 統合書き込みフィルター および類似のテクノロジーを使用している場合、デバイスが Hybrid Azure AD に結合した後にそれらを適用する必要があります。If you are using Unified Write Filter and similar technologies that clear changes to the disk at reboot, they must be applied after the device is Hybrid Azure AD joined. Hybrid Azure AD の結合を完了する前にこのようなテクノロジーを有効にすると、再起動のたびにデバイスが切断されることになりますEnabling such technologies prior to completion of Hybrid Azure AD join will result in the device getting unjoined on every reboot

Azure AD 登録状態のデバイスの処理Handling devices with Azure AD registered state

Windows 10 ドメイン参加済みデバイスが既にテナントへの Azure AD 登録済みである場合、デバイスは、Hybrid Azure AD 参加済みでかつ Azure AD に登録済みの二重状態になる可能性があります。If your Windows 10 domain joined devices are Azure AD registered to your tenant, it could lead to a dual state of Hybrid Azure AD joined and Azure AD registered device. このシナリオに自動的に対処するには、(KB4489894 が適用された) Windows 10 1803 以上にアップグレードすることをお勧めします。We recommend upgrading to Windows 10 1803 (with KB4489894 applied) or above to automatically address this scenario. 1803 より前のリリースでは、Hybrid Azure AD 参加を有効にする前に、Azure AD の登録済み状態を手動で削除する必要があります。In pre-1803 releases, you will need to remove the Azure AD registered state manually before enabling Hybrid Azure AD join. 1803 以降のリリースでは、この二重状態を回避するために次の変更が行われています。In 1803 and above releases, the following changes have been made to avoid this dual state:

  • "デバイスが Hybrid Azure AD 参加済みになり、同じユーザーがログインした後"、ユーザーの既存の Azure AD 登録済み状態は自動的に削除されます。Any existing Azure AD registered state for a user would be automatically removed after the device is Hybrid Azure AD joined and the same user logs in. たとえば、ユーザー A がデバイスに Azure AD 登録済み状態を持っている場合は、ユーザー A がデバイスにログインしたときにのみ、ユーザー A の二重状態はクリーンアップされます。For example, if User A had an Azure AD registered state on the device, the dual state for User A is cleaned up only when User A logs in to the device. 同じデバイスに複数のユーザーがいる場合、それらのユーザーがログインすると、二重状態は個別にクリーンアップされます。if there are multiple users on the same device, the dual state is cleaned up individually when those users log in.
  • 次のレジストリ値を HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin に追加すると、ドメイン参加済みデバイスが Azure AD 登録済みになることを防ぐことができます:"BlockAADWorkplaceJoin"=dword:00000001。You can prevent your domain joined device from being Azure AD registered by adding the following registry value to HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin: "BlockAADWorkplaceJoin"=dword:00000001.
  • Windows 10 1803 では、Windows Hello for Business が構成されている場合、ユーザーは、二重状態のクリーンアップ後に Windows Hello for Business を再設定する必要があります。この問題は KB4512509 で解決されていますIn Windows 10 1803, if you have Windows Hello for Business configured, the user needs to re-setup Windows Hello for Business after the dual state clean up.This issue has been addressed with KB4512509

注意

Azure AD 登録済みデバイスは、Intune で管理されている場合、自動的に削除されません。The Azure AD registered device will not be automatically removed if it is managed by Intune.

その他の注意点Additional considerations

  • 環境で仮想デスクトップ インフラストラクチャ (VDI) を使用する場合は、「デバイス ID とデスクトップ仮想化」を参照してください。If your environment uses virtual desktop infrastructure (VDI), see Device identity and desktop virtualization.

  • Hybrid Azure AD 参加は、FIPS に準拠している TPM 2.0 でサポートされており、TPM 1.2 ではサポートされていません。Hybrid Azure AD join is supported for FIPS-compliant TPM 2.0 and not supported for TPM 1.2. FIPS に準拠している TPM 1.2 がデバイスにある場合は、Hybrid Azure AD 参加を進める前に、それらを無効にする必要があります。If your devices have FIPS-compliant TPM 1.2, you must disable them before proceeding with Hybrid Azure AD join. TPM の FIPS モードを無効にするためのツールは、TPM の製造元に依存するため、Microsoft では用意していません。Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. サポートが必要な場合は、お使いのハードウェアの OEM にお問い合わせください。Please contact your hardware OEM for support.

  • Windows 10 1903 リリース以降、TPM 1.2 はハイブリッド Azure AD 結合では使用されず、それらの TPM を含むデバイスは TPM を持っていないものと見なされます。Starting from Windows 10 1903 release, TPMs 1.2 are not used with hybrid Azure AD join and devices with those TPMs will be considered as if they don't have a TPM.

ハイブリッド Azure AD 参加の制御された検証を確認するReview controlled validation of hybrid Azure AD join

すべての前提条件がそろったら、Windows デバイスが、Azure AD テナントにデバイスとして自動的に登録されます。When all of the pre-requisites are in place, Windows devices will automatically register as devices in your Azure AD tenant. Azure AD でのこれらのデバイス ID の状態は、ハイブリッド Azure AD 参加と呼ばれます。The state of these device identities in Azure AD is referred as hybrid Azure AD join. この記事で説明する概念の詳細については、Azure Active Directory でのデバイス ID 管理の概要に関する記事を参照してください。More information about the concepts covered in this article can be found in the article Introduction to device identity management in Azure Active Directory.

組織では、ハイブリッド Azure AD 参加を組織全体で同時に有効にする前に、その制御された検証を実行する必要がある場合があります。Organizations may want to do a controlled validation of hybrid Azure AD join before enabling it across their entire organization all at once. 実行方法については、ハイブリッド Azure AD 参加の制御された検証に関する記事を参照してください。Review the article controlled validation of hybrid Azure AD join to understand how to accomplish it.

ID インフラストラクチャに基づいてシナリオを選択するSelect your scenario based on your identity infrastructure

Hybrid Azure AD 参加は、UPN がルーティング可能かどうかに応じて、マネージド環境とフェデレーション環境の両方で動作します。Hybrid Azure AD join works with both, managed and federated environments depending on whether the UPN is routable or non-routable. サポートされるシナリオについては、ページ下部の表を参照してください。See bottom of the page for table on supported scenarios.

マネージド環境Managed environment

マネージド環境は、パスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA)シームレス シングル サインオンを使用してデプロイできます。A managed environment can be deployed either through Password Hash Sync (PHS) or Pass Through Authentication (PTA) with Seamless Single Sign On.

これらのシナリオでは、フェデレーション サーバーを認証用に構成する必要はありません。These scenarios don't require you to configure a federation server for authentication.

フェデレーション環境Federated environment

フェデレーション環境には、以下の要件をサポートする ID プロバイダーが必要です。A federated environment should have an identity provider that supports the following requirements. Active Directory フェデレーション サービス (AD FS) を使用しているフェデレーション環境がある場合は、以下の要件は既にサポートされています。If you have a federated environment using Active Directory Federation Services (AD FS), then the below requirements are already supported.

  • WIAORMULTIAUTHN 要求: この要求は、Windows ダウンレベル デバイスに対してハイブリッド Azure AD 参加を行うために必要です。WIAORMULTIAUTHN claim: This claim is required to do hybrid Azure AD join for Windows down-level devices.
  • WS-Trust プロトコル: このプロトコルは、Windows の現在のハイブリッド Azure AD 参加デバイスを Azure AD で認証するために必要です。WS-Trust protocol: This protocol is required to authenticate Windows current hybrid Azure AD joined devices with Azure AD. AD FS を使用している場合は、次の WS-Trust エンドポイントを有効にする必要があります。/adfs/services/trust/2005/windowstransportWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/windowstransport
    /adfs/services/trust/13/windowstransport
    /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

警告

adfs/services/trust/2005/windowstransportadfs/services/trust/13/windowstransport はどちらも、イントラネットに接続するエンドポイントとしてのみ有効にする必要があります。Web アプリケーション プロキシを介してエクストラネットに接続するエンドポイントとして公開することはできません。Both adfs/services/trust/2005/windowstransport or adfs/services/trust/13/windowstransport should be enabled as intranet facing endpoints only and must NOT be exposed as extranet facing endpoints through the Web Application Proxy. WS-Trust WIndows エンドポイントを無効にする方法の詳細については、プロキシの WS-Trust Windows エンドポイントを無効にする方法に関するセクションを参照してください。To learn more on how to disable WS-Trust Windows endpoints, see Disable WS-Trust Windows endpoints on the proxy. どのエンドポイントが有効になっているかは、AD FS 管理コンソールの [サービス] > [エンドポイント] で確認できます。You can see what endpoints are enabled through the AD FS management console under Service > Endpoints.

注意

Azure AD は、マネージド ドメインでのスマートカードや証明書をサポートしていません。Azure AD does not support smartcards or certificates in managed domains.

バージョン 1.1.819.0 以降の Azure AD Connect には、ハイブリッド Azure AD 参加を構成するためのウィザードが用意されています。Beginning with version 1.1.819.0, Azure AD Connect provides you with a wizard to configure hybrid Azure AD join. このウィザードを使用すると、構成プロセスを大幅に簡略化できます。The wizard enables you to significantly simplify the configuration process. Azure AD Connect の必要なバージョンをインストールすることができない場合は、デバイス登録を手動で構成する方法に関するページを参照してください。If installing the required version of Azure AD Connect is not an option for you, see how to manually configure device registration.

お使いの ID インフラストラクチャと一致するシナリオに基づいて、以下を参照してください。Based on the scenario that matches your identity infrastructure, see:

ハイブリッド Azure AD 参加でのオンプレミス AD ユーザー UPN サポートを確認するReview on-premises AD users UPN support for Hybrid Azure AD join

ときには、オンプレミスの AD ユーザー UPN が Azure AD UPN と異なる場合があります。Sometimes, your on-premises AD users UPNs could be different from your Azure AD UPNs. このような場合、Windows 10 の Hybrid Azure AD 参加では、認証方法、ドメインの種類、および Windows 10 のバージョンに基づいて、オンプレミスの AD UPN のサポートが提供されます。In such cases, Windows 10 Hybrid Azure AD join provides limited support for on-premises AD UPNs based on the authentication method, domain type and Windows 10 version. 環境内に存在できるオンプレミスの AD UPN は 2 種類あります。There are two types of on-premises AD UPNs that can exist in your environment:

  • ルーティング可能なユーザーの UPN: ルーティング可能な UPN には、ドメイン レジストラーに登録されている有効な確認済みドメインがあります。Routable users UPN: A routable UPN has a valid verified domain, that is registered with a domain registrar. たとえば、contoso.com が Azure AD 内のプライマリ ドメインの場合、contoso.org は、Contoso 社によって所有され、Azure AD で確認されているオンプレミスの AD 内のプライマリ ドメインです。For example, if contoso.com is the primary domain in Azure AD, contoso.org is the primary domain in on-premises AD owned by Contoso and verified in Azure AD
  • ルーティング不可能なユーザーの UPN: ルーティング不可能な UPN には、確認済みドメインはありません。Non-routable users UPN: A non-routable UPN does not have a verified domain. 組織のプライベート ネットワーク内でのみ適用されます。It is applicable only within your organization's private network. たとえば、contoso.com が Azure AD 内のプライマリ ドメインの場合、contoso.local はオンプレミスの AD 内のプライマリ ドメインですが、インターネットで確認可能なドメインではなく、Contoso 社のネットワーク内でのみ使用されます。For example, if contoso.com is the primary domain in Azure AD, contoso.local is the primary domain in on-premises AD but is not a verifiable domain in the internet and only used within Contoso's network.

注意

このセクションの情報は、オンプレミスのユーザー UPN に対してのみ適用されます。The information in this section applies only to an on-premises users UPN. オンプレミスのコンピューター ドメイン サフィックスには適用されません (例: computer1.contoso.local)。It isn't applicable to an on-premises computer domain suffix (example: computer1.contoso.local).

次の表は、Windows 10 の Hybrid Azure AD 参加における、これらのオンプレミスの AD UPN のサポートに関する詳細を示していますThe table below provides details on support for these on-premises AD UPNs in Windows 10 Hybrid Azure AD join

オンプレミスの AD UPN の種類Type of on-premises AD UPN ドメインの種類Domain type Windows 10 のバージョンWindows 10 version 説明Description
ルーティング可能Routable フェデレーションFederated 1703 リリースからFrom 1703 release 一般公開Generally available
ルーティング不可能Non-routable フェデレーションFederated 1803 リリースからFrom 1803 release 一般公開Generally available
ルーティング可能Routable マネージドManaged 1803 リリースからFrom 1803 release 一般公開されており、Windows ロック画面の Azure AD SSPR はサポートされていません。Generally available, Azure AD SSPR on Windows lockscreen is not supported
ルーティング不可能Non-routable マネージドManaged サポートされていませんNot supported

次のステップNext steps