デバイス ID とはWhat is a device identity?

あらゆる形状とサイズのデバイスの急増および Bring Your Own Device (BYOD) の概念によって、IT 担当者は、次の 2 つの対立する目標を達成することを迫られています。With the proliferation of devices of all shapes and sizes and the Bring Your Own Device (BYOD) concept, IT professionals are faced with two somewhat opposing goals:

  • 場所や時間を問わず、常にエンド ユーザーの生産性を高められるようにすることAllow end users to be productive wherever and whenever
  • 組織の資産を保護することProtect the organization's assets

これらの資産を保護するために、IT スタッフは、まずデバイス ID を管理する必要があります。To protect these assets, IT staff need to first manage the device identities. IT スタッフは、Microsoft Intune などのツールを使用して、デバイス ID に基づいてセキュリティとコンプライアンスの基準を満たすことができます。IT staff can build on the device identity with tools like Microsoft Intune to ensure standards for security and compliance are met. Azure Active Directory (Azure AD) を使用すると、これらのデバイスを通じてどこからでもデバイス、アプリ、およびサービスにシングル サインオンできます。Azure Active Directory (Azure AD) enables single sign-on to devices, apps, and services from anywhere through these devices.

  • ユーザーは、必要な組織の資産へのアクセス権を取得します。Your users get access to your organization's assets they need.
  • IT スタッフは、組織を保護するために必要な制御を取得します。Your IT staff get the controls they need to secure your organization.

デバイス ID 管理は、デバイス ベースの条件付きアクセスの基盤です。Device identity management is the foundation for device-based conditional access. デバイス ベースの条件付きアクセス ポリシーにより、マネージド デバイスのみが、ご使用の環境内のリソースにアクセスできるようにします。With device-based conditional access policies, you can ensure that access to resources in your environment is only possible with managed devices.

Azure AD でのデバイスの取得Getting devices in Azure AD

Azure AD にデバイスを追加する場合、次の複数のオプションがあります。To get a device in Azure AD, you have multiple options:

  • Azure AD 登録済みAzure AD registered
    • Azure AD 登録済みのデバイスは、通常、個人所有のデバイスかモバイル デバイスであり、個人の Microsoft アカウントまたは別のローカル アカウントを使用してサインインします。Devices that are Azure AD registered are typically personally owned or mobile devices, and are signed into with a personal Microsoft account or another local account.
      • Windows 10Windows 10
      • iOSiOS
      • AndroidAndroid
      • MacOSMacOS
  • Azure AD 参加済みAzure AD joined
    • Azure AD 参加済みのデバイスは、組織所有であり、その組織に属する Azure AD アカウントを使用してサインインします。Devices that are Azure AD joined are owned by an organization, and are signed in to with an Azure AD account belonging to that organization. これらはクラウド内にのみ存在します。They exist only in the cloud.
      • Windows 10Windows 10
  • ハイブリッド Azure AD 参加済みHybrid Azure AD joined
    • ハイブリッド Azure AD 参加済みのデバイスは、組織所有であり、その組織に属する Azure AD アカウントを使用してサインインします。Devices that are hybrid Azure AD joined are owned by an organization, and are signed in to with an Azure AD account belonging to that organization. これらはクラウド内とオンプレミスに存在します。They exist in the cloud and on-premises.
      • Windows 7、8.1、または 10Windows 7, 8.1, or 10
      • Windows Server 2008 以降Windows Server 2008 or newer

[Azure AD デバイス] ブレードに表示されるデバイス

デバイス管理Device management

Azure AD のデバイスは、Microsoft Intune、System Center Configuration Manager、グループ ポリシー (ハイブリッド Azure AD 参加)、モバイル アプリケーション管理 (MAM) ツール、その他のサードパーティ ツールなど、モバイル デバイス管理 (MDM) ツールを使用して管理できます。Devices in Azure AD can be managed using Mobile Device Management (MDM) tools like Microsoft Intune, System Center Configuration Manager, Group Policy (hybrid Azure AD join), Mobile Application Management (MAM) tools, or other third-party tools.

リソース アクセスResource access

登録および参加により、ユーザーはクラウド リソースにシームレスにサインオン (SSO) できるようになり、一方で管理者はそれらのリソースに対して条件付きアクセス ポリシーを適用できるようになります。Registering and joining give your users Seamless Sign-on (SSO) to cloud resources and administrators the ability to apply Conditional Access policies to those resources.

Azure AD 参加済みまたはハイブリッド Azure AD 参加済みのデバイスには、組織のオンプレミス リソースとクラウド リソースに SSO できるという利点があります。Devices that are Azure AD joined or hybrid Azure AD joined benefit from SSO to your organization's on-premises resources as well as cloud resources. 詳細については、記事「Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ」をご覧ください。More information can be found in the article, How SSO to on-premises resources works on Azure AD joined devices.

デバイスのセキュリティDevice security

  • Azure AD 登録済みデバイスでは、エンド ユーザーが管理するアカウントが使用されます。このアカウントは、Microsoft アカウントであるか、または次の 1 つ以上の方法で保護される、ローカル管理の別の資格情報です。Azure AD registered devices utilize an account managed by the end user, this account is either a Microsoft account or another locally managed credential secured with one or more of the following.
    • パスワードPassword
    • PINPIN
    • PatternPattern
    • Windows HelloWindows Hello
  • Azure AD 参加済みデバイス、またはハイブリッド Azure AD 参加済みデバイスでは、次の 1 つ以上の方法で保護される、Azure AD の組織アカウントが使用されます。Azure AD joined or hybrid Azure AD joined devices utilize an organizational account in Azure AD secured with one or more of the following.
    • パスワードPassword
    • Windows Hello for BusinessWindows Hello for Business

プロビジョニングProvisioning

Azure AD へのデバイスの追加は、セルフ サービス方式、または管理者が制御するプロビジョニング プロセスで実行できます。Getting devices in to Azure AD can be done in a self-service manner or a controlled provisioning process by administrators.

まとめSummary

Azure AD のデバイス ID 管理では、以下が可能です。With device identity management in Azure AD, you can:

  • デバイスを Azure AD に設定して管理するプロセスを簡略化するSimplify the process of bringing and managing devices in Azure AD
  • 組織のクラウドベースのリソースへの使いやすいアクセス方法をユーザーに提供するProvide your users with an easy to use access to your organization’s cloud-based resources

ライセンスの要件License requirements

この機能を使用するには、Azure AD Premium P1 ライセンスが必要です。Using this feature requires an Azure AD Premium P1 license. 要件に対する適切なライセンスを確認するには、「 Free、Basic、および Premium エディションの一般公開されている機能の比較」をご覧ください。To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

次の手順Next steps