デバイス登録を構成および管理する
あらゆる形状とサイズのデバイスの急増および Bring Your Own Device (BYOD) の急増によって、IT 担当者は、次の 2 つの対立する目標を達成することを迫られています。
- エンド ユーザーがいつでも、どこでも、どのデバイスでも常に生産性をあげられるようにする
- 組織の資産を保護すること
これらの資産を保護するために、IT スタッフは、まずデバイス ID を管理する必要があります。 IT スタッフは、Microsoft Intune などのツールを使用して、デバイス ID に基づいてセキュリティとコンプライアンスの基準を満たすことができます。 Microsoft Entra ID を使用すると、これらのデバイスを通じてどこからでもデバイス、アプリ、およびサービスにシングル サインオンすることができます。
- ユーザーは、必要な組織の資産へのアクセス権を取得します。
- IT スタッフは、組織を保護するために必要なコントロールを取得します。
Microsoft Entra の登録デバイス
Microsoft Entra ID 登録済みデバイスの目的は、BYOD またはモバイル デバイスのシナリオへのサポートをユーザーに提供することです。 これらのシナリオでは、ユーザーは個人用デバイスを使用して、Microsoft Entra ID で制御された組織のリソースにアクセスできます。
| Microsoft Entra 登録済み | 説明 |
|---|---|
| 定義 | 組織アカウントでのデバイスへのサインインを必要としない Microsoft Entra ID 登録 |
| 主な対象 | Bring Your Own Device (BYOD)、モバイル デバイスに適用 |
| デバイスの所有権 | ユーザーまたは組織 |
| オペレーティング システム | Windows 10、Windows 11、iOS、Android、macOS |
| デバイスのサインイン オプション | エンドユーザーのローカル資格情報、パスワード、Windows Hello、PIN 生体認証 |
| デバイス管理 | モバイル デバイス管理 (例:Microsoft Intune) |
| 主な機能 | クラウド リソースへの SSO、条件付きアクセス |
Microsoft Entra 登録済みデバイスは、Windows 10 デバイス上の Microsoft アカウントのようなローカル アカウントを使用してサインインされますが、組織のリソースへのアクセスのための Microsoft Entra アカウントも追加で保持しています。 組織のリソースへのアクセスは、その Microsoft Entra アカウントと、デバイス ID に適用される条件付きアクセス ポリシーに基づいて、さらに制限することができます。
管理者は、Microsoft Intune のようなモバイル デバイス管理 (MDM) ツールを使用して、これらの Microsoft Entra 登録済みデバイスをセキュリティで保護し、さらに制御することができます。 MDM では、ストレージの暗号化、パスワードの複雑さ、セキュリティ ソフトウェアを常に最新の状態に保つことを求めるなど、組織に必要な構成を適用する手段が提供されます。
Microsoft Entra ID の登録は、初めて職場のアプリケーションにアクセスすることで、または手動で Windows 10 設定メニューを使用することで行われます。
登録済みデバイスのシナリオ
組織内のユーザーは、メールのツールにアクセスし、休暇届を出し、自宅の PC から登録したいと考えています。 あなたの組織では、Intune 準拠デバイスからのアクセスを必要とする条件付きアクセス ポリシーの背後にこれらのツールが存在します。 ユーザーが自分の組織アカウントを追加し、自宅の PC を Microsoft Entra ID に登録すると、必要な Intune ポリシーが適用されて、リソースへのアクセスがユーザーに付与されます。
別のユーザーは、ルート化されている個人用の Android フォンで組織のメールにアクセスしたいと考えています。 会社では準拠デバイスが必要であり、ルート化されたすべてのデバイスをブロックするために Intune コンプライアンス ポリシーが作成されています。 このデバイス上の組織リソースへの従業員からのアクセスは阻止されます。
Microsoft Entra 参加済みデバイス
Microsoft Entra 参加は、クラウド優先またはクラウドのみを目指している組織を対象としています。 すべての組織で、サイズや業界に関係なく、Microsoft Entra 参加済みデバイスをデプロイすることができます。 Microsoft Entra 参加では、クラウドとオンプレミスの両方のアプリやリソースにアクセスすることができます。
| Microsoft Entra 参加済み | 説明 |
|---|---|
| 定義 | デバイスにサインインするための組織アカウントを必要とする Microsoft Entra にのみ参加します |
| 主な対象 | クラウド専用およびハイブリッド組織の両方に適しています |
| デバイスの所有権 | Organization |
| オペレーティング システム | Windows 10/11 Home を除くすべての Windows 10 および 11 デバイス |
| デバイス管理 | モバイル デバイス管理 (例:Microsoft Intune) |
| 主な機能 | クラウドとオンプレミスの両方のリソースへの SSO、条件付きアクセス、セルフサービス パスワード リセット、Windows Hello の PIN リセット |
Microsoft Entra 参加済みデバイスには、組織の Microsoft Entra アカウントを使用してサインインします。 組織のリソースへのアクセスは、その Microsoft Entra アカウントと、デバイス ID に適用される条件付きアクセス ポリシーに基づいて、さらに制限することができます。
管理者は、Microsoft Intune のようなモバイル デバイス管理 (MDM) ツールを使用するか、共同管理シナリオで Microsoft Endpoint Configuration Manager を使用して、Microsoft Entra 参加済みデバイスをセキュリティで保護し、さらに制御することができます。 これらのツールでは、ストレージの暗号化、パスワードの複雑さ、ソフトウェアのインストール、およびソフトウェアの更新を必要とするなど、組織に必要な構成を適用する手段が提供されます。 管理者は、Configuration Manager を使用して Microsoft Entra 参加済みデバイスで組織のアプリケーションを利用できるようにすることができます。
Microsoft Entra 参加は、Out of Box Experience (OOBE)、一括登録、または Windows Autopilot などのセルフサービス オプションを使用して実行できます。
Microsoft Entra 参加済みデバイスでは、オンプレミス リソースが組織のネットワーク上にある場合、引き続きそれらへのシングル サインオン アクセスを維持できます。 Microsoft Entra 参加済みデバイスは、ファイル、印刷、その他のアプリケーションなどのオンプレミス サーバーに対して認証を行います。
参加済みデバイスのシナリオ
Microsoft Entra 参加は主に、オンプレミスの Windows Server Active Directory インフラストラクチャを持たない組織を対象としていますが、次のようなシナリオで使用できます。
- Microsoft Entra ID および Intune などの MDM を使用してクラウド ベースのインフラストラクチャに移行しようと考えています。
- たとえばタブレットや電話などのモバイル デバイスを管理する必要があるが、オンプレミスのドメインへの参加を使用できない。
- ユーザーが主に必要としているのは、Microsoft 365 や Microsoft Entra ID に統合されているその他の SaaS アプリにアクセスすることである。
- ユーザーのグループを Active Directory ではなく Microsoft Entra ID で管理したい。 このシナリオは、季節従業員、請負業者、学生などに適用できます。
- リモートの支店の作業員に制限のあるオンプレミスのインフラに対する参加機能を提供したい。
Windows 10 Home を除き、すべての Windows 10 デバイスのために Microsoft Entra 参加済みデバイスを構成できます。
Microsoft Entra 参加済みデバイスの目的は、次の操作を単純化することです。
- 職場所有のデバイスの Windows でのデプロイ
- 任意の Windows デバイスからの組織のアプリとリソースへのアクセス
- 作業が所有するデバイスの、クラウド ベースの管理
- ユーザーが、Microsoft Entra ID または同期された Active Directory の職場あるいは学校アカウントを使用して、デバイスにサインインする。
Microsoft Entra 参加は、いくつかの異なる方法を使用して展開できます。
ハイブリッド Microsoft Entra 参加済みデバイス
10 年以上にわたって、多くの組織は、オンプレミスの Active Directory へのドメインの参加を使用して、次の操作を実行できるようにしてきました。
- IT 部門が一元化された場所から職場所有のデバイスを管理する。
- ユーザーが Active Directory の職場または学校アカウントを使用して自分のデバイスにサインインする。
通常、オンプレミスの占有領域を持つ組織は、イメージ作成方法を利用してデバイスを構成し、多くの場合、Configuration Manager またはグループ ポリシー (GP) を使用してそれらを管理します。
環境にオンプレミスの AD フットプリントがあり、Microsoft Entra ID によって提供される機能の恩恵も得たい場合は、ハイブリッド Microsoft Entra 参加済みデバイスを実装できます。 これらのデバイスは、オンプレミスの Active Directory に参加し、Microsoft Entra ディレクトリに登録されているデバイスです。
| ハイブリッド Microsoft Entra 参加済み | 説明 |
|---|---|
| 定義 | デバイスにサインインするために組織アカウントを必要とする、オンプレミスの AD と Microsoft Entra ID に参加します |
| 主な対象 | 既存のオンプレミス AD インフラストラクチャがあるハイブリッド組織に適しています |
| デバイスの所有権 | Organization |
| オペレーティング システム | Windows 11、10、8.1、7、および Windows Server 2008/R2、2012/R2、2016、2019 |
| デバイスのサインイン オプション | パスワード、または Windows Hello for Business |
| デバイス管理 | グループ ポリシー、Configuration Manager のスタンドアロンまたは Microsoft Intune との共同管理 |
| 主な機能 | クラウドとオンプレミスの両方のリソースへの SSO、条件付きアクセス、セルフサービス パスワード リセット、Windows Hello の PIN リセット |
ハイブリッド参加のシナリオ
次の場合、Microsoft Entra ハイブリッド参加済みデバイスを使用します。
- Active Directory マシン認証に依存しているこれらのデバイスに Win32 アプリがデプロイされています。
- 引き続き、グループ ポリシーを使用して、デバイス構成を管理したいと思っています。
- 引き続き、既存のイメージング ソリューションを使用して、デバイスをデプロイして構成したいと思っています。
- Windows 10 に加え、ダウンレベルの Windows 7 および 8.1 デバイスをサポートする必要があります。
デバイス ライトバック
クラウド ベースの Microsoft Entra ID 構成では、デバイスは Microsoft Entra ID に登録されるだけです。 オンプレミス AD には、デバイスの可視性がありません。 これは、クラウドでの条件付きアクセスの設定と保守が容易であることを意味します。 ただし、このセクションでは、Microsoft Entra Connect を使用したハイブリッド設定について説明します。 デバイスが Microsoft Entra ID にのみ存在する場合、デバイスを使用するオンプレミスの条件付きアクセスを実行するにはどうすればよいでしょうか? デバイス ライトバックは、AD で Microsoft Entra ID で登録されているデバイスを追跡するのに役立ちます。 コンテナー "登録済みデバイス" にデバイス オブジェクトのコピーが作成されます
シナリオ: ユーザーが登録済みデバイスから取得した場合にのみ、ユーザーにアクセス権を付与するアプリケーションがあります。
クラウド:任意の Microsoft Entra 統合アプリケーションに対して条件付きアクセス ポリシーを記述して、デバイスが Microsoft Entra ID に参加しているかどうかに基づいて認可を行うことができます。
オンプレミス: これは、デバイス ライトバックなしでは実行できません。 アプリケーションが ADFS (2012 以降) と統合されている場合は、要求規則を記述してデバイスの状態を確認し、"管理対象" 要求が存在する場合にのみアクセスを提供できます。 この要求を発行するために、ADFS は "登録済みデバイス" コンテナー内のデバイス オブジェクトを確認し、それに応じて要求を発行します。
Windows Hello For Business (WHFB) には、ハイブリッドとフェデレーションのシナリオで機能するデバイス ライトバックが必要です。