Microsoft Entra 参加とは
デバイス ID と条件付きアクセスについて理解が深まりました。 Microsoft Entra 参加を調査し、Azure とオンプレミスの Active Directory Domain Services の両方のデバイス管理を改善するために、それをどのように使用できるかについて調べる必要があります。
このユニットでは、Microsoft Entra 参加と、それをインフラストラクチャとデバイスの管理に使用する方法について学習します。
Microsoft Entra 参加の基本
Microsoft Entra 参加を使用すると、オンプレミスの Active Directory インスタンスとの同期を必要とすることなく、デバイスを Microsoft Entra 組織に参加させることができます。 Microsoft Entra 参加は、主にクラウドをベースとする組織に最適ですが、クラウドとオンプレミスのハイブリッド環境でも動作できます。
サポートされているデバイス
Microsoft Entra 参加は、Windows 10、Windows 11、または Windows Server 2019 のデバイスで動作します。 Windows Server 2019 Server Core のインストールはサポートされていません。 これより古い Windows オペレーティング システムを使用している場合は、Windows 10、Windows 11 または Windows Server 2019 にアップグレードする必要があります。
ID インフラストラクチャ
組織のニーズに最も適した ID インフラストラクチャ モデルを決定します。
- マネージド環境: この環境では、パススルー認証またはパスワード ハッシュ同期を使用して、デバイスにシングル サインオン (SSO) が提供されます。
- フェデレーション環境: これらの環境では、ID プロバイダーを使用する必要があります。 このプロバイダーは、Windows デバイスで Microsoft Entra 参加がネイティブで機能するために WS-Trust プロトコルと WS-Fed プロトコルをサポートしている必要があります。 WS-Fed は、デバイスを Microsoft Entra ID に参加させるために必要です。 WS-Trust は、Microsoft Entra 参加済みデバイスにサインインするために必要です。
- スマート カードと証明書ベースの認証: これらの方法は、デバイスを Microsoft Entra ID に参加させるための有効な方法ではありません。 ただし、Active Directory フェデレーション サービス (AD FS) が構成されている場合は、スマート カードを使用して Microsoft Entra 参加済みデバイスにサインインできます。 Windows 10 および Windows 11 デバイスへのパスワードレス認証をサポートしている Windows Hello for Business のようなサービスを使用することをお勧めします。
- 手動でのユーザー構成: オンプレミスの Active Directory インスタンスでユーザーを作成する場合は、Microsoft Entra Connect を使用して、アカウントを Microsoft Entra ID に同期する必要があります。 Microsoft Entra ID にユーザーを作成する場合、追加のセットアップは必要ありません。
デバイス管理
Microsoft Entra 参加では、モバイル デバイス管理 (MDM) プラットフォームを使用して、Microsoft Entra ID に接続されているデバイスを管理します。 MDM は、ストレージの暗号化、複雑なパスワード、ソフトウェアのインストール、ソフトウェアの更新など、組織で必要とされる構成を強制するための手段を備えています。
最新バージョンの Windows 10 と Windows 11 には、互換性のあるすべての MDM システムで動作する MDM クライアントが組み込まれています。
Microsoft Entra 参加済みデバイスを管理するには、次の 2 とおりの方法があります。
MDM のみ: 参加済みのすべてのデバイスが、Intune などの MDM プロバイダーを通じて排他的に管理されます。 組織でグループ ポリシーを使用している場合は、サポートに対する MDM ポリシーを確認する必要があります。
共同管理: 参加済みのすべてのデバイスで、ローカルにインストールされた System Center Configuration Manager エージェントと MDM プロバイダーの組み合わせが使用されます。 Microsoft Intune では、Configuration Manager を介して共同管理機能が提供されます。 MDM によってユーザー管理ポリシーが提供されている間は、Configuration Manager を使用してデバイスを管理できます。
MDM のみのアプローチを使用して、すべての Microsoft Entra 参加済みデバイスを管理することをお勧めします。
リソースとアプリケーションへのアクセスに関する考慮事項
最適なユーザー エクスペリエンスを実現し、アプリケーションへのアクセスを向上させるには、すべてのアプリケーションとリソースを Azure に移行することを検討してください。 これは可能な場合もありますが、現実的でない場合もあります。 このセクションでは、ご利用のアプリケーションとリソースのアクセス オプションについて調べます。
クラウドベース アプリケーション: 移行されたアプリとすべての新しいアプリケーションは、Microsoft Entra アプリ ギャラリーに追加されます。 Microsoft Entra 参加ユーザーは、SSO を使用してこれらのアプリケーションにアクセスできます。 SSO はブラウザーの大部分でサポートされています。 Microsoft Entra 参加では、Win32 をまだ使用しているアプリケーションにアクセスするデバイスに対して、SSO のサポートが提供されます。
オンプレミスの Web アプリケーション: オンプレミスでホストされている特注またはオーダーメイドのソフトウェアには、Microsoft Entra 参加を介して引き続きアクセスできます。 これらのアプリケーションにアクセスするには、各ユーザーが、アプリが存在する場所に応じて、信頼済みサイトまたはイントラネット ゾーンにアプリを追加する必要があります。 このアクションにより、ユーザーに認証を求めることなく、アプリケーションで Windows 統合認証を使用できるようになります。
その他のデバイス: このオプションには、以前のプロトコルを使用した既存のアプリケーションと、オンプレミスのネットワーク共有が含まれます。 Microsoft Entra 参加済みデバイスがドメイン コントローラーに接続されている場合、どちらのソフトウェアも、そのデバイスで SSO を介して使用できます。
プリンター リソース: これらのリソースは、Microsoft Entra 参加を介して自動的に利用可能にはなりません。 ユーザーは、プリンターの UNC パスを使用すると、引き続きプリンターに接続できます。
プロビジョニング オプション
Microsoft Entra 参加をデプロイするときに、デバイスをプロビジョニングして Microsoft Entra ID に参加させる方法として、次の 3 つの選択肢があります。
セルフサービス: 新しいデバイスの Windows ut-of-box experience (OOBE) 時に、または古いデバイスの Windows 設定を使用して、ユーザーが手動でデバイスを構成する必要があります。 セルフサービスは、技術的な経験が豊富なユーザーに適しています。
Windows Autopilot:Active Directory 組織へのデバイスの自動参加、MDM の自動登録、顧客の OOBE コンテンツの作成など、Windows デバイスの事前構成を行うことができます。 この方法により、組織全体でのデバイスの管理と配置が簡単になります。 Windows デバイスをプロビジョニングしてデプロイできます。 ユーザーは、新しいユーザーであるかのように OOBE を完了します。
一括登録: 同時に多数の新しい Windows デバイスに適用するプロビジョニング パッケージを設定することができます。
次の表に、各方法の主要な機能を示します。
| 機能 | セルフ サービス | Windows Autopilot | 一括登録 |
|---|---|---|---|
| セットアップ時のユーザーの操作 | はい | 有効 | いいえ |
| IT の関与 | いいえ | イエス | はい |
| 適用可能なフロー | OOBE と設定 | OOBE のみ | OOBE のみ |
| プライマリ ユーザーへのローカル管理者権限 | はい | 構成可能 | いいえ |
| 必須の OEM サポート | いいえ | イエス | いいえ |
デバイス設定
Azure portal では、新しいデバイスを組織に参加させる方法を制御できます。 [Microsoft Entra ID]>[デバイス]>[デバイスの設定] の順に移動します。 そこで、次の機能を構成し、Microsoft Entra 参加を有効にすることができます。
| フィールド | 説明 |
|---|---|
| ユーザーはデバイスをMicrosoft Entra ID に参加させることができます | [すべて] は、任意のユーザーに自分のデバイスを参加させることを許可します。 [選択された] は、デバイスを参加させることができる特定のユーザーを追加できます。 [なし] は、すべてのユーザーが自分のデバイスを参加させられないようにします。 |
| Microsoft Entra 参加済みデバイスにおけるローカル管理者の追加 | 参加しているすべてのデバイスで、ローカル管理者として含まれるように他のユーザーを指定できます。 既定では、このオプションは有効になっています。 Microsoft Entra ID により、全体管理者ロールとデバイス管理者ロールがデバイスのローカル管理者として追加されます。 |
| ユーザーはデバイスを Microsoft Entra に登録できます | ユーザーが Microsoft Entra 参加にデバイスを登録できるようにします。 Microsoft Intune または Microsoft 365 用のモバイル デバイス管理を使用している場合は、デバイスの登録が必要です。 これらのサービスのいずれかが Microsoft Entra 組織で構成されている場合は、[すべて] が選択され、このオプションは無効になります。 |
| デバイスを参加させるには多要素認証が必要 | デバイスが Microsoft Entra ID に参加するときに Microsoft Entra 多要素認証を適用できます。 ユーザーが多要素認証を使用してデバイスを Microsoft Entra ID に参加させる場合、デバイス自体が第 2 要素になります。 |
| ユーザーごとのデバイスの最大数 | ユーザーが Microsoft Entra ID で所有できるデバイスの最大数を指定できます。 この最大数に達した場合、ユーザーはデバイスを削除しないと新しいデバイスは追加できません。 |
このシナリオでは、ユーザーのパイロット グループを追加して、AD 参加を試すことができます。 その場合は、[ユーザーはデバイスを Microsoft Entra ID に参加させることができます]>[選択済み] の順に選択し、パイロット グループのメンバーを追加します。 Microsoft Entra 参加を Microsoft Entra 組織全体にデプロイする準備ができたら、[すべて] を選択します。
モビリティ設定
モビリティ設定を構成する前に、MDM プロバイダーの追加が必要になる場合があります。 MDM プロバイダーを追加するには、[Microsoft Entra ID]>[Mobility (MDM and MAM)]>[アプリケーションの追加] の順に移動します。
MDM プロバイダーを追加したら、次のモビリティ設定を構成できます。
| モビリティ設定 | 説明 |
|---|---|
| MDM ユーザー スコープ | [なし]、[一部]、[すべて] のいずれかを選択します。 ユーザーが MDM スコープ内に "あり"、Microsoft Entra P1 または P2 サブスクリプションを持っている場合、MDM 登録は Microsoft Entra 参加と共に自動化されます。 スコープ内のすべてのユーザーは、MDM の適切なライセンスを持っている必要があります。 そうでない場合、MDM 登録は失敗し、Microsoft Entra 参加はロールバックされます。 ユーザーが MDM スコープ内に "ない" 場合、Microsoft Entra 参加は MDM 登録なしで終了します。 デバイスはアンマネージド デバイスです。 |
| MDM URL | MDM 構成に関係する 3 つの URL は [MDM 使用条件 URL]、[MDM 探索 URL]、および [MDM 準拠 URL] です。 各 URL には、定義済みの既定値があります。 これらのフィールドが空の場合、詳細については MDM プロバイダーに問い合わせてください。 |
| MAM 設定 | モバイル アプリケーション管理 (MAM) は、Microsoft Entra 参加には適用されません。 |
組織のリソースへのアクセスは、あなたの組織が管理し、ご利用の MDM システムに準拠していると見なされたデバイスのみに制限する必要があることを思い出してください。 このシナリオでは、組織の MDM プロバイダーを追加し、[MDM ユーザー スコープ]>[すべて] の順に選択します。
Windows 10 または Windows 11 デバイスを参加させるときのユーザー エクスペリエンス
あなたは、テクノロジに精通した従業員に新しいデバイスを提供しました。 彼らはセルフサービス方式を使用して、多要素認証を使用している Active Directory 組織にデバイスを参加させます。 次の手順は、ワークフローがどのようになるかを示しています。
デバイスを起動したら、従業員は画面の指示に従って、地域のカスタマイズや言語の選択などの設定を行います。
従業員は Microsoft ソフトウェアライセンス条項に同意します。
従業員は、クラウドに接続するためのネットワーク接続を選択します。
[この PC はだれが所有していますか?] と聞かれたら、従業員は [This device belongs to my organization](このデバイスは自分の組織が所有しています) を選択します。
従業員は、組織によって提供された資格情報を使用してサインインします。
従業員には、多要素認証チャレンジが要求されます。
Microsoft Entra ID では、構成設定をチェックして、デバイスを MDM に登録する必要があるかどうかを確認します。
構成のチェックが正常に完了すると、デバイスは、組織の Microsoft Entra インスタンスに登録されます。 MDM を使用している場合は、デバイスが登録されて管理されます。