Microsoft Entra参加済みとハイブリッド Microsoft Entraがクラウドネイティブ エンドポイントに参加している

ヒント

クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます:

• エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
• マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
• クラウド ネイティブ エンドポイント: Azure AD に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
• ワークロード: 任意のプログラム、サービス、またはプロセス。

条件付きアクセスやシングル サインオンMicrosoft Entraなど、重要で貴重なサービスの多くには、エンドポイントにクラウド ID が必要です。 所有organization Windows エンドポイントの場合、デバイスが参加またはハイブリッド Microsoft Entra参加Microsoft Entra場合、クラウド ID が作成されます。

クラウドネイティブ エンドポイントに移行するときは、参加済みデバイスとハイブリッド Microsoft Entra参加済みデバイスMicrosoft Entra違いを理解する必要があります。

• Microsoft Entra参加済み: デバイスはMicrosoft Entraに参加しています。 オンプレミスの Azure AD に参加していません。

  詳細については、「参加済みデバイスMicrosoft Entra(別の Microsoft Web サイトを開く)」を参照してください。

• ハイブリッド Microsoft Entra参加済み: デバイスはMicrosoft Entraに登録され、オンプレミスの AD ドメインに参加します。

  詳細については、ハイブリッド Microsoft Entra参加済みデバイス (別の Microsoft Web サイトを開く) に関するページを参照してください。

この機能は、以下に適用されます。

• Windows クラウドネイティブ エンドポイント

この記事では、参加済みデバイスとハイブリッド Microsoft Entra参加済みデバイスMicrosoft Entra違いについて説明します。 クラウドネイティブ エンドポイントとその利点の概要については、「クラウド ネイティブなエンドポイントとは」を参照してください。

Microsoft Entra参加済み

Windows 10/11 デバイスのようなエンドポイントが参加Microsoft Entra場合、エンドポイントはMicrosoft Entraとの信頼を確立し、Microsoft Entraに ID (device-id) を持ちます。 エンドポイントは組織によって管理および制御されます。

エンドポイントは、Microsoft Entraに参加しています。 オンプレミスの AD ドメインに参加していません。

Windows エンドポイントをMicrosoft Entraに参加させるには、いくつかのオプションがあります。

• Windows Autopilotを使用する。 Windows Autopilot は、Windows Out of Box Experience (OOBE) を通じてユーザーをガイドします。 ユーザーが職場または学校アカウントを入力すると、エンドポイントはMicrosoft Entraに参加します。

  Windows Autopilot に登録されているすべてのデバイスは、組織所有のデバイスと自動的に見なされます。 Windows Autopilot は、Microsoft Entraに参加し、IT によって管理organizationデバイスを取得するための最も採用されているアプローチの 1 つです。

• Windows Out Of Box Experience (OOBE)を使用する。 ユーザーがデバイスに職場または学校アカウントを入力すると、エンドポイントは自動的にMicrosoft Entraに参加します。

• 設定アプリを使用する。 デバイス上で、エンド ユーザーは設定アプリ ([アカウント]>[職場または学校にアクセスする]>[接続]) を開き、職場または学校のアカウントを使用します。

• ウィンドウ プロビジョニング パッケージを使用する。 詳細については、次を参照してください:

  • Windows用のプロビジョニング パッケージ
  • プロビジョニング パッケージを使用して Windows デバイスを一括参加してMicrosoft EntraしてMicrosoft Intuneする - ブログ記事Microsoft Tech Community

組織 IT の利点

• 条件付きアクセスを使用すると、要件を満たす、または満たさない組織のリソースへのアクセスを許可または制限できます。
• 設定と業務データを、エンタープライズ基準に準拠したクラウドを通じてローミングします。 Hotmail などの個人用 Microsoft アカウントは使用されておらず、ブロックできます。
• Windows Hello for Business を使用すると、資格情報の盗難リスクを減らすことができます。

エンド ユーザーの利点

• Microsoft Entraと Windows エンドポイントを使用してエンド ユーザーを認証するには、ユーザーに職場または学校アカウントが必要です。 個人アカウントは使用されません。

• インターネット接続を使用して Microsoft 365 および SaaS アプリにシングル サインオン (SSO) します。

• Windows Hello for Business の利便性とセキュリティを使用して、Windows エンドポイントにサインインします。

  Windows Hello for Business でサインインすると、ユーザーはオンラインおよびオンプレミスのアプリとリソースの多くに対して SSO を自動的に使用します。

• OS 設定は、参加しているすべてのデバイスMicrosoft Entraローミングします。

  重要

  Microsoft Entra参加済みデバイスでリモートで作業しているエンド ユーザーは、キャッシュされた資格情報がデバイスで期限切れになったときにサインオンする VPN を必要としません。 ハイブリッド Microsoft Entra参加済みデバイスでは、キャッシュされた資格情報の有効期限が切れたときにサインインするための VPN が必要です。

参加済みリソースをMicrosoft Entraする

• Microsoft Entraのデバイス ID とは
• Microsoft Entra参加済みデバイスとは
• デバイスの登録のしくみMicrosoft Entra
• Microsoft Entra参加の実装を計画する方法
• Windows Hello for Business ドキュメント - Windows セキュリティ

ハイブリッド Microsoft Entra参加済み

ハイブリッド Microsoft Entra参加済みデバイスは、オンプレミスの AD ドメインに参加し、Microsoft Entraに登録されます。 これらのデバイスでは、初期サインインとデバイス管理のために、オンプレミス ドメイン コントローラー (DC) への確実なネットワーク通信経路が必要です。

デバイスが DC に接続できない場合、ユーザーのサインインが妨げられ、ポリシーの更新プログラムが受信されない可能性があります。

既存のドメイン参加済みデバイスを持つ多くの組織では、Microsoft Entraとエンドポイント管理の利点と機能が必要です。 デバイスを完全にクラウドネイティブにできない場合は、これらの既存のデバイスをMicrosoft Entraに登録できます。 Microsoft Entraに既存のデバイスを登録すると、デバイス ID が作成され、デバイスはハイブリッド Microsoft Entra参加されます。 これらはクラウドネイティブ エンドポイントとは見なされません。

organizationの準備ができていて、クラウドネイティブになりたい場合は、(この記事で) 参加Microsoft Entraが正しい選択です。 既存のデバイスをリセットする必要があります。 より具体的な情報とガイダンスについては、高度な計画ガイドを参照してください。

ハイブリッド Microsoft Entra参加済みリソース

既存のドメイン参加済みデバイスをMicrosoft Entraに登録する方法については、「ハイブリッド Microsoft Entra参加の構成」を参照してください。 ハイブリッド Microsoft Entra参加の構成には、マネージド ドメインとフェデレーション ドメインに関する情報が含まれます。

組織に適したオプションはどれですか?

適切なオプションは、あなたの環境、あなたのエンドポイント、そしてあなたの組織の目標によって異なります。 この決定を行う場合は、将来および長期的な影響について検討してください。

次のようなシナリオを考えてみましょう。

シナリオ	Microsoft Entra参加またはハイブリッド Microsoft Entra参加
新しい Windows エンドポイントをプロビジョニングする	✔️ Microsoft Entra結合 プロビジョニングして登録している新しい Windows デバイス、改装済み、または更新済みの Windows デバイスがある場合は、Microsoft Entra参加することをお勧めします。 Windows 10/11 は、最新の管理、先進認証などを含む最新の機能が OS に組み込まれています。 Microsoft Entra Join は、新しいエンドポイントとリセット エンドポイントの既定のオプションである必要があります。 ❌ハイブリッド Microsoft Entra 参加 ハイブリッド Microsoft Entra Join は新しいエンドポイントに使用できますが、通常は推奨されません。 Hybrid Microsoft Entra Join を使用して参加した場合、Windows 10/11 に組み込まれている最新の機能を使用できないことがあります。
ハイブリッド Microsoft Entraまたは AD 参加済みである、以前にプロビジョニングされた既存の Windows エンドポイントがある	✔️ ハイブリッド Microsoft Entra参加 オンプレミスの AD ドメインに参加している既存のエンドポイント (ハイブリッド Microsoft Entra参加を含む) がある場合は、ハイブリッド Microsoft Entra参加をお勧めします。 デバイスはクラウド ID を取得し、クラウド ID を必要とするクラウド サービスを使用できます。 既存のエンドポイントを持つエンド ユーザーの場合、このオプションの影響は最小限です。 ❌Microsoft Entra参加 オンプレミスの AD ドメインに参加している既存のデバイス (ハイブリッド Microsoft Entra参加済みを含む) をリセットして、Microsoft Entra参加させる必要があります。 リセットできない場合は、それらを参加Microsoft Entraサポートされている Microsoft パスはありません。

一般的な質問、回答、シナリオ

このセクションでは、参加済みデバイスとハイブリッド Microsoft Entra参加済みデバイスMicrosoft Entra関する一般的な質問に回答します。

ハイブリッド Microsoft Entra参加は、デバイスの長期的または最終目標状態にする必要がありますか?

いいえ。ハイブリッド Microsoft Entra Join は、organizationの長期的な目標でも最終目標でもありません。

制限または制限されていない (技術的、政治的、または規制上の理由) 場合、organizationは、Windows エンドポイントに参加しているMicrosoft Entraに移行または計画している必要があります。

既存のハイブリッド Microsoft Entra Join デバイスを Microsoft Entra Join に移行するには、organizationはどのような戦略を採用する必要がありますか?

戦略は、organizationに固有の多くの要因に依存します。

一般に、Microsoft では補完的なイベントを待機することをお勧めします。 たとえば、Windows の新しい (またはリセット) インスタンスがある場合、ハードウェアの更新、OS のアップグレード、またはデバイスのトラブルシューティングシナリオ中に、Microsoft Entra参加に移動できます。 この方法を使用すると、ユーザーの中断を最小限に抑え、Microsoft Entra参加への変換プロセスを合理化できます。 既存のデバイスを Hybrid Microsoft Entra Join から Microsoft Entra Join に変換するための Microsoft でサポートされているプロセスまたはパスは、Windows リセットなしでないことを覚えておいてください。

ハイブリッド参加済みデバイスMicrosoft Entraでは、Windows Autopilot Reset ではハイブリッド参加済みデバイスMicrosoft Entraサポートされていないため、デバイス全体のワイプを実行する必要があります。

[参加Microsoft Entraに移動するには、既存のデバイスを事前にリセットできます。 この方法はユーザーに対してより破壊的な影響を与える可能性があり、テスト & 計画を立てる必要があります。 ただし、デバイス数が少ない場合や、ビジネス ケースが強い場合は、この方法を使用Microsoft Entra参加できます。

organizationが参加Microsoft Entraに移行できないブロックがあります

Microsoft の制御外に障害や課題があり、organizationが Microsoft Entra Join に完全に移行できない可能性があります。 また、組織とその構成や期待について固有である未知の遮断要因が存在する可能性もあります。 これらの遮断薬は技術的であるか、他の技術的でない理由で起こり得る。

Microsoft Entra Join への移行は、すべてでも何もない提案ではないことに注意してください。 デバイスを Microsoft Entra Join に移動するには、ブロッカーやインヒビターの有無にかかわらず、時間がかかります。

Microsoft Entra参加を使用できない潜在的なブロックを特定した場合は、スコープ、影響、ソリューションを決定します。 クラウドネイティブ エンドポイントに移行するための高レベルの計画ガイドが役立ちます。

Microsoft Entra Join エンドポイントと Hybrid Microsoft Entra Join エンドポイントは同じ環境で共存できますか?

はい。Microsoft Entra Join エンドポイントと Hybrid Microsoft Entra Join エンドポイントは同じ環境で共存できます。 これらは相互に排他的ではありません。

環境が混在すると、複雑さ、メンテナンス、サポート コストが増加します。 ただし、ハイブリッド Microsoft Entra Join は、それらのエンドポイントが置き換えられるかリセットされるまで使用できます。 ハイブリッド Microsoft Entra 参加は、Windows エンドポイント状態のorganizationの最終目標にしないでください。

Microsoft Entra参加システムのユーザーはオンプレミスのリソースにアクセスできますか?

はい。Microsoft Entra参加システムのユーザーは、オンプレミスのリソースにアクセスできます。

Microsoft Entra参加エンドポイントはオンプレミスのリソースにアクセスでき、シングル サインオン (SSO) を使用できます。 詳細については、「クラウドネイティブ エンドポイントとオンプレミス リソース」を参照してください。

管理できるデバイス参加状態Intune

Microsoft Intuneは、100% クラウド ソリューションであり、参加またはハイブリッド Microsoft Entra参加Microsoft Entra Windows クライアント デバイスを管理できます。 Intuneには、設定の管理、デバイス機能の制御、エンドポイントのセキュリティ保護に役立つさまざまな機能と設定が組み込まれています。

「クラウドネイティブ エンドポイントに移行するための高度な計画ガイド: 知っておくべき Intune の機能」は、これらの機能の一部を一覧表示します。 「Intune とは何か」も優れたリソースです。

ハイブリッド Microsoft Entra Join エンドポイントでは、オンプレミスのグループ ポリシー オブジェクト (GPO) またはIntuneを使用してポリシー設定を制御できます。 GPO とIntuneの組み合わせを使用することもできますが、この組み合わせにより、管理オーバーヘッドと複雑さが増します。 共同管理 (Intune (クラウド) + Configuration Manager (オンプレミス) を有効にした場合は、条件付きアクセスなどの一部のMicrosoft Entra機能を使用できます。

いくつかのガイダンスについては、「展開ガイド: セットアップまたは Microsoft Intune に移動する」を参照してください。

デバイスコンプライアンスや条件付きアクセスに必要なデバイス参加状態は何ですか?

ハイブリッド Microsoft Entra Join エンドポイントと Microsoft Entra Join エンドポイントはどちらも、Intuneによって管理される場合、またはIntuneとConfiguration Managerによって共同管理されている場合は、コンプライアンス ポリシーと条件付きアクセスをサポートします。

ハイブリッド Microsoft Entra 参加には制限がありますか?

はい。ハイブリッド Microsoft Entra 参加には制限があります。

これらの制限は、一般に、オンプレミスのみのドメイン参加済みデバイスと同じです。 具体的には、ハイブリッド Microsoft Entra 参加エンドポイントでは、初期サインインとパスワードの変更のために、オンプレミスの AD ドメイン コントローラーへの視線が必要です。 ドメインがダウンしている場合、または使用できない場合、ユーザーがエンドポイントへのサインインをブロックされる可能性があります。 organizationがオンプレミス ドメインを持つことから離れる場合は、デバイスの Hybrid Microsoft Entra Join からも離れる必要があります。

パスワードレス認証を使用する場合、ユーザーにはインターネット アクセスとドメイン コントローラー (DC) への視線が必要です。 認証するには、ハイブリッド Microsoft Entra Join エンドポイントで kerberos と NTLM を使用できます。

ハイブリッド Microsoft Entra 参加はクラウドネイティブと見なされますか?

いいえ。ハイブリッド Microsoft Entra Join はクラウドネイティブとは見なされません。

クラウド ソリューションは、エンドポイントへの参加をMicrosoft Entraすることです。 エンドポイントとその ID は作成され、Microsoft Entraに格納されます。 Intuneは、設定とポリシーを使用してエンドポイントを管理します。 これらのサービスは、Microsoft 365、Microsoft Defender XDRなど、他のクラウド サービスと連携します。

クラウド ネイティブなエンドポイントのガイダンスに従う

1. 概要: クラウド ネイティブなエンドポイントとは
2. チュートリアル: クラウド ネイティブ Windows エンドポイントの利用を開始する
3. 🡺 概念: Microsoft Entra参加済みとハイブリッド Microsoft Entra参加済み (お客様はこちら)
4. 概念: クラウド ネイティブなエンドポイントとオンプレミス リソース
5. 高度な計画ガイド
6. 既知の問題と重要な情報