Hybrid Azure AD のセットアップ: ステップバイステップガイド

チュートリアル

オンプレミスのActive Directory(AD)機能を使用し、条件付きアクセス、シングルサインオン(SSO)などのAzure ADの機能も使用したい場合、この記事が役立ちます。この記事では、マイクロソフトがハイブリッドAzure AD参加と呼ぶモードの設定方法を学びます。

ハイブリッドAzure AD参加とは何ですか?

簡単に言えば、ハイブリッドAzure AD参加とは、従来のオンプレミスのADツールを使用してデバイスを管理するだけでなく、Azure ADに登録することもできるモードです。詳細については、Hybrid Azure AD参加デバイスのMicrosoftドキュメントを参照してください。

前提条件

ハイブリッドAzure AD参加デバイスを構成する前に、次の要件と前提条件を満たしていることを確認してください:

  • デバイスは、サポートされている現行のWindowsデバイスである必要があります(Windows 10 1809以降またはWindows Server 2016以降)
  • オンプレミスのADに参加したWindows 10デバイス
  • Windowsデバイスでのインターネット接続(enterpriseregistration.windows.net:443login.microsoftonline.com:443、およびdevice.login.microsoftonline.com:443
  • オンプレミスADは、Azure ADにのみ同期する必要があります。この記事のすべての例でのドメインはadamtheautomator.comと呼ばれています。SCPの代わりにGPOを使用すれば、複数のAzure ADテナントを同期することもできます。
  • Azure ADのグローバル管理者アカウントを知っている必要があります。この記事では、アカウント名としてadamを使用します。
  • オンプレミスADのエンタープライズ管理者アカウントも知っている必要があります。この記事では、アカウント名として[email protected]を使用します。
  • メンバーサーバーにはAzure AD Connect 1.1.819.0がインストールされ、Azure ADと同期されています。

この記事のすべての例では、オンプレミスADドメインの名前はadamtheautomator.comで、同名のAzure ADが同期されているものとします。

必要な前提条件の完全なリストについては、ハイブリッドAzure Active Directory参加の実装の計画を参照してください。

Azure AD Connectの設定

ハイブリッドAzure AD参加デバイスを設定するための最初のステップは、Azure AD Connectを構成することです。ここでは、Azure AD同期プロセスをハイブリッドモードに設定します。

設定するには、最初にAzure AD Connectを開き、構成をクリックします。

Azure AD Connect Welcome box

次の画面で、デバイスのオプションを構成をクリックし、次へをクリックします。

Configure device option task

Azure ADテナントのグローバル管理者の資格情報を提供し、次へをクリックします。

Adding username to connect to Azure AD

ハイブリッドAzure AD参加を構成をクリックし、次へをクリックします。

Configuring hybrid Azure AD join

デバイスのオペレーティングシステムページでは、オンボードするデバイスのタイプを選択します。この記事では、現在のデバイス(Windows 10)のみをオンボードします。 Windows 10以降のドメイン参加デバイスを選択し、次へをクリックします。

Checking Windows 10 or later domain-joined devices option

Windows 8.1+およびWindows Server 2008 R2+のWindowsダウンレベルデバイスの構成方法については、管理されたドメインのハイブリッドAzure Active Directory参加を構成するMicrosoftのドキュメントを参照してください。

Azureでサービス接続ポイント(SCP)を作成して、デバイスがAzure ADテナント情報を読み取ることができるようにします。 Forestの下にあるフォレスト名を確認し、Azure Active Directory認証サービスとして選択し、追加をクリックしてオンプレミスのエンタープライズ管理者アカウントの資格情報を提供します。 完了したら、次へをクリックします。

SCP configuration task

次の画面で、構成をクリックしてプロセスを開始します。 すべては数秒で完了します。

Ready to configure menu

完了したら、いくつかの追加手順を設定するように指示されます。 完了したら、終了をクリックします。

Configuration complete indicator

Azure AD参加の状態を確認

Azure AD Connectを構成したら、努力の成果が実際に反映されていることを確認する必要があります! 幸いなことに、すべてのWindows 10デバイスは自動的にハイブリッドAD参加されますが、最初のデバイスではこれを確認する必要があります。

クライアント側の確認

Windows 10デバイスの登録を確認するために、そのうちの1つを再起動してください。 再起動後、リモートで接続するか、コンソールに接続してコマンドプロンプトに移動します。 コマンドプロンプトで、dsregcmd /statusと入力します。 デバイスの状態の下にAzureADJoined: YESが表示されれば、問題ありません。

Successful hybrid Azure AD joined device

デバイスがまだAzure ADに参加していない場合は、コンピュータオブジェクトがまだAzure ADに同期されていないためかもしれません。 dsregcmd /joinを実行してステータスを再確認してみてください。

デバイスがまだAzure ADに参加していない場合は、このトラブルシューティングガイドを確認してみてください。また、デバイスで実行するためのこのPowerShellスクリプトをダウンロードすることもできます。

Azure側の確認

Windows 10クライアントが参加済みであることを確認したら、Azure側でも確認してください。そのためには、Azure ADテナントのデバイスブレードに移動します。ここで参加タイプHybrid Azure AD Joinedであり、登録済みにはWindows 10デバイスの最新のタイムスタンプが表示されているはずです。

Successful hybrid Azure AD joined device

デバイスが「登録済み」と「Hybrid Azure AD joined」として表示される場合、AAD条件付きアクセス(CA)ルールが「登録済み」のエントリと正しく機能しないことがあります。これを修正するには、すべてのデバイスをWindows 10 1903にアップグレードする必要があります。また、スクリプトを使用してすべての「登録済み」のエントリを削除する必要があるかもしれません。

テスト用のWindows 10マシンがハイブリッドAzure ADに登録および参加されたことを確認したら、ADにある他のすべての現在のデバイスも自動的に登録されるはずです。

参加済みクライアントにユーザーがログインしている場合、メインのリフレッシュトークンを取得するためにログオフおよび再ログインする必要があります。

要約

構成が完了すると、ハイブリッド Azure AD 参加モデルに参加したデバイスは自動的に登録されます。この記事で必要なすべての手順を実行した後、ほとんどの作業は自動的に行われます。この時点で、Azure AD が提供するさまざまなサービスを使用して、ドメインに参加したデバイスの管理を開始することができます。

Source:
https://adamtheautomator.com/hybrid-azure-ad/