7. Azure AD は Azure 上に Active Directoy をたてる事ではありません
Active Directory
Domain Service
(AD DS)
Azure Active Directory Azure Active Directory
Domain Services
・オンプレミスのみで構成 ・IaaS の Virtual Machine 上に
Domain Controller を構築する
・機能はオンプレミスと同じ
Virtual MachineDomain
Controller
Domain
Controller
Azure AD Domain
Controller
PC
Office 365
PC
・オンプレミス AD とは別もの
・ クラウド アプリケーションの認証で
利用される
・ Office 365 など
・PasS 版の Domain Controller
・諸々制限あり
・Azure VM 用 Active Directory
Active Directory
Domain Services
Server PCServer
(Virtual
Machine)
Mobile
(AD DS)
(Azure AD)
(Azure AD DS)
サーバーを自分で管理 サーバーがクラウドに
8. Azure AD ができること
・アプリケーション管理
・Authentication
・企業間 (B2B)
・企業 – 消費者間 (B2C)
・条件付きアクセス
・開発者のための Azure Active Directory
・デバイスの管理
・ドメイン サービス
・エンタープライズ ユーザー
・ハイブリッド ID
・ Identity Governance
・ Identity Protection
・ Azure リソースのマネージド ID
・ Privileged Identity Management (PIM)
・レポートと監視
18. Azure AD Registered (BYODで活用)
MDM
(Intune)
MDM 登録
デバイスベースのアクセスコン
トロールを行う場合に必要
• 会社で管理されていないデバイス・組織外のデバイスを想定した機能
• PC へのログオン方法は従来と変わらない(ローカルアカウント or AD アカウント)
• Windows 10 のみ対応
• 主に外部組織のリソースへの SSO を得る場合に利用されるケースが多い
ローカル PC アカウント or
オンプレ AD のアカウント
でログオン
Azure AD
Azure AD
Register
デバイスオブジェクト
MDM ポリシー
Device を Compliant としてマーク
Win 10
20. Azure AD Join
• Windows PC をクラウドのみで管理するパターン。デバイスの情報は Azure AD に保持される
• PC へのログオンは Azure AD の ID で行う (test001@contoso.com など)
• Windows 10 のみがこの方式を利用可能
• 既にオンプレミス AD に参加している PC は重ねて Azure AD Join することはできない
• PC へのポリシー適用は MDM ツール (Intuneなど) により行われる
Azure AD の ID でログオン
(test001@contoso.com)
MDM
(Intune)
Azure AD
Azure AD Join
デバイスオブジェクト
MDM 登録
MDM ポリシー
Device を Compliant としてマーク
Win 10
21. Azure AD Join を構成するメリット
1. オンプレミス AD 廃止への第一歩
2. クラウドリソースにシングルサインオンできる
3. リモートワークをするユーザーに最適な PC 認証を提供でき
る
4. 精密なデバイスベースアクセスコントロールが可能
24. Hybrid Azure AD Join
• 既存 Domain Joined 状態はそのままに Azure AD にも登録
• オンプレミス AD の ID を利用して PC にログオン (UPN, sAMAccountName など)
• Windows 7 / 8.1 /10 に対応
• オンプレ AD と Azure AD 両方にデバイス情報を保持
• PC へのポリシー適用は GPO にて実施
AD の ID でログオン
(test001@contoso.com,
domaintest001 など)
Win 7/8.1/10
Domain Join
Active Directory
Azure AD Connect
User 同期
Azure AD
デバイスオブジェクト
GPO 適用
MDM
(Intune)
MDM 登録
MDM 管理もできるが
オプショナル
25. Hybrid Azure AD Join が構成される仕組み
AD Azure AD
登録が成功すると、Azure AD のデバイス オブジェクトの AlternativeSecurityIds
属性にサムプリントが押された "MS-Organization-Access" という証明書が取得さ
れます。
26. Hybrid Azure AD Join を構成するメリット
1. クラウドリソースとオンプレミスのリソース両方に SSO できる
Azure AD Join と同様、基本的に PC ログインとクラウド/オンプレ両
方のアプリに SSO
2. Home Realm Discovery が不要になる
クラウドリソースへのアクセス時に UPN 入力が不要になる
3. Domain Joined をベースとしたアクセスコントロールが可能
Conditional Access – Domain Joined 条件が使える
28. 3つのデバイス管理をどう使い分けるか
オンプレミス AD 環境・ OS により、利用可能な方式が決まります
Windows の OS バージョン
オンプレミス AD 環境
(Azure AD と同期済み)
Windows 7/8.1Windows 10 Yes
※Windows 7/8.1 は 10 にアップデート
オンプレミス AD 環境
(Azure AD と非同期)
ワークグループ PC
No
ドメイン参加解除
が可能
29. 3つのデバイス管理をどう使い分けるか
Azure AD Registered Azure AD Join Hybrid Azure AD Join
Windows 10 〇 〇 〇
Windows 7/8.1 × ×
〇
※ダウングレード用の設定が必要
Andoroid 〇 × ×
iOS 〇 × ×
Mac OS 〇 × ×
30. 3つのデバイス管理をどう使い分けるか(設計例)
Azure AD Register Hybrid Azure AD Join
Azure AD Join
海外子会社(ドメイン環境)
ADWin10 システムWin 7/8.1
海外出張所(ワークグループ環境)
Win10Win 7/8.1
Update
Update
国内事業所(ドメイン環境)
Win 7/8.1
既存 Win10
AD
AAD
Connect
Azure AD
新規 Win10
32. Dual State とは
・Azure AD Registered 状態の Windows 10 デバイスが存在する状態で、
Hybrid Azure AD Join を構成すること。
・同一の Windows 10 デバイス上に2重に Azure AD にデバイスを登録・参
加することは技術的には可能だが、注意が必要。
Azure
AD
AD
33. Dual State の問題
• Azure AD には単一のデバイスに対して二つのデバイスオブ
ジェクトが作られる
• Windows 10 は二つの PRT を Azure AD に送信するよう
動作する
• この状態となると、右のような条件付きアクセスを構成してい
るときに問題が生じる
• 二つ送られる PRT のうち、「Azure AD Registered」の
Device ID が先に送られた場合は条件付きアクセスを突破
できずブロックされてしまいます。
※どちらの Device ID を送るかは制御不可
34. Dual State の問題(イメージ図)
例えば条件付きアクセスの「ハイブリット Azure AD 参加済みのデバイスが必要」のポリ
シーが設定されている状態で Office 365 アプリケーションにシングルサインオンしたい場
合の動作。
AD の ID でログオン
(test001@contoso.com,
domaintest001 など)
Azure AD
Win 10
PRT
(Device Type=
Hybrid Azure AD Join)
PRT
(Device Type=
Azure AD Registered)
Office 365
条件付きアクセス
ブロック
35. Dual State の問題
• Windows 10 (1809) もしくは Windows 10 (1803) の KB4489894適用以降のデバイス
の場合、 2重登録を自動的に解除する機能が追加されています。
• ただし、2重登録自動解除の機能は、Intune に登録されている状態では機能しませ
ん。
(まずはIntuneの登録自体をリタイヤなどで解除する必要があります。)
Hybrid Azure AD Join + Intune の要件の際には、2重構成は NG !!
グループ ポリシーを使い、 Hybrid Azure AD Join のデバイスに
Intune 登録するように構成しましょう。
URL: https://docs.microsoft.com/en-us/windows/client-management/mdm/enroll-a-windows-10-device-automatically-using-group-policy#configure-the-auto-
enrollment-for-a-group-of-devices