【Azure AD】Windows 10 Hybrid AD Join + MDM の構成

皆さんいかがお過ごしでしょうか?Miyaです。

最近はお仕事の方が忙しく中々ブログも更新できておりませんが、空き時間を利用してWindwos 10のデバイス登録について色々と試行しておりました。本記事は筆者のその経験をベースに構成方法を紹介したいと思います。

構成方法をメインに取り上げておりますので、中身の動作などについては次の記事でご紹介したいと思います。

スポンサーリンク:

Azure AD Joinとは?

そもそもAzure AD Joinとは、デバイス⇔アプリケーション間のシームレスなサインインを提供(SSO)するだけでなく、同時にデバイス情報をAzure ADに登録することでIntuneによるMDM、Azure AD 条件付きアクセスによるアクセス制限を可能にする画期的なソリューションです。

従来の組織のシステム環境では、デバイス管理・制御・認証において、デバイスをActive Directoryにドメイン参加させることが一般的でした。

Active Directoryにドメイン参加させることで、KerberosのTGT・STによって資格情報を入力することなく社内リソースにアクセスすることが出来ました。その他にもグループポリシーを使った社用端末をガチガチに制御することも出来るのが特徴です。
Title:Windows Server 2016 Active Directoryの構築 Kerberosプロトコルによる認証フロー
Title:Windows Server 2016 Active Directory グループポリシーの概要

しかし、Active Directoryはドメイン(レルム)内でしかメリットを活かすことが出来ず、クラウドアプリケーションが普及する現代において、活躍するシナリオはお世辞にも多いと言えませんでした。

例えば、Office365のようなクラウドアプリケーションを利用するにあたって、オンプレミスのActive DirectoryのTGT、STは利用出来ません。(Azure ADのSeamlessSSOを構成すれば可能)そのため、AD FSやサードパーティのIdPとフェデレーション(SAML,WS-Federation)構成を取る必要がありましたね。
Title:Office365 フェデレーションIDについて考える

これらのオンプレミス – クラウド間に抱える問題に対するアプローチの一つとしてあるのがAzure AD Joinです。

デバイスをActive Directoryに参加させるのではなく、Azure ADに参加させることで、以下のような恩恵を授かることが出来ます。

社外NWからのアクセスでも資格情報の入力無しでアプリケーションへの接続

Intuneによるアプリケーションへのデバイスベースアクセス制限

PINやWindows Hello for Businessを使ったAzure ADへのサインイン

しかし、世界中の組織のほとんどでActive Directoryは使われており、ファイルサーバー、複合機、勤怠管理などの社内リソースの認証基盤としてActive Directoryを利用しているケースが多いですね。

ドメイン参加しているデバイスは一度WORKGROUPにしてから、Azure AD Joinする必要があり、プロファイルの移行や、何より逆にオンプレサーバーの認証がネックになるので、Active Directoryを導入している組織では検討対象にすらなりませんでした。

そんなシナリオのために用意されているのが「Hybrid AD Join」です。

Hybrid AD Join

従来のKerberos認証を活かしつつ、クラウドアプリケーションにもSSO出来るといういいとこ取りなソリューションです。

Hybrid AD Joinとは、Active DirectoryとAzure ADの両方にデバイスを参加させることで、両者のメリットを活かす新しいデバイス参加の方式。

Hybrid AD Joinの構成

Hybrid AD Joinする端末は、Windows 10の他、Windows 8.1、Windows 7などの従来のOSでも構成することが出来ますが、本記事ではシンプルな構成であるWindows 10での構成方法を取り扱います。

構成にはAADConnectによってディレクトリ同期・パススルー認証がセットアップ済みであることを前提としています。
Title:Office365 AADConnectのパススルー認証によるSSO構築①
Title:Office365 AADConnectのパススルー認証によるSSO構築②
Hybrid AD Join

今回の記事では、Windows 10 のHybrid AD JoinとIntuneによるデバイスベースのアクセス制限が正常に動作するところまでを確認していきます。

前提条件・要件

Hybrid AD Joinを構成するにあたり、前提条件と要件を確認しておきましょう。
Title:ハイブリッド Azure Active Directory 参加済みデバイスの構成方法

ちなみに、Windows 10以前のOS(Windows 8.1 or 7)は「ダウンレベルのWindows」と呼ばれています。

デバイス要件

・Windows 10(1607~) ⇐ 本記事はWin10が対象です
・Windows 8.1
・Windows 7
・Windows Server 2012R2
・Windows Server 2012
・Windows Server 2008R2

前提条件

・Azure AD Connectが最新バージョンであること
・コンピューターオブジェクトが同期対象OUに含まれていること
・Intune、Azure AD Premium ライセンスを保有していること
・以下のエンドポイントへの通信がFWでPermitされていること
– https://enterpriseregistration.windows.net
– https://login.microsoftonline.com
– https://device.login.microsoftonline.com

オンプレミスの準備

さて、まずはオンプレミス側(Active Directory、AAD Connect)の準備をしていきましょう。

尚、Azure AD Connectでモジュールのインストールが発生しますが、作業による再起動は発生しません。

Computerオブジェクトの構成

Hybrid AD Joinは、Active Directoryにドメイン参加することで生成されるComputerオブジェクトを、AADConnectで同期することで成立します。

つまり、AADConnectの同期対象OUにComputerオブジェクトを放り込む必要があります。

筆者は私物のSurface Bookさんをドメイン参加させ、同期対象OUに移動しておきました。

Hybrid AD Join

この時点で同期しても、Azure ADにComputerオブジェクトが同期されることはありません。後に説明しますがuserCertificateに値がセットされることで同期が開始されます。

AADConnectモジュールのインストール

後のセクションである「SCPオブジェクトの構成」の準備として、AADConnectのサーバーに、AD DSツールとMSOnlineモジュール(ver1.1.166.0~)をインストールしておく必要があります。

AADConnectにサインインし、[役割と機能の追加]-[機能]ウィザードから、AD DSツールをインストールしておきましょう。

Hybrid AD Join

Azure AD側の準備

次に、Azure AD側ではデバイス登録(MDM)の構成、ユーザーへAzure AD Premium , Intuneのライセンスを付与しておきます。

Azure ADのポータル画面(https://portal.azure.com)へアクセス、テナント管理者のアカウントでログインします。

MDMの構成

左メニューから[Azure Active Directory]ブレードを開き、[モビリティ(MDM および MAM)]をクリック、Microsoft Intuneを選択します。

Hybrid AD Join

MDMユーザースコープを[すべて]に設定し、[保存]します。[一部]を選択し、特定のグループオブジェクトを選択することで、スコープを限定的にすることが可能です。

Hybrid AD Join

以上でMDMの構成は完了です。

ライセンス付与

今回はMDMの自動登録、デバイスベースのアクセス制限を設けるため、Azure AD Premium と Intuneライセンスをユーザーに割り当てます。

[Azure Active Directory]メニューから、目的のユーザーを選択し、[ライセンス]メニューからライセンスを割り当てます。

Hybrid AD Join

DNSの構成

Azure ADにデバイス登録する時、デバイスはAzure Device Registration Service(Azure DRS)のサービスエンドポイントを探すために、下記の接続名を名前解決します。

enterpriseregistration.<ドメイン名>
enterpriseenrollment.<ドメイン名>

名前解決した結果、Azure DRSエンドポイントに到達するよう、CNAMEレコードを外部/内部DNSに追加します。

ホスト名 ポイント先アドレス TTL 優先度
enterpriseregistration enterpriseregistration.windows.net 3600 100
enterpriseenrollment enterpriseenrollment.manage.microsoft.com 3600 100

SCPオブジェクトの構成

次に、Hybrid AD Joinする際にデバイスが登録先のAzure ADテナントを解決できるよう、Service Connection Point(SCP)を構成します。

Service Connection Point の略、つまりは “サービスへの接続場所” を示すものです。

実データはどこにあるのかというと Active Directory (AD) の構成パーティションに存在しており、これは ADSI Editor を使用して以下の場所から確認することが可能です。

引用 – Exchange ブログ JAPAN

 

AADConnectサーバーにサインインし、PowerShellから下記コマンドを実行します。
構成パーティションにSCPを作成するため、[connector account name]にはEnterpriseAdminsの権限(多分)を持ったアカウントで構成してあげると上手くいきます。

実行後、出力結果に「Configuration Complete」と表示されていれば成功です。

Hybrid AD Join

念のために、下記コマンドを実行し、SCPオブジェクトが正しく構成されているかを確認しておきましょう。

AzureADNameに接続先テナント名、AzureADIdに接続先テナントのGUIDが表示されていることを確認してください。

Hybrid AD Join

以上で、SCPオブジェクトの生成が完了しました。Hybrid AD Joinするための準備は整ったので、次にグループポリシーで自動的にデバイス登録、MDM登録するように構成してあげましょう。

グループポリシーの構成

ドメイン参加済みのComputerオブジェクトに対して自動的にAzure ADにデバイス登録するよう、グループポリシーを構成します。

構成するグループポリシーは、Windows 10のグループポリシーテンプレートを利用するため、下記URLからテンプレートをダウンロードし、Active Directoryにインポートしておきましょう。
Title:Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709) – 日本語

[Windows 管理ツール] – [グループ ポリシーの管理]コンソールを開き、新規グループポリシー オブジェクト(GPO)を作成します。

Hybrid AD Join

作成したGPOを右クリック – [編集]で、グループポリシー管理エディターを開きます。

[コンピューターの構成] – [管理用テンプレート] – [デバイスの登録]から、[ドメインに参加しているコンピューターをデバイスとして登録する]を[有効]で構成します。

Hybrid AD Join

[コンピューターの構成] – [管理用テンプレート] – [MDM]から、[AAD トークンによる自動 MDM 登録]を[有効]で構成します。

Hybrid AD Join

グループポリシー管理エディターを×閉じ、構成したGPOを同期対象のComputerオブジェクトが含まれるOUにリンクします。

Hybrid AD Join

以上で、グループポリシーの構成は完了です。これでHybrid AD Joinの準備は整いましたので、早速クライアントを立ち上げ挙動を確認していきます。

Windows 10 Hybrid AD Join

Hybrid AD Joinの準備出来次第、Windows 10を起動、サインイン直後にHybrid AD Join・MDM登録のプロセスが開始されます。いずれもタスクスケジューラーで構成されており、利用者の操作は不要です。

但し、Hybrid AD Join、MDM登録それぞれ少し時間が掛かるので気長に待ちましょう。

グループポリシーが無事に反映されると、Windows 10 のタスクスケジューラーに二つのタスクが仕込まれ、デバイス登録(Hybrid AD Join)、MDM登録をバックグラウンドで行います。

さて、このタイミングでActive Directoryの[ユーザーとコンピューター]を開き、Surface BookさんのComputerオブジェクトを確認します。属性エディターからuserCertificateを確認すると、キー情報がセットされていることが確認できます。

Hybrid AD Join

これはHybrid AD Joinのプロセスの過程でクライアントが生成したキーペアの片一方であり、これがセットされると同期対象のComputerオブジェクトとしてAzure ADに同期されます。

同期されたキー情報は、Azure AD側で保管され、ユーザー/デバイス情報にマッピングします。(この辺りのプロセスについては次の記事で解説します。)

AADConnectのSynchronization Serviceから、Surface BookのComputerオブジェクトがAzureAD方向にエクスポートされていることが確認できます。

Hybrid AD Join

Azure Portalの[Azure Active Directory] – [デバイス] – [すべてのデバイス]にSurface Bookが同期されていることが確認出来ます。

Hybrid AD Join

[結合の種類]列から、Hybrid AD Joinであるということが分かります。未だMDM登録が完了していませんが、(Sign-out/Sign-in)して、しばらく待つと、正常に構成されていることが確認出来ました。

Hybrid AD Join

また、Windwos 10側の[システム]には、[情報]メニューが表示され、Azure ADとの同期状態を確認、レポーティングすることが可能です。

Hybrid AD Join

試しにOffice365へアクセスすると、アカウント名/パスワード入力なしでサインインされることが確認出来ました。

Intuneによる管理

デバイスがIntuneのMDM登録されることによって、条件付きアクセスの[ハイブリッド Azure AD 参加済みのデバイスが必要]を構成することが出来ます。

Hybrid AD Join

試しに、Exchange OnlineへのアクセスをHybrid AD Joinしているデバイスに限定するPolicyを作成し、ユーザーに割り当てました。

MDM登録されていないデバイスでExchange Onlineにアクセスしようとすると拒否され、Hybrid AD Joinのデバイスであればアクセス出来ることが確認できました。

Hybrid AD Join

トラブルシューティング

Hybrid AD Join、MDM登録が上手くいかない場合、イベントビューワーなどを確認するとよいでしょう。

■Hybrid AD Join
[アプリケーションとサービス ログ] – [Microsoft] – [Windows] – [user Device Registration]
Hybrid AD Join

■MDM登録
[アプリケーションとサービス ログ] – [Microsoft] – [Windows] – [DeviceManagement-Enterprise-Diagnostics-Provider]
Hybrid AD Join

筆者は、[DeviceManagement-Enterprise-Diagnostics-Provider]にError ID 76「自動 MDM 登録に失敗しました(致命的なエラーです)」が出続け、中々MDM登録されませんでした。

Hybrid AD Join

調査していると、内部DNSからAzure DRSのエンドポイントを名前解決出来ておらず、それっきりになっていたので、内部DNSにCNAMEを構成することで上手く動作しました。

Hybrid AD JoinHybrid AD Join

その他にもWindows 10側でdsregcmd /statusコマンドを実行することで、デバイスの登録状態が出力されます。User StateセクションのAzureAdprtの値がNull、もしくはNOである場合、SSOするためのPRTが取得・キャッシュできていないことが分かります。

Hybrid AD Join

これ関係のトラブルシューティングについての情報は、インターネットで検索すると結構ヒットするのでトラシューしやすいかと。

おわりに

いかがでしたでしょうか?特に複雑な手順もなく構成できました。(AD FS環境の場合、クレーム辺りを触る必要がありますが…)

IntuneによるMDM管理などを行うにあたって、こういったセットアップがユーザーの操作なしで構成できるのは管理者としても有り難い話ですね。今後も機能Updateによってより便利な使い方が出来ることを期待しています。

それでは、良いOffice365ライフをっ♪

スポンサーリンク