Entra ハイブリッド参加をせずに、オンプレリソースにSSOする方法
https://learn.microsoft.com/ja-jp/entra/identity/devices/device-sso-to-on-premises-resources
上記サイトに記載されている通り、Microsoft Entra 参加のデバイスでもオンプレミス AD へのリソースへの SSO が可能です。(Entraハイブリッド参加不要、ただし、Entra Connectによる同期は必要)
オンプレミス リソースへの SSO を実施できる、という観点ではMicrosoft Entra 参加および Microsoft Entra ハイブリッド参加の構成の差異について差異はありません。
では、Entraハイブリッド参加自体不要では?と思われるかもしれませんが一長一短あります。
▼ Microsoft Entra 参加のメリット
技術的に Microsoft Entra ハイブリット参加を構成できない環境でも、オンプレミス リソースへの SSO が可能です。
例えば、マネージド環境の Microsoft Entra ハイブリット参加の環境の場合、PRT を取得するためのオンプレミス AD 側の UPN の要件がありますが、Microsoft Entra 参加であれば、オンプレミス AD 側 UPN サフィックスがルーティング不可であっても、PRT が取得可能という技術的な要件の違いがあります。
また、今後管理をクラウドへ移行する計画があるのであれば、端末入れ替えのタイミング等で Microsoft Entra 参加を構成していた方がクラウドでの管理が容易になる、というような考え方もあります。
▼ Microsoft Entra 参加のデメリット
Microsoft Entra 参加の場合、オンプレミス Active Directory ではなく、Microsoft Entra ID のみに参加することになるため、ドメイン参加デバイスとして扱えません。
例えば、オンプレミス環境のグループ ポリシーが利用できないので、端末を管理されたい要件がある場合、 Microsoft Intune 等の環境が必要な可能性があります。
一般的なデバイスの種類を検討するにあたり、以下の公開情報があります。必要に応じて参照ください。
— 参考情報 ———————————-
Title : デバイス統合のデシジョン ツリー
———————————————–