Entra ハイブリッド参加構成におけるAD更改の影響(デバイスID観点)
Entra ハイブリッド参加構成において、AD更改をした場合の影響について確認してみました。
本記事は、デバイスID観点のみの調査であり、網羅的な影響については調査しておりません。
結論:ドメイン コントローラー (DC) の更改方法により、デバイス ID への影響が異なる
Azure portal 上に存在する Hybrid Entra Join オブジェクトの “デバイス ID (下図①)" には、 Active Directory 上のコンピューター オブジェクトの “objectGUID (下図②)" が割り当てられます。
図① : Azure portal 上のデバイス オブジェクト
図② : Active Directory 上のコンピューター オブジェクト
既存のドメインを維持したまま DC のみを新しい Windows Server に入れ替える方法であれば、デバイス ID (コンピューター オブジェクトの objectGUID) は変わらず、一方、ドメインを一から新規構築し、クライアントを一度ドメインから離脱させた後に新ドメインへ再参加させた場合は、オンプレ AD 上に新しいコンピューター オブジェクトが作成されるため、新しい objectGUID が割り当てられることが想定されます。
後者のケースでは、Microsoft Entra ID 側では旧デバイス オブジェクトが古いデバイスとして残り、新しいデバイス オブジェクトが別途作成されることになります。
そのため、必要に応じて古いデバイス オブジェクトのクリーンアップ (削除) について検討が必要となります。
クリーンアップの方法については以下の公開情報に手順を参考になります。
Microsoft Entra ID で古くなったデバイスを管理する方法 – Microsoft Entra ID | Microsoft Learn