Entra ハイブリッド参加とZTNA利用環境におけるWindows端末ログイン時のドメインコントローラへ疎通の必要性について

通常、ZTNAを利用する環境において、Entraハイブリッド参加済みの端末にログインしようとすると、

①Entra ハイブリッド参加済み端末へのログイン ⇒ ② ZTNAを利用したドメインコントローラ(DC)への接続

という順序となり、①の段階では、端末はDCと疎通性がありませんが、問題にはならないのでしょうか。

前提

 ・(AD FS を利用しない) マネージドの Microsoft Entra ハイブリッド参加 (略称 MEHJ) を構成されている

 ・ 端末は、MEHJ は構成済み

結論:DCへの疎通は必要なし

Windows にログイン後に VPN 等を利用してドメイン コントローラーに接続できれば MEHJ を利用することができます。

なお、MEHJ 構成完了後は、以下のようなシナリオでドメイン コントローラーへの接続が必要になります。

Title: 前提条件

URL: https://learn.microsoft.com/ja-jp/entra/identity/devices/hybrid-join-plan#prerequisites

/// 抜粋

ドメイン コントローラーへの通信経路がないと利用できないシナリオには、次のようなものがあります。

 ・デバイスのパスワードの変更

 ・ユーザー パスワードの変更 (キャッシュされた資格情報)

 ・トラステッド プラットフォーム モジュール (TPM) のリセット

補足

MEHJ 構成後にドメイン コントローラーに接続できないと端末にログインできなくなってしまうシナリオは基本的には無い (ドメイン コントローラーに接続できない場合も端末に保持されたキャッシュで端末にログインできるため。なお、このキャッシュに有効期限はありません)

(参考)MEHJ 未構成の場合

MEHJ 構成時は、ログオン時に実行される Automatic-Device-Join タスクが成功する必要があります。

Automatic-Device-Join タスクが成功するためにはドメイン コントローラーへの接続が必要です。

ログオン時にドメイン コントローラーへ接続できない場合、取りうる選択肢としては、以下のようなものがあります。

・ログオンした後に VPN 等を接続してドメイン コントローラーへ接続できるようにし、その状態で管理者権限で PowerShell を起動し dsregcmd /join コマンドを実行する。

・ログオンした後に VPN 等を接続してドメイン コントローラーへ接続できるようにし、その状態で管理者権限でタスク スケジューラを起動し Automatic-Device-Join タスクを実行する。

つまり、管理者権限が利用できれば、ログオン時にドメイン コントローラーへ接続できない場合でもログオン後に接続できるようにすれば MEHJ を構成できます。

Entra,未分類

Posted by MITSUAKI TSURUTA