Microsoft Entra ハイブリッド 参加 (ハイブリッド Azure AD 参加) の仕組み詳細
ポイント
- Microsoft Entra ハイブリッド 参加する端末は、オンプレADドメインに参加する設定をする。
- AADコネクトの設定で、「ハイブリッドAAD参加の構成」する必要がある
- Automatic-device-joinというタスクが端末で実行され、そのプロセスの中で、端末はSCP(Entra IDテナントなどの情報が格納されている)を参照して、オンプレADとMicrosoft Entra ハイブリッド 参加が構成されている、対となるEntra IDテナントの情報を得ている
- EntraIDテナントの情報を得た端末は、Entra IDとも通信を行い、Entra IDからPRTトークンを受領する
- Microsoft Entra ハイブリッド 参加する端末とシームレスシングルサインオンは別物(シームレスシングルサインオンは、古い仕組み)
▼Microsoft Entra ハイブリッド 参加 (ハイブリッド Azure AD 参加) 構成時の流れ (AD FS 等フェデレーション環境なしの場合)
Microsoft Entra ハイブリッド 参加を構成する場合の大まかな流れは以下の通りです。ご参考いただければと存じます。
1. オンプレ AD に参加している Windows 10 端末に、同期されているオンプレ AD ユーザーとしてログオンする
2. 初回のログオンでは、Windows 10 側のタスク スケジューラーのタスクである Automatic-Device-Join が実行される (以降 SCP が参照されます)
・この際、イントラネットの DC サーバーとインターネット (=Azure AD) 両方に通信できることで、タスクが成功して Azure AD とのデバイス認証に必要なデバイス証明書が作成される
・オンプレ AD コンピューター オブジェクトの userCertificate 属性にこのデバイス証明書が格納される
※ ログオン処理に伴うタスクの実行ではなく、管理者として起動したコマンド プロンプト上で dsregcmd /join を実行いただく方法でも同様の結果となります。
3. 上記 2. の userCertificate 属性にデバイス証明書が格納されたコンピューター オブジェクトは、Azure AD Connect (AADC) による同期対象となる
・つまり、2. 以降の AADC による同期時に、Azure AD に対してデバイス オブジェクトが同期される
・この時点では、Azure AD にデバイス オブジェクトが “ただ同期によって登録された” だけであり、まだデバイス認証には利用されていない
・この時点の Azure AD デバイス オブジェクトの [登録済み] の状態は、[保留中] になっている
4. 再度 Windows へのログオン時に実行される Automatic-Device-Join タスクにより Azure AD へのデバイス参加のための認証処理が行われる。
・つまり、イントラネットの DC サーバーとインターネット (=Azure AD) 両方に通信できる状態での Windows へのログオンが必要
・この時点で、Azure AD のデバイス情報に呼応する認証が行われ、Azure AD への [デバイスのハイブリッドな参加状態] が完了する
・この時点の Azure AD デバイス オブジェクトの [登録済み] の状態は、[本ログオンを行った日時] になっている
※ ログオン処理に伴うタスクの実行ではなく、管理者として起動したコマンド プロンプト上で dsregcmd /join を実行いただく方法でも同様の結果となります。
# この時点では、AAD へのデバイス “参加” は完了しているものの、デバイス “認証” は完了していません。
5. 再度 1. のログオンもしくはアンロックを行うと、このログオン処理時に合わせて Azure AD への認証も行われる (Automatic-Device-Join タスクではなくログオン時の処理となります)。
・この際には、インターネット (=Azure AD) に通信できる状態での Windows へのログオンが必要 (イントラネットの DC サーバーへの通信は必須ではない)
・この時点で、Azure AD ユーザー/デバイスとしての認証が行われ、Azure AD への [デバイスも含めたハイブリッドな認証] が完了する
・この時点の Azure AD デバイス オブジェクトの [登録済み] の状態はそのまま、[アクティビティ] の項目が [本ログオンを行った日時] になっている
・この時点で [HAADJ としての Azure AD へのデバイス認証] が完了し、クライアントに PRT (Primary Refresh Token) と呼ばれるデバイス認証トークンが発行される
───────────────────────────
▼Microsoft Entra ハイブリッド 参加にサポートされるオンプレミスのユーザーの UPN について
Microsoft Entra ハイブリッド 参加では、オンプレミスのユーザーの UPN によってサポートされない (プライマリ更新トークンが取得できない) パターンがあります。
次の公開情報及び弊社ブログをご参考ください。
Title: Microsoft Entra ハイブリッド参加でのオンプレミス AD ユーザー UPN サポートを確認する
Title: Hybrid Azure AD Join とユーザーの UPN | Japan Azure Identity Support Blog
URL: https://jpazureid.github.io/blog/azure-active-directory/haadj-and-upn/
───────────────────────────
▼UPN サフィックス変えて Microsoft Entra ハイブリッド 参加を構成する手順
次の弊社ブログに参考情報をおまとめしております。
Title: マネージド ドメイン用(AD FS なし) Hybrid Azure AD Join を一から構成する | Japan Azure Identity Support Blog
URL: https://jpazureid.github.io/blog/azure-active-directory/how-to-create-hybridazureadjoin-managed/
───────────────────────────
▼SCP について
PC に SCP を参照させるために構成する方式として、以下の 2 つがございます。
・AD サーバーに SCP を構成する方式・・・すべての端末がSCPが見えてしまう。特定の部署の端末だけハイブリッドAAD参加させたい場合は不向き。
・PC のレジストリに SCP を構成する方式・・・特定の部署の端末だけハイブリッドAAD参加させたい場合に向いている方式
AD サーバーに SCP を構成する方式については、Microsoft Entra Connect (旧 Azure AD Connect) で作成する手順が次の公開情報にご案内がございます。
Title: マネージド ドメイン
URL: https://learn.microsoft.com/ja-jp/azure/active-directory/devices/how-to-hybrid-join#managed-domains
PC のレジストリに SCP を構成する方式については、次の公開情報をご参考ください。
Title: Microsoft Entra ハイブリッド参加の対象となるデプロイ – Microsoft Entra | Microsoft Learn
URL: https://learn.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-join-control
Microsoft Entra ハイブリッド 参加する端末とシームレスシングルサインオンは別物
「ハイブリッド AAD 参加端末」と「シームレス SSO」はどちらも SSO を実現するための別個の仕組みでございます。
本お問い合わせのタイトルは「ハイブリッド AAD 参加端末」となっており、お問い合わせの本文は「シームレス SSO」に関連する記載となっており、差がございます。
このため、どちらについてのお問い合わせであるかを確認させていただきたく存じます。
なお、次の公開情報にございます通り弊社では「プライマリ更新トークンを介した SSO」の利用をお勧めしております。
「Microsoft Entra ハイブリッド参加 (ハイブリッド Azure AD 参加) 済みデバイス」は「プライマリ更新トークンを介した SSO」に該当します。
(シームレス SSO は 「プライマリ更新トークンを介した SSO」ではなく、またシームレス SSO は近年新規に導入されるといった方は少ないレガシーな仕組みでもあります)
プライマリ更新トークンを介した SSO とシームレス SSO
/// 抜粋
Windows 10、Windows Server 2016、およびそれ以降のバージョンの場合は、プライマリ更新トークン (PRT) を介した SSO を使用することをお勧めします。
Windows 7 と Windows 8.1 の場合、シームレス SSO を使用することをお勧めします。
ディスカッション
コメント一覧
まだ、コメントがありません