Microsoft Entra ハイブリッド参加の対象のデプロイ
対象指定デプロイを使用することで、ハイブリッド Microsoft Entra 参加済みデバイスの計画と前提条件を検証してから、組織全体でそれを有効にすることができます。 この記事では、Microsoft Entra ハイブリッド参加の対象指定デプロイを実行する方法について説明します。
注意
Active Directory の値を変更する場合は、注意が必要です。 確立された環境に変更を加えると、意図しない結果が生じる場合があります。
Windows の現在のデバイスにおける Microsoft Entra ハイブリッド参加の対象指定デプロイ
Windows 10 を実行するデバイスの場合、Hybrid Join の実行がサポートされる最小バージョンは Windows 10 (バージョン 1607) です。 ベスト プラクティスとして、Windows 10 または 11 の最新バージョンにアップグレードしてください。 以前のオペレーティング システムをサポートする必要がある場合は、「ダウンレベル デバイスのサポート」セクションを参照してください。
Windows の現在のデバイスで Microsoft Entra ハイブリッド参加の対象指定デプロイを実行するには、以下を行う必要があります。
- サービス接続ポイント (SCP) エントリが存在する場合は、Windows Server Active Directory からクリアします。
- グループ ポリシー オブジェクト (GPO) を使用して、ドメイン参加済みのコンピューターで SCP のクライアント側レジストリ設定を構成します。
- Active Directory フェデレーション サービス (AD FS) を使用している場合は、GPO を使用して、AD FS サーバー上の SCP のクライアント側レジストリ設定を構成する必要もあります。
- また、デバイスの同期を有効にするために、Microsoft Entra Connect で同期オプションをカスタマイズすることが必要な場合もあります。
ヒント
特定の状況では、SCP がデバイスのレジストリでローカルに構成される場合があります。 デバイスによってレジストリ内で値が検出された場合、その設定が使用されます。それ以外の場合は、ディレクトリに対してクエリを実行して SCP を照会し、ハイブリッド参加を試みます。
SCP を Microsoft Windows Server Active Directory からクリアする
Microsoft Windows Server Active Directory で SCP オブジェクトを変更するには、Active Directory サービス インターフェイス エディター (ADSI Edit) を使用します。
- ADSI Edit デスクトップ アプリケーションは、エンタープライズ管理者として、管理ワークステーションまたはドメイン コントローラーから起動します。
- ドメインの構成名前付けコンテキストに接続します。
- CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration を参照します。
- リーフ オブジェクト CN=62a0ff2e-97b9-4513-943f-0d221bd30080 を右クリックし、[プロパティ] を選択します。
- [属性エディター] ウィンドウからキーワードを選択し、[編集] を選択します。
- azureADId と azureADName の値を選択し (一度に 1 つずつ)、[削除] を選択します。
- [ADSI エディター] を閉じます。
SCP のクライアント側レジストリ設定を構成する
次の例を使用して、デバイスのレジストリ内の SCP エントリを構成するレジストリ設定をデプロイするためのグループ ポリシー オブジェクト (GPO) を作成します。
- グループ ポリシー管理コンソールを開き、ドメインに新しいグループ ポリシー オブジェクトを作成します。
- 新しく作成した GPO に名前 (ClientSideSCP など) を付けます。
- GPO を編集して、次のパスを参照します。[コンピューターの構成]>[基本設定]>[Windows 設定]>[レジストリ]。
- [レジストリ] を右クリックして、[新規]>[レジストリ項目] を選択します。
- [全般] タブで、次を構成します。
- アクション: 更新。
- ハイブ: HKEY_LOCAL_MACHINE。
- キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 値の名前: TenantId。
- 値の種類: REG_SZ。
- 値データ: Microsoft Entra テナントのグローバル一意識別子 (GUID) またはテナント ID。これは、[ID]>[概要]>[プロパティ]>[テナント ID] にあります。
- [OK] を選択します。
- [全般] タブで、次を構成します。
- [レジストリ] を右クリックして、[新規]>[レジストリ項目] を選択します。
- [全般] タブで、次を構成します。
- アクション: 更新。
- ハイブ: HKEY_LOCAL_MACHINE。
- キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD。
- 値の名前: TenantName。
- 値の種類: REG_SZ。
- 値のデータ: AD FS などのフェデレーション環境を使用している場合は、確認済みのドメイン名。 マネージド環境を使用している場合は、確認済みのドメイン名または onmicrosoft.com のドメイン名 (たとえば、
contoso.onmicrosoft.com
)。
- [OK] を選択します。
- [全般] タブで、次を構成します。
- 新しく作成された GPO のエディターを閉じます。
- 制御されたロールアウト群に属しているドメイン参加済みのコンピューターを含む適切な組織単位 (OU) に、新しく作成した GPO をリンクします。
AD FS 設定を構成する
Microsoft Entra ID で AD FS を使用している場合は、まず、上記の手順を使用して、GPO を AD FS サーバーにリンクすることで、クライアント側の SCP を構成する必要があります。 SCP オブジェクトで、デバイス オブジェクトの権限のソースを定義します。 オンプレミスまたは Microsoft Entra ID を指定できます。 クライアント側 SCP が AD FS 用に構成されている場合、デバイス オブジェクトのソースは Microsoft Entra ID として確立されます。
Note
AD FS サーバー上でクライアント側の SCP を構成できなかった場合、デバイス ID のソースはオンプレミスと見なされます。 Active Directory フェデレーション サービス (AD FS) は、ADFS デバイスの登録の属性 「MaximumInactiveDays」 で定義された期間が経過した後、オンプレミスのディレクトリからデバイス オブジェクトの削除を開始します。 Active Directory フェデレーション サービス (AD FS)デバイスの登録オブジェクトは、Get-AdfsDeviceRegistration コマンドレットを使用して見つけることができます。
ダウンレベル デバイスのサポート
ダウンレベルの Windows デバイスを登録するには、組織で Microsoft ダウンロード センターから入手可能な Microsoft Workplace Join for non-Windows 10 computers をインストールする必要があります。
Microsoft Configuration Manager などのソフトウェア ディストリビューション システムを使用して、このパッケージをデプロイできます。 パッケージは、quiet パラメーターを使用する、標準のサイレント インストール オプションをサポートしています。 Configuration Manager の Current Branch には、完了した登録を追跡する機能など、以前のバージョンにはない利点が追加されています。
インストーラーによって、ユーザー コンテキストで実行されるシステムにスケジュール済みタスクが作成されます。 このタスクは、ユーザーが Windows にサインインするとトリガーされます。 このタスクでは、Microsoft Entra ID で認証した後、ユーザー資格情報を使って、自動的に Microsoft Entra ID でデバイスを参加させます。
デバイスの登録を制御するには、選択したダウンレベルの Windows デバイスのグループに Windows インストーラー パッケージをデプロイする必要があります。
Note
Microsoft Windows Server Active Directory で SCP が構成されていない場合、グループ ポリシー オブジェクト (GPO) を使用して、ドメイン参加済みのコンピューターで、「SCP のクライアント側レジストリ設定を構成する」で説明されている手順と同じ手順に従う必要があります。
デバイスが保留中の状態になる理由
オンプレミスデバイスの Microsoft Entra Connect 同期で Microsoft Entra ハイブリッド参加タスクを構成すると、タスクはデバイス オブジェクトを Microsoft Entra ID に同期し、デバイスがデバイスの登録を完了する前に、デバイスの登録済み状態を一時的に「保留中」に設定します。 この保留中状態は、デバイスを登録する前に、Microsoft Entra ディレクトリにデバイスを追加する必要があるためです。 デバイス登録プロセスの詳細については、 「動作のしくみ:デバイス登録」を参照してください。
検証後
すべてが期待どおりに動作していることを確認したら、Windows の現在およびダウンレベルのデバイスの残りの部分を Microsoft Entra ID に自動的に登録できます。 Microsoft Entra Connect を使用して SCP を構成して、Microsoft Entra ハイブリッド参加を自動化します。