次の方法で共有


Microsoft Entra Connect: デバイス ライトバックの有効化

Note

デバイス ライトバックには、Microsoft Entra ID P1 または P2 のサブスクリプションが必要です。

このドキュメントでは、Microsoft Entra Connect でデバイス ライトバック機能を有効にする方法について説明します。 デバイスの書き戻しは、次のシナリオで使用されます。

これにより、セキュリティが強化され、アプリケーションへのアクセスが信頼されたデバイスに対してのみ許可されることが保証されます。 条件付きアクセスの詳細については、条件付きアクセスを使用したリスクの管理および Microsoft Entra デバイス登録を使用したオンプレミスの条件付きアクセスの設定に関する記事を参照してください。

重要

  • デバイスは、ユーザーと同じフォレスト内にある必要があります。 デバイスは単一のフォレストに書き戻される必要があるため、この機能では現在、複数のユーザー フォレストでのデプロイはサポートされていません。
  • オンプレミスの Active Directory フォレストに追加できるのは、1 つのデバイス登録構成オブジェクトのみです。 この機能は、オンプレミスの Active Directory が複数の Microsoft Entra ディレクトリに同期されるトポロジとの互換性はありません。
  • パート 1: Microsoft Entra Connect をインストールする

    カスタムまたは簡単設定を使用して Microsoft Entra Connect をインストールします。 すべてのユーザーとグループの同期に成功してから、デバイスの書き戻しを有効にすることをお勧めします。

    パート 2: Microsoft Entra Connect でデバイス ライトバックを有効にする

    1. インストール ウィザードをもう一度実行します。 [追加のタスク] ページで [デバイス オプションの構成] を選び、 [次へ] をクリックします。

      Configure device options

      Note

      新しい [デバイス オプションの構成] は、バージョン 1.1.819.0 以降でのみ使うことができます。

    2. デバイス オプション ページで、 [デバイス ライトバックの構成] を選びます。 [デバイス ライトバックの無効化] オプションは、デバイス ライトバックを有効にするまで使用できません。 [次へ] をクリックして、ウィザードの次のページに移動します。 Chose device operation

    3. [書き戻し] ページでは、指定したドメインが既定の [デバイス ライトバック フォレスト] として表示されます。 Custom Install device writeback target forest

    4. [デバイス コンテナー] ページでは、使用可能な 2 つのオプションのどちらかを使って、Active Directory を準備できます。

      a. エンタープライズ管理者の資格情報を提供する: デバイスをライトバックする必要があるフォレストのエンタープライズ管理者の資格情報を提供すると、Microsoft Entra Connect はデバイス ライトバックの構成中にフォレストを自動的に準備します。

      b. PowerShell スクリプトをダウンロードする: Microsoft Entra Connect は、デバイス ライトバック用に Active Directory を準備できる PowerShell スクリプトを自動生成します。 Microsoft Entra Connect にエンタープライズ管理者の資格情報を提供できない場合、PowerShell スクリプトをダウンロードすることをお勧めします。 ダウンロードした PowerShell スクリプト CreateDeviceContainer.ps1 を、デバイスがライトバックされるフォレストのエンタープライズ管理者に提供します。 Prepare active directory forest

      Active Directory フォレストを準備するため、次の操作が実行されます。

      • CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] にコンテナーとオブジェクトがまだない場合は、新たに作成および構成されます。
      • CN=RegisteredDevices,[domain-dn] にコンテナーとオブジェクトがまだない場合は、新たに作成および構成されます。 このコンテナーにデバイス オブジェクトが作成されます。
      • Active Directory でデバイスを管理するために、必要なアクセス許可を Microsoft Entra コネクタ アカントに設定します。
      • Microsoft Entra Connect が複数のフォレストにインストールされている場合であっても、1 つのフォレストで実行するだけで済みます。

    デバイスが Active Directory に同期されていることを確認する

    デバイスの書き戻しは正常に動作するようになっています。 デバイス オブジェクトを AD に書き戻すには、最大 3 時間かかる可能性があります。 デバイスが正しく同期されていることを確認するには、同期規則が完了した後で次のようにします。

    1. Active Directory 管理センターを起動します。

    2. フェデレーションされているドメイン内の RegisteredDevices を展開します。

      Active Directory Admin Center Registered Devices

    3. 現在登録されているデバイスが一覧表示されます。

      Active Directory Admin Center Registered Devices List

    条件付きアクセスを有効にする

    このシナリオを有効にする詳細な手順については、Microsoft Entra デバイス登録を使用したオンプレミスの条件付きアクセスの設定に関する記事をご覧ください。

    トラブルシューティング

    書き戻しのチェックボックスがオフのままです。

    前述の手順を実行してもデバイス ライトバックのチェックボックスがオンにならない場合は、次の手順を実行し、ボックスがオンになる前にインストール ウィザードで検証が実行されるようにします。

    まず次の手順を実行します。

    • デバイスが存在するフォレストには、デバイス オブジェクトと関連属性が存在するように、Windows 2012 R2 レベルにアップグレードされたフォレスト スキーマが必要です。
    • インストール ウィザードが既に実行中の場合、変更は検出されません。 この場合は、インストール ウィザードを完了してから、再実行してください。
    • 初期化スクリプトで指定したアカウントが、Active Directory Connector に使用されている正しいユーザーであることを確認します。 確認する手順は次のとおりです。
      • [スタート] メニューから [同期サービス] を開きます。
      • [コネクタ] タブを開きます。
      • 種類が Active Directory Domain Services のコネクタを探して選択します。
      • [アクション][プロパティ] を選択します。
      • [Active Directory フォレストに接続] を選択します。 この画面で指定されているドメインとユーザー名と、スクリプトに指定したアカウントが一致することを確認します。 Connector account in Sync Service Manager

    Active Directory の構成を確認します。

    • つまり、configuration 名前付けコンテキストの (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) の下に Device Registration Service があることを確認します。

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • configuration 名前空間を検索して、configuration オブジェクトが 1 つのみであることを確認します。 複数ある場合は、重複するオブジェクトを削除します。

    Troubleshoot, search for the duplicate objects

    • Device Registration Service オブジェクトに、属性 msDS-DeviceLocation が存在し、値が指定されていることを確認します。 その場所を参照し、その場所に objectType msDS-DeviceContainer が存在することを確認します。

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Active Directory Connector には、前の手順で検索した Registered Devices コンテナーに対するアクセス許可が必要です。 このコンテナーには、次のようなアクセス許可があります。

    Troubleshoot, verify permissions on container

    • Active Directory アカウントに、CN=Device Registration Configuration,CN=Services,CN=Configuration オブジェクトに対するアクセス許可があることを確認します。

    Troubleshoot, verify permissions on Device Registration Configuration

    追加情報

    次のステップ

    オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。