Microsoft Entra Connect: デバイス ライトバックの有効化
Note
デバイス ライトバックには、Microsoft Entra ID P1 または P2 のサブスクリプションが必要です。
このドキュメントでは、Microsoft Entra Connect でデバイス ライトバック機能を有効にする方法について説明します。 デバイスの書き戻しは、次のシナリオで使用されます。
- 信頼証明書のハイブリッド展開を使用して Windows Hello for Business を有効にします。
- ADFS (2012 R2 以降) で保護されたアプリケーション (証明書利用者の信頼) へのデバイスに基づく条件付きアクセスを有効にします。
これにより、セキュリティが強化され、アプリケーションへのアクセスが信頼されたデバイスに対してのみ許可されることが保証されます。 条件付きアクセスの詳細については、条件付きアクセスを使用したリスクの管理および Microsoft Entra デバイス登録を使用したオンプレミスの条件付きアクセスの設定に関する記事を参照してください。
重要
パート 1: Microsoft Entra Connect をインストールする
カスタムまたは簡単設定を使用して Microsoft Entra Connect をインストールします。 すべてのユーザーとグループの同期に成功してから、デバイスの書き戻しを有効にすることをお勧めします。
パート 2: Microsoft Entra Connect でデバイス ライトバックを有効にする
インストール ウィザードをもう一度実行します。 [追加のタスク] ページで [デバイス オプションの構成] を選び、 [次へ] をクリックします。
Note
新しい [デバイス オプションの構成] は、バージョン 1.1.819.0 以降でのみ使うことができます。
デバイス オプション ページで、 [デバイス ライトバックの構成] を選びます。 [デバイス ライトバックの無効化] オプションは、デバイス ライトバックを有効にするまで使用できません。 [次へ] をクリックして、ウィザードの次のページに移動します。
[書き戻し] ページでは、指定したドメインが既定の [デバイス ライトバック フォレスト] として表示されます。
[デバイス コンテナー] ページでは、使用可能な 2 つのオプションのどちらかを使って、Active Directory を準備できます。
a. エンタープライズ管理者の資格情報を提供する: デバイスをライトバックする必要があるフォレストのエンタープライズ管理者の資格情報を提供すると、Microsoft Entra Connect はデバイス ライトバックの構成中にフォレストを自動的に準備します。
b. PowerShell スクリプトをダウンロードする: Microsoft Entra Connect は、デバイス ライトバック用に Active Directory を準備できる PowerShell スクリプトを自動生成します。 Microsoft Entra Connect にエンタープライズ管理者の資格情報を提供できない場合、PowerShell スクリプトをダウンロードすることをお勧めします。 ダウンロードした PowerShell スクリプト CreateDeviceContainer.ps1 を、デバイスがライトバックされるフォレストのエンタープライズ管理者に提供します。
Active Directory フォレストを準備するため、次の操作が実行されます。
- CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] にコンテナーとオブジェクトがまだない場合は、新たに作成および構成されます。
- CN=RegisteredDevices,[domain-dn] にコンテナーとオブジェクトがまだない場合は、新たに作成および構成されます。 このコンテナーにデバイス オブジェクトが作成されます。
- Active Directory でデバイスを管理するために、必要なアクセス許可を Microsoft Entra コネクタ アカントに設定します。
- Microsoft Entra Connect が複数のフォレストにインストールされている場合であっても、1 つのフォレストで実行するだけで済みます。
デバイスが Active Directory に同期されていることを確認する
デバイスの書き戻しは正常に動作するようになっています。 デバイス オブジェクトを AD に書き戻すには、最大 3 時間かかる可能性があります。 デバイスが正しく同期されていることを確認するには、同期規則が完了した後で次のようにします。
Active Directory 管理センターを起動します。
フェデレーションされているドメイン内の RegisteredDevices を展開します。
現在登録されているデバイスが一覧表示されます。
条件付きアクセスを有効にする
このシナリオを有効にする詳細な手順については、Microsoft Entra デバイス登録を使用したオンプレミスの条件付きアクセスの設定に関する記事をご覧ください。
トラブルシューティング
書き戻しのチェックボックスがオフのままです。
前述の手順を実行してもデバイス ライトバックのチェックボックスがオンにならない場合は、次の手順を実行し、ボックスがオンになる前にインストール ウィザードで検証が実行されるようにします。
まず次の手順を実行します。
- デバイスが存在するフォレストには、デバイス オブジェクトと関連属性が存在するように、Windows 2012 R2 レベルにアップグレードされたフォレスト スキーマが必要です。
- インストール ウィザードが既に実行中の場合、変更は検出されません。 この場合は、インストール ウィザードを完了してから、再実行してください。
- 初期化スクリプトで指定したアカウントが、Active Directory Connector に使用されている正しいユーザーであることを確認します。 確認する手順は次のとおりです。
- [スタート] メニューから [同期サービス] を開きます。
- [コネクタ] タブを開きます。
- 種類が Active Directory Domain Services のコネクタを探して選択します。
- [アクション] の [プロパティ] を選択します。
- [Active Directory フォレストに接続] を選択します。 この画面で指定されているドメインとユーザー名と、スクリプトに指定したアカウントが一致することを確認します。
Active Directory の構成を確認します。
- つまり、configuration 名前付けコンテキストの (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) の下に Device Registration Service があることを確認します。
- configuration 名前空間を検索して、configuration オブジェクトが 1 つのみであることを確認します。 複数ある場合は、重複するオブジェクトを削除します。
- Device Registration Service オブジェクトに、属性 msDS-DeviceLocation が存在し、値が指定されていることを確認します。 その場所を参照し、その場所に objectType msDS-DeviceContainer が存在することを確認します。
- Active Directory Connector には、前の手順で検索した Registered Devices コンテナーに対するアクセス許可が必要です。 このコンテナーには、次のようなアクセス許可があります。
- Active Directory アカウントに、CN=Device Registration Configuration,CN=Services,CN=Configuration オブジェクトに対するアクセス許可があることを確認します。
追加情報
次のステップ
オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。