登録済みデバイスを使用してオンプレミスの条件付きアクセスを構成する
次のドキュメントでは、登録済みデバイスを使用したオンプレミスの条件付きアクセスのインストールと構成について説明します。
インフラストラクチャの前提条件
オンプレミスの条件付きアクセスを開始するには、次の前提条件が必要です。
要件 | 説明 |
---|---|
Microsoft Entra ID P1 または P2 を持つ Microsoft Entra サブスクリプション | オンプレミスの条件付きアクセスでデバイスの書き戻しを有効にするために必要です - 無料評価版で使用可能 |
Intune のサブスクリプション | デバイス コンプライアンス シナリオでの MDM 統合のためにのみ必要です -無料試用版で使用可能 |
Microsoft Entra Connect | 2015 年 11 月以降の QFE。 こちらで最新バージョンを入手してください。 |
Windows Server 2016 | AD FS 対応のビルド 10586 以降 |
Windows Server 2016 Active Directory スキーマ | スキーマ レベル 85 以上が必要です。 |
Windows Server 2016 ドメイン コントローラー | これは、Hello For Business のキー信頼デプロイのためにのみ必要です。 追加情報については、こちらを参照してください。 |
Windows 10 クライアント | Windows 10 ドメイン参加と Windows Hello for Business のシナリオに限り、上記のドメインへの参加のために ビルド 10586 以上が必要です |
Microsoft Entra ID P1 または P2 ライセンスが割り当てられている Microsoft Entra ユーザー アカウント | デバイスを登録するために必要です |
Active Directory スキーマをアップグレードする
登録済みデバイスでオンプレミスの条件付きアクセスを使用するには、最初に AD スキーマをアップグレードする必要があります。 次の条件を満たしている必要があります - スキーマはバージョン 85 以降である必要があります - これは、AD FS の参加先のフォレストでのみ必要です
Note
Windows Server 2016 でスキーマ バージョン (レベル 85 以上) にアップグレードする前に Microsoft Entra Connect をインストールした場合、msDS-KeyCredentialLink の同期ルールを構成するために、Microsoft Entra Connect のインストールを再実行し、オンプレミスの AD スキーマを更新する必要があります。
スキーマ レベルを確認する
スキーマ レベルを確認するには、次の手順を実行します。
- ADSIEdit または LDP を使用して、スキーマ名前付けコンテキストに接続できます。
- ADSIEdit を使用して、[CN=Schema,CN=Configuration,DC=<domain>,DC=<com>] を右クリックし、[properties](プロパティ) を選択します。 domain と com の部分は、ご使用のフォレストの情報に置き換えてください。
- 属性エディターで、objectVersion 属性を見つけます。この属性により、ご使用のバージョンが分かります。
次の PowerShell コマンドレットも使用できます (オブジェクトを、スキーマ名前付けコンテキスト情報に置き換えてください)。
Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion
アップグレードについて詳しくは、「Windows Server 2016 へのドメイン コントローラーのアップグレード」を参照してください。
Microsoft Entra Device Registration の有効化
このシナリオを構成するには、Microsoft Entra ID でデバイス登録機能を構成する必要があります。
これを行うには、「組織での Microsoft Entra 参加の設定」の手順に従ってください
AD FS をセットアップする
- 新しい AD FS 2016 ファームを作成します。
- または、AD FS 2012 R2 から AD FS 2016 にファームを移行します
- カスタム パスを使用して Microsoft Entra Connect をデプロイし、AD FS を Microsoft Entra ID に接続します。
デバイスの書き戻しとデバイス認証を構成する
Note
エクスプレス設定を使用して Microsoft Entra Connect を実行した場合、正しい AD オブジェクトが作成されています。 ただし、ほとんどの AD FS シナリオでは、Microsoft Entra Connect は、AD FS を構成するためのカスタム設定で実行されるため、次の手順が必要になります。
AD FS デバイス認証用の AD オブジェクトの作成
デバイス認証のために AD FS ファームがまだ構成されていない場合 (これは、AD FS 管理コンソールの [サービス] -> [デバイス登録] で確認できます)、次の手順を使用して、正しい AD DS オブジェクトと構成を作成してください。
注: 次のコマンドは、Active Directory 管理ツールを必要と、ので場合は、フェデレーション サーバーは、また、ドメイン コント ローラーではない、まずツールをインストール、1 次の手順を使用しています。 それ以外の場合、手順 1. を省略できます。
- [役割と機能の追加] ウィザードを実行し、[リモート サーバー管理ツール] ->[役割管理ツール] ->[AD DS および AD LDS ツール] -> を選択し、[Windows PowerShell 用 Active Directory モジュール] と [AD DS ツール] の両方を選択します。
AD FS プライマリ サーバーで、エンタープライズ管理者 (EA) 特権がある AD DS ユーザーとしてログインしていることを確認し、管理者特権の PowerShell プロンプトを開きます。 次に、次の PowerShell コマンドを実行します。
Import-module activedirectory
PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"
ポップアップ ウィンドウで、[はい] をクリックします。
注: GMSA アカウントを使用するように AD FS サービスが構成されている場合、"domain\accountname$" という形式でアカウント名を入力します
上記の PSH によって、次のオブジェクトが作成されます。
- AD ドメイン パーティション RegisteredDevices コンテナー
- [構成] --> [サービス] --> [デバイス登録構成] の下の [デバイス登録サービス] コンテナーとオブジェクト
- [構成] --> [サービス] --> [デバイス登録構成] の下の [Device Registration Configuration DKM](デバイス登録サービス DKM) コンテナーとオブジェクト
- これが完了すると、正常に完了したことを示すメッセージが表示されます。
AD 内のサービス接続ポイント (SCP) の作成します。
ここでの説明のように Windows 10 ドメイン参加 (Microsoft Entra ID への自動登録による) を使用する場合は、次のコマンドを実行して AD DS でサービス接続ポイントを作成します。
Windows PowerShell を開き、次のコマンドを実行します。
PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"
Note
必要に応じて Microsoft Entra Connect サーバーから AdSyncPrep.psm1 ファイルをコピーしてください。 このファイルは、Program Files\Microsoft Entra Connect\AdPrep にあります。
Microsoft Entra グローバル管理者認証情報を入力します。
PS C:>$aadAdminCred = Get-Credential
次の PowerShell コマンドを実行します。
PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred
ここで、"AD コネクタカウント名" は、オンプレミス AD DS ディレクトリを追加するときに Microsoft Entra Connect で構成したアカウントの名前です。
上記のコマンドにより、Windows 10 クライアントは、AD DS に serviceConnectionpoint オブジェクトを作成することで、参加する正しい Microsoft Entra ドメインを見つけられるようになります。
デバイスの書き戻しのための AD の準備
AD DS オブジェクトとコンテナーを、Microsoft Entra ID からデバイスの書き戻しができる正しい状態にするために、次の操作を行います。
Windows PowerShell を開き、次のコマンドを実行します。
PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]
ここで、"AD コネクタ アカウント名" は、オンプレミス AD DS ディレクトリを追加するときに Microsoft Entra Connect で構成した、domain\accountname 形式のアカウントの名前です。
上記のコマンドでは、AD DS へのデバイスの書き戻しのために次のオブジェクトが作成され (まだ存在していない場合)、指定の AD コンテナー アカウント名にアクセスできるようになります
- AD ドメイン パーティションの RegisteredDevices コンテナー
- [構成] --> [サービス] --> [デバイス登録構成] の下の [デバイス登録サービス] コンテナーとオブジェクト
Microsoft Entra Connect でデバイス書き戻しを有効にする
Microsoft Entra Connect でデバイスの書き戻しをこれまでに有効にしていなかった場合は、2 回目のウィザードを実行し、[同期オプションのカスタマイズ] を選択し、デバイスの書き戻しのチェック ボックスをオンにし、上記のコマンドレットを実行したフォレストを選択することで、これを有効にします。
AD FS でデバイス認証を構成します。
次のコマンドを実行して AD FS のポリシーを構成する管理者特権の PowerShell コマンド ウィンドウを使用して、
PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All
構成を確認する
参照用として、デバイスの書き戻しと認証を動作させるために必要な AD DS デバイス、コンテナー、アクセス許可の全一覧を次に示します
CN=RegisteredDevices,DC=<domain> での ms-DS-DeviceContainer 型のオブジェクト
- AD FS サービス アカウントへの読み取りアクセス権
- Microsoft Entra Connect 同期 AD コネクタ アカウントへの読み取り/書き込みアクセス権限
Container CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<ドメイン>
上記のコンテナーの下で、デバイスの登録サービス コンテナー DKM
CN=<guid>, CN=Device Registration での serviceConnectionpoint 型のオブジェクト
Configuration,CN=Services,CN=Configuration,DC=<ドメイン>
- 新しいオブジェクトの指定された AD コネクタ アカウント名への読み取り/書き込みアクセス権
- 新しいオブジェクトの指定された AD コネクタ アカウント名への読み取り/書き込みアクセス権
CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=
上記のコンテナー内の msDS-DeviceRegistrationService 型のオブジェクト
動作を確認する
新しいクレームとポリシーを評価するには、最初にデバイスを登録します。 たとえば、[システム] -> [バージョン情報] で設定アプリを使用して、Microsoft Entra に Windows 10 コンピューターを参加させるか、こちらの追加手順に従い、自動デバイス登録による Windows 10 ドメイン参加を設定することができます。 Windows 10 モバイル デバイスの参加について詳しくは、こちらのドキュメントを参照してください。
最も簡単な評価を行うには、クレームの一覧を表示するテスト アプリケーションを使用して AD FS にサインオンします。 isManaged、isCompliant、trusttype などの新しいクレームを確認できます。 Windows Hello for Business を有効にすると、prt クレームも確認できます。
その他のシナリオを構成します。
Windows 10 ドメイン参加コンピューターの自動登録
Windows 10 ドメイン参加コンピューターの自動デバイス登録を有効にするには、こちらの手順 1 と 2 に従います。 これにより、以下を行うことができます。
- AD DS のサービス接続ポイントが存在し、適切なアクセス許可があることを確認する (上でこのオブジェクトを作成しましたが、二重にチェックしても問題ありません)。
- AD FS が正しく構成されていることを確認する
- AD FS システムで、正しいエンドポイントが有効になっていること、および要求規則が構成されていることを確認する
- ドメイン参加コンピューターの自動デバイス登録に必要なグループ ポリシー設定を構成する
Windows Hello for Business
Windows Hello for Business で Windows 10 を有効にする方法について詳しくは、「組織で Windows Hello for Business を有効にする」を参照してください。
自動 MDM 登録
登録済みデバイスの自動 MDM 登録を有効にして、アクセス制御ポリシーで isCompliant クレームを使用できるようにするには、こちらの手順に従います。
トラブルシューティング
- "すべての必要な属性がない DRS サービス オブジェクトが見つかりました" など、オブジェクトが誤った状態で既に存在することを示すエラーが
Initialize-ADDeviceRegistration
で発生した場合、Microsoft Entra Connect PowerShell コマンドを以前に実行していて、AD DS で部分的に構成されている可能性があります。 CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> でオブジェクトを手動で削除し、再試行してください。 - Windows 10 ドメインに追加のクライアント
- デバイス認証が機能していることを確認するために、ドメイン参加クライアントにテスト ユーザー アカウントとしてサインオンします。 プロビジョニングをすばやくトリガーするために、デスクトップを少なくとも 1 回ロックし、ロック解除します。
- AD DS オブジェクトの STK キー資格情報リンクを確認する手順 (同期は 2 回実行する必要がありますか?)
- デバイスが既に登録されている Windows コンピューターを登録しようとしてエラーが発生した一方で、デバイスを登録解除できない、またはデバイスを既に登録解除している場合、レジストリにデバイス登録構成の一部が残っている可能性があります。 調査し、これを削除するには、次の手順を使用します。
- Windows コンピューターで、Regedit を開き、HKLM\Software\Microsoft\Enrollments に移動します
- このキーの下のサブキーがあります多く GUID 形式でします。 およそ 17 個の値があり、"EnrollmentType" が "6" (MDM 参加済み) または "13" (Microsoft Entra 参加済み) となっているサブキーに移動します
- EnrollmentType を 0 に変更します
- デバイスの登録または登録をもう一度やり直してください。