デバイスのハイブリッド Azure AD 参加について

Azure AD には、Windows 10、iOS、Androidなどのデバイスを管理するために下記の3つの機能があります。

  • Azure AD 登録
  • Azure AD 参加
  • ハイブリッド Azure AD 参加


Azure AD 登録Azure AD 参加 についてはすでに紹介しましたので、こちらをご参照ください。

最後にハイブリッド Azure AD 参加の方法について紹介します。


ハイブリッド Azure AD 参加は他の方法よりも複雑なので、トラブルシューティングも混ぜて紹介します。


1.ハイブリッド Azure AD 参加とは

ハイブリッド Azure AD 参加は、オンプレAD に参加しているデバイスでも、Azure AD に参加しているデバイスと同じメリットを得ることが出来ます。

なお、Azure AD 参加と同様に、対象デバイスは Windows のみです。

ただし、Azure AD 参加と異なるのは、Windows 8.1 も対象となっています。


Azure AD 参加の機能に加え、条件付きアクセスの条件として、「ハイブリッド Azure AD 参加済みのデバイスが必要」を利用することが可能です。

Azure AD 登録、参加、ハイブリッドの違いや使い分けについては Microsoft の公式ブログが参考になります。


2.Azure AD Connectのインストール

デバイスをハイブリッド Azure AD 参加させるには、オンプレAD を Azure AD Connect で Azure AD に同期する必要があります。

Azure AD Connect の構築方法についてはこちらを参照してください。


Azure AD Connect の「ドメインとOUのフィルタリング」設定で、コンピューターオブジェクトを同期対象にする必要があります。




3.ハイブリッド Azure AD 参加

Azure AD Connectの準備が出来たらハイブリッド Azure AD 参加を構成しますが、その前に下記の公開情報を確認してください。

Hybrid Azure Active Directory 参加の実装を計画する
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan#handling-devices-with-azure-ad-registered-state


上記の公開情報に「Azure AD 登録」とのデバイス二重登録について記載されていますが、Windows 10 1803以降であれば自動的に解消されると記載があります。

今回の環境は 1909 なので、この動作についても検証してみたいと思います。


1.下記の通り、Azure AD 登録をしています。

当たり前ですがオンプレADにも参加していることを確認します。




2.Azure AD 登録状態のデバイス情報を確認します。

PS C:\WINDOWS\system32> Get-MsolDevice -All
Enabled : True
ObjectId : e397a16a-f942-4b93-a019-cf96c61d05d8
DeviceId : 0b8c7d9c-00a1-45ac-9bbd-c668f669e567
DisplayName : hp-note1
DeviceObjectVersion :2
DeviceOsType : Windows
DeviceOsVersion : 10.0.18363.0
DeviceTrustType : Workplace Joined
DeviceTrustLevel : Authenticated

DevicePhysicalIds : {[USER-GID]:6e953fba-da9e-441f-81fd-781a896ad1b9:6966503396671236, [GID]:g:6966503396671236, [USER-HWID]:6e953fba-da9e-441f-81fd-781a896ad1b9:6966503396671233, [HWID]:h:6966503396671233}
ApproximateLastLogonTimestamp : 2020/04/30 9:07:15
AlternativeSecurityIds : {X509:CAC4A7C669EC847E7A180EE86A84BB33301768EDPKtCVFzXO+Z8jSv/wrZbNxYUV04w9569hlsKOWEems8=}
DirSyncEnabled :
LastDirSyncTime :

RegisteredOwners :
GraphDeviceObject :Microsoft.Azure.ActiveDirectory.GraphClient.Device



ハイブリッド Azure AD 参加をすると下記のパラメータが変化するので、事前に確認しておきます。

  • DeviceTrustType:Workplace Joined
  • DeviceTrustLevel:Managed
  • DirSyncEnabled:(空白)
  • LastDirSyncTime:(空白)



3.1.ハイブリッド Azure AD 参加の構成


1.Azure AD Connectを起動し、「構成」をクリックします。




2.「追加のタスク」画面で、「デバイスオプションの構成」を選択し、「次へ」をクリックします。




3.「概要」画面で、「次へ」をクリックします。




4.「Azure AD に接続」画面で、管理者アカウントを入力し、「次へ」をクリックします。




5.「デバイスオプション」画面で、「ハイブリッド Azure AD 参加の構成」を選択し、「次へ」をクリックします。




6.「デバイスのオペレーティングシステム」画面で、「Windows 10 以降のドメインに参加しているデバイス」にチェックを入れ、「次へ」をクリックします。

※Windows 8.1を利用する場合はもう一方にもチェックを入れます。




7.「SCPの構成」画面で、ドメインのチェックを入れ、認証サービスで「Azure Active Directory」を選択します。

「追加」をクリックすると認証画面が表示されるので、オンプレADの管理者アカウントを入力します。




8.「エンタープライズ管理者」に手順7で入力したアカウントが表示されることを確認し、「次へ」をクリックします。




9.「構成の準備完了」画面で、「構成」をクリックします。




10.構成が完了したことを確認し、「完了」をクリックします。





3.2.ハイブリッド Azure AD 参加の確認

ハイブリッド Azure AD 参加の構成直後に、デバイスの登録状態を確認してみます。


1.デバイスの登録状態は下記のコマンドで確認出来ます。

C:\WINDOWS\system32>dsregcmd /status
+————————————————–
| Device State
+————————————————–
AzureAdJoined : NO
EnterpriseJoined : NO
DomainJoined : YES
DomainName : INTRA
    ~略~
+————————————————–
| Diagnostic Data
+————————————————–
    ~略~
Previous Registration : 2020-04-30 09:05:09.000 UTC
Error Phase : pre-check
Client ErrorCode : 0x1



「Device State」でデバイスの状態を確認出来ます。

  • AzureAdJoined:Azure AD に参加しているか示します
  • DomainJoined:オンプレAD に参加しているか示します。


また、「Diagnostic Data」でハイブリッド Azure AD 参加のエラーを確認出来ます。

上記では「pre-check」で失敗しています。


Azure AD側には下記の通りデバイスが表示されますが、「登録済み」が「保留中」になってます。



2..Azure AD ユーザーで対象のデバイスにログインします。

その後、もう一度デバイスの登録状態を確認してみます。

C:\WINDOWS\system32>dsregcmd /status
+————————————————–
| Device State
+————————————————–
AzureAdJoined : NO
EnterpriseJoined : NO
DomainJoined : YES
DomainName : INTRA
    ~略~
+————————————————–
| Diagnostic Data
+————————————————–
    ~略~
Previous Registration : 2020-04-30 09:29:06.000 UTC
Registration Type : sync
Error Phase : join
Client ErrorCode : 0x801c03f2
Server ErrorCode : DirectoryError
Server Message : The device object by the given id (ac48e386-2921-4881-8b5e-74c42d6f6e5a) is not found.
Https Status : 400
Request Id : 683621da-ee64-4556-af87-1b913e787921



「Device State」に変化はありませんが、「Diagnostic Data」のエラーが変化しました。

「join」のフェーズでエラーが発生しています。

デバイスオブジェクトが見つからないとあるので、デバイスが Azure AD Connect で Azure AD に同期されていないことが原因です。


3.デバイスを Azure AD に同期した後にもう一度確認します。

「登録済み」に「日時」が表示されていればOKです。


しかし、Azure AD 登録 (Azure AD registered) のデバイスが削除されていません。

本来であれば所有者である「test001」ユーザーでデバイスにサインインした段階で削除されるはずですが、削除されずに残っています。

※2020/10/02追記
 デバイスがIntuneに登録されている場合、二重登録は自動的に解除されないようです。



この状態でデバイスの登録状態を確認します。

C:\WINDOWS\system32>dsregcmd /status
+————————————————–
| Device State
+————————————————–
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : INTRA
    ~略~
+————————————————–
| Diagnostic Data
+————————————————–
AadRecoveryEnabled : NO
KeySignTest : PASSED



「Device State」の「AzureAdJoined」が「YES」になりました。

また、「Diagnostic Data」にエラーが表示されなくなりました。


4.最後に、Azure AD のデバイス情報を確認します。

PS C:\WINDOWS\system32> Get-MsolDevice -All
Enabled : True
ObjectId : b458bd68-8e3e-46e8-a06d-b2b70ab2efd6
DeviceId : ac48e386-2921-4881-8b5e-74c42d6f6e5a
DisplayName : hp-note1
DeviceObjectVersion :
DeviceOsType : Windows
DeviceOsVersion : 10.0.18363.0
DeviceTrustType : Domain Joined
DeviceTrustLevel : Managed

DevicePhysicalIds : {[USER-HWID]:ac48e386-2921-4881-8b5e-74c42d6f6e5a:6966503396671233, [USER-GID]:ac48e386-2921-4881-8b5e-74c42d6f6e5a:6966503396671236,[HWID]:h:6966503396671233, [GID]:g:6966503396671236}
ApproximateLastLogonTimestamp : 2020/04/30 9:42:23
AlternativeSecurityIds : {X509:619DFB3405B1F02BC471DB616A7BE3602AE86EFBk8MVEiZAhsNbCVv6k84uFyVj9zcUZTBjbrGX3+iUIKs=}
DirSyncEnabled : True
LastDirSyncTime : 2020/04/30 9:38:37

RegisteredOwners :
GraphDeviceObject :Microsoft.Azure.ActiveDirectory.GraphClient.Device



Azure AD 登録と比較し、下記のパラメータが変更されたことを確認します。

  • DeviceTrustType:Domain Joined
  • DeviceTrustLevel:Managed
  • DirSyncEnabled:True
  • LastDirSyncTime:最終同期時刻


トラブルシューティングについては下記の公開情報が参考になります。

ハイブリッド Azure Active Directory 参加済みデバイスのトラブルシューティング
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current



ハイブリッド Azure AD 参加については以上です。

コメント

タイトルとURLをコピーしました