Azure AD参加したデバイスでのAzure ADユーザーサインインについて

皆さんこんにちは。国井です。

オンプレミスからクラウドへ、という流れはサーバーだけでなく、クライアントデバイスにも起きていると思います。今までであれば、Active Directoryドメインにデバイスを参加させて、、という方法でしたが、徐々にAzure ADにデバイスを参加させて、クラウド経由でデバイス管理という方向に進んでいると思います。

そんなことを計画すると出てくるのは、Azure AD参加のデバイスの扱いについてです。
最近、ご質問をいただくことが多いので、少しまとめておきます。
え、Azure AD参加とは何かって?それはこちらで確認してください。

Azure AD参加時のユーザーアカウント

例えば、yamada@adfs.jp というユーザーでAzure AD参加を行った場合、Azure ADユーザーでWindowsサインインができるようになります。ただし、Windowsローカルにそのユーザーが作られることはありません。Azure AD参加のユーザーはワークグループのユーザーじゃないから当然ですよね。

1

そこでコマンドプロンプトで「whoami /all」コマンドを実行してみます。すると、ユーザーの情報がazuread\yamadaのように表示され、AzureADドメインのyamadaユーザーと認識されていることがわかります。
しかし、Azure AD Connectから同期されたユーザーの場合、ユーザーの情報がcontoso00\yamadaのようにオンプレミスドメインのユーザーとして表示されるのです。

2

しかし、SIDは本物のADドメインのYamadaユーザーとは違う、、なんでやねん。

Azure ADユーザーに与えられる権限

Azure AD参加を行うときに使用したAzure ADユーザーでサインインすると、そのユーザーはAdministratorsグループの権限、そのほかのAzure ADユーザーでサインインすると、Usersグループの権限が割り当てられます。
事実、[コンピューターの管理]管理ツールでAdministratorsグループのメンバーを見てみると、Yamadaユーザーが含まれていることがわかります。

3

じゃあ、Windows 10で最初に作られたユーザー(以下のケースではadminユーザー)と同等の権限をユーザーが持つのか?と言われると、それもまた違います。以下の画面はadminユーザーでwhoamiコマンドを実行した様子です。whoamiコマンドの実行結果では上記のyamadaユーザーとは異なる権限を保有していることがわかります。

4

実はこのことが理由で、Azure AD参加しているデバイスに管理者権限が必要なアプリをインストールしようとすると失敗するケースがあります。どうして失敗しているかによって対処方法は異なりますが、Azure ADユーザーから一度サインアウトして、adminユーザーでサインインしなおしてアプリをインストールする、という操作が必要になる場合も最悪ありますので、この点は注意が必要です。

Azure ADユーザーに対するファイル共有のアクセス許可割り当て

Azure ADユーザーはワークグループのユーザーでもないし、ADドメインユーザーでもない。この場合、ファイル共有を作ってアクセス許可を割り当てようとしてもGUI画面からユーザーを選択できません。そのため、PowerShellのGrant-SmbShareAccessコマンドレットを使ってアクセス許可を割り当てる必要があります。詳しい方法はこちら(英語)で紹介していますので、参考にしてください。

スポンサーリンク







  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください