Azure ADドメイン参加を簡単にする

皆さんこんにちは。国井です。

オンプレミスのActive Directoryでもそうだと思いますが、クライアントコンピューターに対するドメイン参加の設定って、面倒ですよね?
特に、Azure ADのドメイン参加ともなれば、さらにハードルが上がります。そこで、今日はAzure ADのドメイン参加を簡単に行える方法について紹介します。
具体的には、Azure ADドメインの参加を行うにあたり、面倒だなと思うポイントとその解決策を紹介します。では、ひとつずつ潰していきましょう。

その1:管理者ユーザーアカウントでデバイス登録できない

オンプレミスのActive Directoryでは、管理者アカウントを使ってドメイン参加をすれば、登録できるデバイスの数に上限はありませんでした。(ちなみに、オンプレミスActive Directoryでは一般ユーザーを使って登録できるデバイスの上限数は10台です)
一方、Azure ADではユーザーを利用して登録できるデバイスの上限は20台という設定があります。これは、管理者ユーザーであろうと同じです。
つまり、会社のPCをドメイン参加させるときに、オンプレミスActive Directoryだったら1つのアカウントでいくらでもドメイン参加できるのに、Azure ADに参加させる場合はPCごとにドメイン参加に使用するアカウントを変えなければならないという問題が起きます。

2017-05-28 (1)

この問題は、Azure ADに登録できるデバイスの上限数の設定変更で解決しましょう。
Azure 管理ポータルから[Azure Active Directory]-[ユーザーとグループ]-[ユーザーごとのデバイスの最大数]から、1ユーザーあたりが登録できるデバイスの上限数は設定できます。デフォルトでは、20に設定されているので、これを無制限にしましょう。

その2:1台ずつドメイン参加の設定をしなければならない

オンプレミスのActive Directoryでもそうですが、ドメイン参加の設定は各クライアントごとに行う必要があります。1台ずつ設定しなければならないのは仕方がないにしても、少なくともクライアント側での設定は少なくしたい。
そんな時には、Windows 10 Ver.1703を使いましょう。Windows 10 Ver.1703からはAzure ADにアクセスするためのトークンを取得し、そのトークンを使ってドメイン参加させる、という自動化がサポートされています。

「トークンを取得する」と言っても、難しいことはなく、Windows ADKの中に含まれるWindows ICDを使えば、ウィザードベースでトークンの取得ができます。

では見てみましょう。

まず、Windows ADK をマイクロソフトのWebサイトからダウンロード・インストールし、Windows イメージングと構成デザイナー (Windows ICD)を起動します。
Windows ICDから[デスクトップデバイスのプロビジョニング]をクリック

image

ウィザード画面で、デバイスに設定するコンピューター名や、接続するネットワークの設定などと一緒に、[アカウントの管理]画面の中に[Azure ADに登録]の選択肢があります。
[Azure ADに登録]を選択して、[一括トークンの取得]をクリックすると、

image

Azure ADのユーザー名/パスワードを入力する画面が表示され、

image

WCDの許可を承諾すると、トークンが取得できます。
image

アカウントのWindowsへの追加は、この一連の登録とは直接関係ないので、ここでは[今はしない]をクリックしておきます。

image

トークンの取得ができ、この画面に戻ってきたら、後は[次へ]を繰り返しクリックして出来上がり。

image

最後に[作成]をクリックすると、拡張子.ppkgを含むファイル群が作られます。

image

ファイルは色々できますが、必要なのは.ppkgファイルだけなので、これをUSBメモリに入れてプロビジョニングパッケージを適用します。

プロビジョニングパッケージを適用するときは、既に使用中のコンピューターであれば、
[設定]アプリから[アカウント]-[職場または学校にアクセスする]-[プロビジョニングパッケージを追加または削除する]からパッケージを追加します。
(スクリプトで実行するときは、C:\ProgramData\Microsoft\Provisioningフォルダーにppkgファイルをコピーするだけでも動作しますよ)
追加したら、一度再起動します。

image

一方、OSを初期化(またはインストール)したタイミングでプロビジョニングパッケージを適用する場合であれば、OOBEと呼ばれる初期設定のウィザード画面でUSBメモリを挿すとプロビジョニングパッケージの適用が始まります。
もし表示されない場合は、Windowsキーを5回押すと、こんな画面が表示されて、プロビジョニングパッケージの適用を開始できます。
image

いずれの方法の場合も、プロビジョニングパッケージの適用が完了し、コンピューターを再起動すると、自動的にAzure ADに参加し、Azure ADユーザーのアカウントを使って Windowsのサインインができるようになることがわかります。

image

このようにAzure ADのドメイン参加の設定は、1台ずつ手動で設定するのではなく、プロビジョニングパッケージをあらかじめ作っておき、作ったプロビジョニングパッケージを適用するだけで、ドメイン参加が完了します。

いかがでしたか?
Azure ADドメインにデバイスを参加する機会自体、まだそれほど多い無いかもしれないですが、クラウドにシフトしていくにつれ、使う機会も増えてくると思うので、今のうちから使い方をマスターしておくといいと思います。