Azure AD への参加とデバイス登録

皆さんこんにちは。国井です。

Windows 2000 ServerやWindows Server 2003が利用されていた頃、MCP資格取得を目的としてActive Directoryについて学習し、そして現在に至っているという方は多いのではないかと思います。そして、色々な方からよく伺うのが、「私のActive DirectoryのスキルはWindows Server 2003までで止まっている」というお話です。Active Directoryの基本機能は Windows Server 2008になっても、Windows Server 2012になっても変わらないので、[Active Directoryユーザーとコンピューター]管理ツールがなくならない限り、まあ、なんとかなってしまいます。しかし、最近ではクラウドとの融合や移行が進み、クラウドの認証基盤であるAzure ADを無視できなくなる時代が少しずつではありますが、進んでいるように思います。

そこで今日は「ワークグループとドメイン以外の選択肢」というWindows Server 2003時代には考えられなかった選択肢について紹介したいと思います。

■ ■ ■

これまで、Windowsの認証方法と言えば、ワークグループとドメインという選択肢でしたが、
Windows 10では新しくAzure ADが加わりました。

[Azure ADに参加]という操作を行うと、

・ Azure ADに登録されたユーザー名で認証できる
・ Azure ADを使用するアプリケーションへのアクセスが簡略化される
・ Azure ADに参加したデバイスの情報がAzure ADに登録される
・ (ADFSとの組み合わせによって)登録されたデバイスだけがアプリにアクセスできる
・ (Intuneとの組み合わせによって)Intuneからポリシーを配布できる

などのメリットを享受できます。

このメリットをOffice 365 のサインインで考えてみましょう。
Office 365の場合、ワークグループまたはドメイン参加している、従来のPCであれば、
Office 365(Azure AD)へのサインインは、別途ユーザー名とパスワードを入力する必要がありました。

そこで、Windows Server 2008以降ではADFSという選択肢を用意し、
ドメインにサインインしたユーザーにはOffice 365 (Azure AD)にアクセス可能なトークンを発行し、そのトークンを持ってAzure ADにアクセスしていたので、別途ユーザー名とパスワードを入力する必要がなくなりました。(いわゆるシングルサインオンっていう方法です)
ところが、シングルサインオンの場合、ADFSサーバーを構築するというタスクが待ち受けています。ADFSサーバーを構築することなく、手軽にAzure ADにサインインできる方法はないか?ということで登場したのが[Azure ADに参加]という方法です。

Azure ADに参加すると、Windowsのサインインの時点でAzure ADに登録されたユーザーを利用するので、Office 365にアクセスするためのAzure ADへのサインインは改めて行う必要がないのです。

以上の3つの認証方法を下のように図でまとめてみました。

image

[Azure ADに参加]設定

それでは、Azure ADに参加の設定を見てみましょう。

Azure ADに参加という選択肢はワークグループか?ドメインか?を選択するときと同じく、Windowsのインストール時に選択できます。

AAD2

Windowsのインストール後であれば、[設定]-[システム]-[バージョン情報]から選択することができます。

image

サインイン画面で、Azure ADにあらかじめ登録されたユーザー名とパスワードを入力します。(Azure ADユーザーは、Office365から作成することができます。そのほかの方法で作成するときはAzure管理ポータルを使います。設定方法はマイクロソフトさん提供のドキュメントをご覧ください)
Azure ADに参加完了すると下のように、[設定]-[システム]-[バージョン情報]画面で確認できます。

image

Azure ADに参加したPCはPIN番号を登録され、次回から登録されたPIN番号でサインインすることになります。毎回サインインのたびにAzure ADユーザーのパスワードを入力しなくてもよくなるので、便利ですね。(なぜパスワードを入力しなくてもサインインできるのかについては、MVP宮川さんが紹介している
Windows 10 の新機能 Azure AD Domain Join とは」の中でも説明があるので、合わせて参考にしてください)

image

サインインすると、すでにAzure ADにサインインしている状態(と同じ状態)になりますので、Azure ADへのサインインを必要とするOffice365へのサインインはパスワードを入力しなくてもそのままアクセスできるようになります。(私の環境ではMicrosoft Edgeでも、Internet Explorerでも、そのままアクセスできました)

image

一方、Azure管理ポータルにはAzure ADに参加したときに使用したデバイスの情報がユーザーのプロパティ情報として確認できます。

image

Azure ADに登録されたデバイス情報はディレクトリ同期ツールによって、オンプレミスのActive Directoryに同期され、同じくオンプレミスのADFSサーバーによってデバイス認証に利用することができます。デバイス認証については「ADFSでデバイス認証を実装」でも紹介しているので、合わせてごらんください。

Workplace Joinとの違い

Windows 8.1の時にはWorkplace Join(社内参加)という機能があり、Azure ADへのデバイス登録ができました。
では、Workplace JoinとAzure ADの参加は何が違うでしょうか?
Windows 10のAzure ADに参加する機能との違いは認証そのものにAzure ADを使うという点です。Workplace Joinの時はワークグループまたはドメインに参加している状態からデバイスをAzure ADに登録していたので、どちらかというとデバイス登録機能としての使い方がメインだったわけです。
これって、Azure ADの参加とは決定的に違いますよね。

Microsoft アカウントによるサインインとの違い

Windows 8以降では、Microsoft アカウントを利用してサインインし、OneDrive.comやOutlook.comへのサインインが不要になるという、Azure ADに参加機能のコンシューマー版みたいなものがありました。しかし、Microsoft アカウントによるサインインの場合、ワークグループにサインインする機能の拡張機能としてMicrosoftアカウントを利用しているので、Microsoft アカウントによるサインインを選択すると、対応するユーザーがローカルのアカウントデータベースにも作成されます。
それに対して、Azure ADに参加する場合、ワークグループとも、ドメインとも異なる認証方法なので、オンプレミスにユーザーを作ることはありません。

以上、Azure ADに参加機能を利用するときの参考になれば幸いです。