「もうできるんじゃないか?」「いや、まだ早いんじゃないか?」といつも論争になる(?)完全フルクラウド環境。もうオンプレミスのActive Directoryもファイルサーバーもプリンタサーバーも全部捨てて、フルクラウド環境で問題ないんじゃないか?そのように考えている方も多いと思います。

とはいえ、特にエンタープライズ環境では「いや、まだ無理だろう」という声も大きいですし、実際のところオンプレミスにある膨大な資産をどのように移行していくのか…ということで現実的に考えられない組織も多いと思います。

ですが!

規模が小さいところで既存資産も対してなく、これから環境を整えたいという状況であればMicrosoft 365をつかってフルクラウドで環境を整えるのは非常に現実的で有力な候補だと思います。というか私がIT環境を全部コントロールできるなら絶対にそうします。

ということで、フルクラウドの検証環境を作って色々と挙動を見ていってみたいとおもいます。シリーズもの的な位置づけになる予定です。

初回はまずAzure ADを新規に用意し、Windows 10をAzure ADに参加させるとから言ってみたいと思います。

dsregcmd /status

いきなりコマンドからで恐縮ですが、このコマンドで状況を確認しながら勧めていきたいと思います。

Win10の初期状態にローカルユーザーでログインすると下記のように、Device StateおよびUser StateはすべてNOとなります。

C:\Users\mebisuda>dsregcmd/status   +———————————————————————-+ | Device State                                                         | +———————————————————————-+                AzureAdJoined : NO           EnterpriseJoined : NO               DomainJoined : NO   +———————————————————————-+ | User State                                                           | +———————————————————————-+                       NgcSet : NO            WorkplaceJoined : NO              WamDefaultSet : NO                 AzureAdPrt : NO        AzureAdPrtAuthority : NO              EnterprisePrt : NO     EnterprisePrtAuthority : NO   +———————————————————————-+ | Ngc Prerequisite Check                                               | +———————————————————————-+                IsUserAzureAD : NO              PolicyEnabled : NO           PostLogonEnabled : YES             DeviceEligible : YES         SessionIsNotRemote : NO             CertEnrollment : none          AadRecoveryNeeded : NO               PreReqResult : WillNotProvision

AzureADの作成

まずはAzureADに参加してみましょう。

それに先立ってテスト用の新規のAzure ADを作成してそこに参加させたいと思います。Azure Active DirectoryはAzure 管理ポータルから作成するのが簡単だと思います。

できました。

当たり前ですが、作成直後なのでまだデバイスは何も登録されていません。

テスト用ユーザーの作成

Azure AD(以下AAD)ではすべてのデバイスはユーザーに紐づくため、デバイスのみをAADに登録させることはできません。なのでまずユーザーを作成します。

ディレクトリを作成したときのユーザーが存在し管理者となっていますが、テストユーザーとしてそれとは別の新規ユーザーを作成します。

新規ユーザーを作成しました。

Windows 10のAADへの参加

ではいま作成したユーザーを使って、Win10をAADに参加させます。

デバイスをAzure Active Directoryに参加させていきます。

先程作成したユーザーのIDを入力します。

これでWin10がAADに参加できました!簡単ですね。

登録したデバイスの確認

AAD上のデバイス一覧にも参加したデバイスが表示されます。

きちんとデバイスとユーザーが紐付いた形になっているのがポイントですね。

デバイスのプロパティとしてOSが何なのか、バージョンは何なのか等も確認できます。

Win10側も状態変化を確認しましょう。

きちんとebisudaというAADに参加していることが確認できます。

当然dsregcmd /statusの結果にも変化が現れています。

+———————————————————————-+ | Device State                                                         | +———————————————————————-+                AzureAdJoined : YES           EnterpriseJoined : NO                   DeviceId : 392704b8-c227-40b0-8a44-daeec3cc44ce                 Thumbprint : 0F852D1FEB45DF90FBBD5CEC051E3B94BEE53066             KeyContainerId : aa4c57b1-566e-4938-bf00-74d78ed4ef49                KeyProvider : Microsoft Software Key Storage Provider               TpmProtected : NO               KeySignTest: : PASSED                        Idp : login.windows.net                   TenantId : e2e06d42-fd4b-40f8-a9be-f94bc834bf47                 TenantName : ebisuda                AuthCodeUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/authorize             AccessTokenUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/token                     MdmUrl :                  MdmTouUrl :           MdmComplianceUrl :                SettingsUrl :             JoinSrvVersion : 1.0                 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/                  JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net              KeySrvVersion : 1.0                  KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/                   KeySrvId : urn:ms-drs:enterpriseregistration.windows.net         WebAuthNSrvVersion : 1.0             WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/              WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvVersion : 1.0     DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/      DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net               DomainJoined : NO   +———————————————————————-+ | User State                                                           | +———————————————————————-+                       NgcSet : NO            WorkplaceJoined : NO              WamDefaultSet : NO                 AzureAdPrt : NO        AzureAdPrtAuthority :              EnterprisePrt : NO     EnterprisePrtAuthority :   +———————————————————————-+ | Ngc Prerequisite Check                                               | +———————————————————————-+                IsUserAzureAD : NO              PolicyEnabled : NO           PostLogonEnabled : YES             DeviceEligible : YES         SessionIsNotRemote : NO             CertEnrollment : none          AadRecoveryNeeded : NO               PreReqResult : WillNotProvision

※ここまでAzure上のWin10端末で検証していたのですが、サインイン画面が取得できないことに気がついたので(いまさら)手元のNotePCをAAD Joinさせました。これからは物理NotePC上で検証しています。

AADに参加したWin10に組織アカウントでサインイン

サインイン先として直接「職場または学校アカウント」が選択できるようになりました。

これで、AADに参加したWin10にAAD上のユーザーでサインインした状態となりました。

この状態でdsregcmd /statusの結果を見たいと思います。

C:\Users\mebisuda>dsregcmd /status   +———————————————————————-+ | Device State                                                         | +———————————————————————-+                AzureAdJoined : YES           EnterpriseJoined : NO                   DeviceId : 01051e43-5270-484b-98c7-b6fd0e9dbeeb                 Thumbprint : 59E3C3DC8DCB8132FABB4700BF2BEC94EBEFB051             KeyContainerId : 3e4e1542-5639-4a56-a52f-60e9e19b7795                KeyProvider : Microsoft Platform Crypto Provider               TpmProtected : YES               KeySignTest: : MUST Run elevated to test.                        Idp : login.windows.net                   TenantId : e2e06d42-fd4b-40f8-a9be-f94bc834bf47                 TenantName : ebisuda                AuthCodeUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/authorize             AccessTokenUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/token                     MdmUrl :                  MdmTouUrl :           MdmComplianceUrl :                SettingsUrl :             JoinSrvVersion : 1.0                 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/                  JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net              KeySrvVersion : 1.0                  KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/                   KeySrvId : urn:ms-drs:enterpriseregistration.windows.net         WebAuthNSrvVersion : 1.0             WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/              WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvVersion : 1.0     DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/      DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net               DomainJoined : NO   +———————————————————————-+ | User State                                                           | +———————————————————————-+                       NgcSet : YES                   NgcKeyId : {76A8CFA5-A9F2-4324-8311-97DABD9055C3}                   CanReset : DestructiveOnly            WorkplaceJoined : NO              WamDefaultSet : YES        WamDefaultAuthority : organizations               WamDefaultId : https://login.microsoft.com             WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)                 AzureAdPrt : YES        AzureAdPrtAuthority : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47              EnterprisePrt : NO     EnterprisePrtAuthority :

Device Stateに加えてUser StateもAADに参加した状態にきちんとなりましたね。

この状態ではportal.office.com等にアクセスすれば認証を再度聞かれることなくwin10にサインインしているmebisuda@ebisudatest.onmicrosoft.comのユーザーでサインインできます。いわゆるSSOが実現されています。快適です!

実は、ここまでを実現するだけであればAzure ADは無料で使えてしまいます。無料でデバイスの登録とユーザー管理、ユーザーのパスワード管理等行えてしまうのです。小規模であってもWindows 10をそれぞれのローカルアカウントで利用するのは色々と面倒ですので、今回の内容だけでも利用価値がかなりあると思います!

このエントリではAADを新規に作成しつつ、そこにユーザーを作成し、そのユーザーを使ってWin10をAAD JoinさせてMicrosoft系のクラウドサービスへのSSOを実現しました。

次のエントリでは今回作った環境にドメインを割り当ててユーザーIDをもう少し短縮してみたいと思います。

シリーズの次の記事はこちら!