Hybrid Azure AD Join を構成してみる — 企業でよくあるWindows/M365環境を構築してみるシリーズ Part.12
この記事の内容
- Azure AD Connect を使ってHybrid Azure AD Join(ハイブリッドAzure AD参加)を構成する手順を解説します
- SCP(サービス接続ポイント)の仕組みと、ADSIエディターでの確認方法を紹介します
- 構成完了後にデバイスが登録されるまでの流れ(タスクスケジューラーの役割)を解説します
- デバイス登録の状態確認コマンド(
dsregcmd /status)の見方を紹介します - 構成後すぐには登録が完了しない理由と、検証環境で素早く進める方法を紹介します
前提環境の確認
今回の構成では、前回のシリーズから環境を少し変更しています。メンバーサーバー1台に加えて、Windows 10のクライアントも1台追加した状態でスタートします。クライアントはHybrid Azure AD Joinの対象になることが多いため、クライアントとサーバーの両方で一緒に確認していきます。
まず、構成前の状態を確認しておきましょう。クライアント・サーバーそれぞれで以下のコマンドを実行します。
dsregcmd /status
実行結果として、DomainJoined : YES、AzureADJoined : NO となっていることを確認します。これはオンプレミスのAD(Active Directory)にのみ参加している状態です。メンバーサーバー側も同様に、ドメイン参加済み・Azure AD未参加の状態になっています。
また、Azure Active Directory(Microsoft Entra ID)のデバイス一覧を確認すると、この時点ではまだ何も登録されていません。
Hybrid Azure AD Join とは
Hybrid Azure AD Join は、オンプレミスのActive Directoryに参加しているデバイスを、Azure ADにも登録する仕組みです。1台ずつ手作業で設定するのではなく、Azure AD Connect とGPOを組み合わせて環境全体に一括で展開できます。
これにより、IntuneやMicrosoft Endpoint Managerなどのデバイス管理サービスを利用できるようになります。これらのサービスを使うためには、デバイスがAzure ADに登録されている必要があります。
なお、クラウドからオンプレミスへの書き戻しが必要な「デバイスライトバック」という機能もありますが、今回はHybrid Azure AD Joinのみを構成します。デバイスライトバックはAD FSを使う条件付きアクセスやWindows Hello for Businessを利用する際の前提条件になります。
Azure AD Connect でHybrid Azure AD Joinを構成する
1. Azure AD Connect を起動する
Azure AD Connect を起動し、「追加のタスク」から「ハイブリッドAzure AD参加の構成」を選択して次へ進みます。
2. デバイスのOSを選択する
デバイスのオペレーティングシステムの選択画面では、「Windows 10以降のドメインに参加しているデバイス」のみを選択します。
3. SCPを構成する
次に、SCP(サービス接続ポイント)を構成します。今回はシングルフォレスト構成のため、対象のフォレスト(例:dv1.ebisuda.net)に対してAzure Active Directoryの認証サービスを追加します。マルチフォレスト構成の場合は、フォレストごとに追加設定が必要です。
追加ボタンをクリックすると、オンプレミスADの認証情報(UPN形式でのユーザー名とパスワード)が求められます。入力して認証が通ったら「次へ」をクリックします。
4. 構成を完了する
構成の準備完了画面で「構成」をクリックします。これにより、対象フォレストのデバイス登録向けにSCPが構成されます。完了したら「終了」をクリックします。
SCPが正しく構成されたか確認する
SCPはADのConfigurationパーティションに作成されます。ドメインコントローラーで「ADSIエディター」を開いて確認できます。
- ADSIエディターを起動し、「Configurationパーティション」に接続します
Configuration > Services > Device Registration Configurationの中に対象のCNオブジェクトが存在することを確認します- そのオブジェクトのプロパティを開き、
keywords属性にAzure ADのIDと名前が入っていることを確認します
この keywords 属性に値が入っていることで、クライアントデバイスがどのAzure ADに接続すればよいかを検出できる仕組みになっています。
デバイス登録の仕組みと流れ
Azure AD Connect でSCPを構成しただけでは、デバイスはすぐには登録されません。実際の登録は以下の流れで進みます。
1. タスクスケジューラーによる自動処理
ADに参加しているデバイスでは、以下のタスクが有効になっています。
- タスクスケジューラーライブラリ →
Microsoft > Windows > Workplace Join > Automatic-Device-Join
このタスクは、ユーザーのログオン時やイベント発生時、また1時間に1回程度の頻度で繰り返し実行されます。
2. userCertificate 属性の書き込み
タスクが実行されると、デバイスはSCPを参照してAzure ADとの通信を行い、コンピューターオブジェクトの userCertificate 属性に値を書き込みます。この属性が未設定の状態では、Azure AD Connectは同期対象として扱ってくれません。
ADSIエディターでコンピューターオブジェクトのプロパティを確認し、userCertificate 属性に値が入っていれば次のステップへ進める状態です。
3. Azure AD Connect による同期
userCertificate 属性が書き込まれた後、Azure AD Connectの同期サイクルが実行されると、Azure AD上にコンピューターオブジェクトが作成されます。
4. 登録完了
さらにもう一度タスクが実行されると、Azure AD Joinが完了します。
この一連の流れにより、構成完了から実際の登録完了まで30分〜1時間程度かかることがあります。
検証環境で素早く進める方法
検証環境で素早く確認したい場合は、以下の方法を使えます。
タスクスケジューラーからタスクを手動実行する
タスクスケジューラーで Automatic-Device-Join タスクを右クリックして「実行する」を選択します。
Azure AD Connect の同期を手動実行する
PowerShellで以下のコマンドを実行します。
Start-ADSyncSyncCycle
これらを組み合わせることで、待機時間を短縮できます。ただし、実際の大規模展開では多数のデバイスが対象となるため、自動処理に任せてのんびり待つことになります。
登録状態の確認
Azure ポータルでの確認
Azure Active Directory(Microsoft Entra ID)の「デバイス > すべてのデバイス」を開くと、登録されたデバイスが表示されます。同期直後は「登録済み」の列が「保留中」になっていることがありますが、各デバイスでのタスクが完了すると「登録済み」に変わります。
コマンドでの確認
各デバイスで以下のコマンドを実行して確認します。
dsregcmd /status
Hybrid Azure AD Joinが完了した状態では、以下のように表示されます。
AzureADJoined と DomainJoined の両方が YES になっていれば、Hybrid Azure AD Joinが正常に完了しています。また、DeviceId やテナント関連の情報も取得できるようになります。
今回の構成では、Windows 10クライアントとWindows Server 2022メンバーサーバーの両方でHybrid Azure AD Joinが完了しました。
まとめ
今回はAzure AD Connectを使って、Hybrid Azure AD Joinを構成しました。ポイントは以下の通りです。
- Azure AD Connectの「ハイブリッドAzure AD参加の構成」からSCPを設定することで、環境全体に一括展開できます
- SCPはADのConfigurationパーティションに作成され、ADSIエディターで確認できます
- デバイスの登録は「タスクスケジューラー → userCertificate書き込み → Azure AD Connect同期 → 登録完了」という流れで行われ、時間がかかります
- 検証環境では、タスクを手動実行することで登録を早めることができます
- 登録状態は
dsregcmd /statusコマンドで確認でき、AzureADJoined : YESかつDomainJoined : YESであれば完了です