Entra ハイブリッド参加は、すでにActive Directoryにドメイン参加しているデバイスを、Microsoft Entra テナントにもデバイス登録することです。
Microsoft Entra Connect を経由して、ドメインコントローラ上のコンピュータアカウントがEntra IDへ同期されます。
Entra IDへデバイス同期されることで、ドメインに参加しているデバイスでも、Microsoft Entra IDやIntuneのセキュリティ機能を使用することができます。
ほとんどの組織が、既にActive Directory ドメイン環境で運用されているため、クラウド環境へ移行する際に、一番よく採用されるケースです。
この記事では、すでにドメイン参加しているデバイスに対して、Entra ハイブリッド参加する手順を確認します。
Active Directoryへのドメイン参加は、下記の記事を参考にしてください。
>> 参考記事 :Active Directory ユーザ追加と端末のドメイン参加
また、Microsoft Entra Connect によるActive Directoryとの基本的な同期は、下記の記事のとおり完了しているものとします。
>> 参考記事 :【Entra Connect】オンプレADユーザーをEntraID(AzureAD)に同期する
Entra ハイブリッド参加 の手順
ドメイン参加しているデバイス(Win11-2(Windows11 Pro))に対して、Entra ハイブリッド参加 を行います。
設定は Microsoft Entra Connect (旧名:Azure AD Connect)で行います。
Azure AD Connect を起動します。
「構成」をクリックします。
「デバイスオプションの構成」を選択して、「次へ」をクリックします。
「概要」ページが表示されます。「次へ」をクリックします。
グローバル管理者の資格情報を入力し、「次へ」をクリックします。
「ハイブリッドAzure AD参加の構成」を選択し、「次へ」をクリックします。
「Windows10以降のドメインに参加しているデバイス」にチェックを入れ、「次へ」をクリックします。
「SCPの構成」画面です。フォレスト(hirotanoblog.local)にチェックを入れ、「認証サービス」で「Azure Active Directory」を選択し、「追加」をクリックします。
Active Directoryドメインの管理者の資格情報を入力し、「OK」をクリックします。
管理者情報が反映されたことを確認し、「次へ」をクリックします。
「構成」をクリックします。
構成が実行され、完了すると、下記の画面が表示されます。「終了」をクリックします。
Entra Connect デバイス同期
Active Directoryの同期対象のオブジェクトにデバイスを含めます。
「Azure AD Connect」>> 「Synchronization Service」をクリックします。
「Connectors」のタブへ移動し、ドメイン(hirotanoblog.local)を選択のうえ、「Actions」の「Properties」をダブルクリックします。
「Select Object Types」で「device」にチェックを入れ、「OK」をクリックします。
警告画面が表示されます。「OK」をクリックします。
Entra Connect 手動同期
Entra Connect の次回の同期の際に、コンピューターアカウントがEntra IDへ同期されます。すぐに同期させたい場合は、PowerShellをより、Start-ADSyncSyncCycle を実行します。
動作確認
「Microsoft Entra管理センター(https://entra.microsoft.com/)」へサインインし、「デバイス」>>「すべてのデバイス」へ移動すると、新しいデバイス(Win11-2)が「Microsoft Entra hybrid joined」されていることが確認できます。
デバイス側でも確認できます。ターミナルを開き、「dsregcmd /status」を実行します。
「AzureADJoined」と「DomainJoined」がそれぞれ、「YES」だと、Entraハイブリッド参加しています。
Entra ハイブリッド参加した社給デバイスのみ、クラウドアプリへ接続される条件付きアクセスの設定は、下記の記事を参考にしてください。
>> 参考記事 :条件付きアクセス(Entra ハイブリッド 参加デバイスのみ許可)動作確認
コメント