グループ・ポリシー・オブジェクトを使用した Hybrid Azure AD 参加デバイスの自動登録

ユーザー介入や管理者ユーザーの資格情報なしで、多数の Hybrid Azure AD 参加企業デバイスを BigFix MCM に自動的に一括登録するように構成できます。MDM への登録は、ローカル AD で作成されたグループ・ポリシーによってトリガーされます。

Hybrid Azure AD 参加とは

Hybrid Azure AD 参加デバイスは、オンプレミス AD と Azure AD の両方で表示されることを意味します。デバイスをドメイン・コントローラー (オンプレミス AD) に追加した後、オンプレミス AD を Azure AD に統合すると、デバイスは Hybrid Azure AD 参加デバイスになります。Azure AD 参加デバイスは、Azure AD が構成されると、自動的に BigFix MCM に登録されます。これにより、グループ・ポリシーを複数のデバイスに適用し、管理者以外のユーザー資格情報で BigFix MCM に登録できます。詳しくは、https://docs.microsoft.com/en-us/azure/active-directory/devices/concept-azure-ad-join-hybrid を参照してください。

構成方法

構成するには、次の手順を実行します。
  1. オンプレミス AD を Azure AD に統合します。
    注: Azure AD Connect を介して統合できます。その後、すべてのオブジェクトがオンプレミス AD から Azure AD に同期されます。
  2. ドメイン・コントローラーでグループ・ポリシーを定義します。
  3. グループ・ポリシーを Hybrid AD 参加デバイスに割り当てます。

Hybrid AD 参加デバイスがグループ・ポリシーに割り当てられると、そのデバイスは自動的に BigFix MCM サービスに登録されます。

要件

  • ユーザーとデバイスが構成されたドメイン・コントローラーまたはオンプレミス AD
  • BigFix MCM アプリケーションが構成された Azure AD
  • オンプレミスと Azure AD の両方に対する管理者権限

Procedure (手順)

オンプレミス AD と Azure AD の統合
  1. Azure AD Connect をダウンロードしAzure AD Connect を開き、「構成」をクリックします。

  2. 「Customize synchronization」オプションを選択し、「次へ」をクリックします。

  3. Azure AD グローバル管理者の資格情報を入力し、「次へ」をクリックします。資格情報が検証され、Azure AD に接続されます。

  4. Azure AD に接続したら、エンタープライズ管理者の資格情報を入力してオンプレミス AD に接続します。ディレクトリーを接続する画面が表示されたら、オンプレミス・ディレクトリーの接続情報を入力し、Add Directoryをクリックします。

  5. そのディレクトリーが 「CONFIGURED DIRECTORIES」の下にリストされたら、 「次へ」をクリックします。
  6. 次の画面で、「Sync all domains and OUs」オプションを選択し、「次へ」をクリックします。

  7. 次の画面で、必要なオプション機能が選択されていることを確認し、「次へ」をクリックします。

  8. 次の画面で、「構成」をクリックします。

同期が完了すると、オンプレミス AD 内のすべてのユーザーとデバイスが Azure AD にも表示されます。

統合後
すべてのユーザー、コンピューターが同期されます。Azure AD の「Directory synced」列に「はい」と表示されます。
注: スクリーンショットは、本書の作成時にキャプチャーしたものです。Azure UI は Microsoft リリースに伴い更新されるため、最新の UI については、https://docs.microsoft.com/en-us/mem/autopilot/ の公式ドキュメントを参照してください。
  • ユーザーの同期
    オンプレミス AD

    Azure AD

  • デバイスが同期され、Hybrid AD 参加デバイスになる
    オンプレミス AD

    Azure AD

ドメイン・コントローラーでのグループ・ポリシーの定義
  1. 「Group Policy Management」画面の「Domains」でドメインを選択し、 「Group Policy Objects」をクリックして右クリックし、コンテキスト・メニューから「New」を選択します。

  2. 「NEW GPO」ポップアップで、グループ・ポリシー名を入力し、「OK」をクリックします。作成されたポリシーは、「グループ・ポリシー・オブジェクト」の下にリストされます。
    1. 管理者以外のユーザーが BigFix MCM に登録できるようにするには、作成したグループ・ポリシーを選択し、「設定」をクリックします。「Computer Configuration」 > 「Policies」 > 「Administrative Templates」 > 「Windows Components/MDM」 で、以下を実行します。
      1. 「Enable automatic MDM enrollment using default Azure AD credentials」 設定を有効にします。
      2. 「Select Credential Type to Use」で、「User Credential」を選択します。

      これで、管理者以外のユーザーが登録できるようにグループ・ポリシーが作成され、定義されました。

      次のステップ: 定義したポリシーのデバイスへの関連付け
Hybrid AD 参加デバイスへのグループ・ポリシー (管理者権限のないデバイス・ユーザーを登録できるようにする) の割り当て
  1. グループを組織に割り当てます
    1. 「Group Policy Management」「Domains」を選択し、「(組織)」を選択して右クリックし、Link an Existing GPOを選択します。

    2. 「Select GPO」ポップアップ画面で、目的のグループ・ポリシー・オブジェクトを選択し、「OK」をクリックします。

  2. デバイスを組織に割り当てます
    1. コンピューターを組織に移動するには、 「Azure Directory Users and Computers」から 「Computers」 に移動します。
    2. デバイスを選択して右クリックし、「Move」をクリックします。

    3. 「移動」ポップアップから組織を選択し、「OK」をクリックします。

      これで、コンピューターが選択した組織に移動されました。これで、このデバイスは自動登録の対象になります。

登録プロセス

Hybrid AD 参加デバイスを再起動すると、BigFix MCM に自動的に登録されます。

Azure AD とオンプレミス AD およびその他の詳細を確認するには、登録済みデバイスから、コマンド・プロンプトでコマンド dsregcmd /status を実行します。必要なすべての詳細を表示できます。

登録プロセスを開始するには、次の手順を実行します。

  1. MDM サーバーに関連付けられている Windows デバイスを開きます。インターネットに接続します。Azure AD で設定されているパスワードを入力します。パスワードを更新します。
  2. 「エンド・ユーザーのご使用条件」ページが表示されます。確認後にご使用条件のチェック・ボックスをオンにし、「同意する」をクリックします。Autopilot 登録プロセスが開始されます。
    登録が完了したら、「設定」 > 「職場または学校にアクセス」に移動して MDM サーバーの詳細を確認します。

    「情報」をクリックして、ポリシーとアプリケーションの詳細を確認します。