グループ・ポリシー・オブジェクトを使用した Hybrid Azure AD 参加デバイスの自動登録

ユーザー介入や管理者ユーザーの資格情報なしで、多数の Hybrid Azure AD 参加企業デバイスを BigFix MCM に自動的に一括登録するように構成できます。MDM への登録は、ローカル Active Directory で作成されたグループ・ポリシーによってトリガーされます。

Hybrid Azure AD 参加とは

Hybrid Azure AD 参加デバイスは、オンプレミス AD と Azure AD の両方で表示されることを意味します。デバイスをドメイン・コントローラー (オンプレミス AD) に追加した後、オンプレミス AD を Azure AD に統合すると、デバイスは Hybrid Azure AD 参加デバイスになります。Azure AD 参加デバイスは、Azure AD が構成されると、自動的に BigFix MCM に登録されます。これにより、グループ・ポリシーを複数のデバイスに適用し、管理者以外のユーザー資格情報で BigFix MCM に登録できます。詳しくは、https://docs.microsoft.com/en-us/azure/active-directory/devices/concept-azure-ad-join-hybrid を参照してください。

構成方法

構成するには、次の手順を実行します。
  1. オンプレミス AD を Azure AD に統合します。
    Note: Azure AD Connect を介して統合できます。その後、すべてのオブジェクトがオンプレミス AD から Azure AD に同期されます。
  2. ドメイン・コントローラーでグループ・ポリシーを定義します。
  3. グループ・ポリシーを Hybrid AD 参加デバイスに割り当てます。

Hybrid AD 参加デバイスがグループ・ポリシーに割り当てられると、そのデバイスは自動的に BigFix MCM サービスに登録されます。

要件

  • ユーザーとデバイスが構成されたドメイン・コントローラーまたはオンプレミス AD
  • BigFix MCM アプリケーションが構成された Azure AD
  • オンプレミスと Azure AD の両方に対する管理者権限

手順

オンプレミス AD を Azure AD に統合します。
  1. Azure AD Connect をダウンロードしAzure AD Connect を開き、「構成」をクリックします。

  2. 「同期のカスタマイズ」オプションを選択し、「次へ」をクリックします。

  3. Azure AD グローバル管理者の資格情報を入力し、「次へ」をクリックします。資格情報が検証され、Azure AD に接続されます。

  4. Azure AD に接続したら、エンタープライズ管理者の資格情報を入力してオンプレミス AD に接続します。ディレクトリー接続画面が表示されたら、オンプレミス・ディレクトリーの接続情報を入力し、「ディレクトリーの追加」をクリックします。

  5. そのディレクトリーが 「構成されたディレクトリー」の下にリストされたら、「次へ」をクリックします。
  6. 次の画面で、「すべてのドメインと OU を同期」オプションを選択し、「次へ」をクリックします。

  7. 次の画面で、必要なオプション機能が選択されていることを確認し、「次へ」をクリックします。

  8. 次の画面で、「構成」をクリックします。

同期が完了すると、オンプレミス AD 内のすべてのユーザーとデバイスが Azure AD にも表示されます。

統合後
すべてのユーザー、コンピューターが同期されます。Azure AD の「Directory synced」列に「Yes」と表示されます。
Note: スクリーンショットは、本書の作成時にキャプチャーしたものです。Azure UI は Microsoft リリースに伴い更新されるため、最新の UI については、https://docs.microsoft.com/en-us/mem/autopilot/ の公式ドキュメントを参照してください。
  • ユーザーの同期
    オンプレミス AD

    Azure AD

  • デバイスが同期され、Hybrid AD 参加デバイスになる
    オンプレミス AD

    Azure AD

ドメイン・コントローラーでグループ・ポリシーを定義します。
  1. 「グループ・ポリシーの管理」画面の「ドメイン」でドメインを選択し、「グループ・ポリシーのオブジェクト」を右クリックして、コンテキスト・メニューから「新規」を選択します。

  2. 「NEW GPO」ポップアップで、グループ・ポリシー名を入力し、「OK」をクリックします。作成されたポリシーは、「グループ・ポリシー・オブジェクト」の下にリストされます。
    1. 管理者以外のユーザーが BigFix MCM に登録できるようにするには、作成したグループ・ポリシーを選択し、「設定」をクリックします。「コンピューターの構成」 > 「ポリシー」 > 「管理テンプレート」 > 「Windows コンポーネント/MDM」 で、以下を実行します。
      1. 「Enable automatic MDM enrollment using default Azure AD credentials」 設定を有効にします。
      2. 「Select Credential Type to Use」で、「ユーザーの資格情報」を選択します。

      これで、管理者以外のユーザーが登録できるようにグループ・ポリシーが作成され、定義されました。

      次のステップ: 定義したポリシーのデバイスへの関連付け
Hybrid AD 参加デバイスへのグループ・ポリシー (管理者権限のないデバイス・ユーザーを登録できるようにするもの) の割り当て
  1. グループを組織に割り当てます
    1. 「グループ・ポリシー管理」「ドメイン」を選択し、「(組織)」を選択して右クリックし、既存の GPO をリンクするオプションを選択します。

    2. 「Select GPO」ポップアップ画面で、目的のグループ・ポリシー・オブジェクトを選択し、「OK」をクリックします。

  2. デバイスを組織に割り当てます
    1. コンピューターを組織に移動するには、「Azure ディレクトリーのユーザーとコンピューター」から「コンピューター」に移動します。
    2. デバイスを選択して右クリックし、「移動」をクリックします。

    3. 「移動」ポップアップから組織を選択し、「OK」をクリックします。

      これで、コンピューターが選択した組織に移動されました。これで、このデバイスは自動登録の対象になります。



登録プロセス

Hybrid AD 参加デバイスを再起動すると、BigFix MCM に自動的に登録されます。

Azure AD とオンプレミス AD およびその他の詳細を確認するには、登録済みデバイスから、コマンド・プロンプトでコマンド dsregcmd /status を実行します。必要なすべての詳細を表示できます。

登録プロセスを開始するには、次の手順を実行します。

  1. MDM サーバーに関連付けられている Windows デバイスを開きます。インターネットに接続します。Azure AD で設定されているパスワードを入力します。パスワードを更新します。
  2. 「エンド・ユーザーのご使用条件」ページが表示されます。確認後にご使用条件のチェック・ボックスをオンにし、「同意する」をクリックします。Autopilot 登録プロセスが開始されます。
    登録が完了したら、「設定」 > 「職場または学校にアクセス」に移動して、MDM サーバーの詳細を確認します。

    「情報」をクリックして、ポリシーとアプリケーションの詳細を確認します。