実装の計画

このページでは、ハイブリッド Azure AD の実装を計画するために必要な情報が書かれています。

  • サポートされているデバイスの確認
  • 知っておくべきことの確認
  • ハイブリッド Azure AD 参加の対象となるデプロイメントの確認
  • 識別情報インフラストラクチャに基づいたシナリオの選択
  • ハイブリッド Azure AD 参加の際のオンプレミス AD UPN サポートの確認

サポートされているデバイスの確認

サポートされている Windows デバイス
  • Windows 11
  • Windows 10
Note: Windows 10 を実行しているデバイスの場合、ハイブリッド参加が可能な最小バージョンは Windows 10 (バージョン1607) となっています。ベスト・プラクティスとして、Windows 10 または 11 の最新バージョンにアップグレードしてください。

知っておくべきことの確認

OS イメージングについての考慮事項

  • システム準備ツール (Sysprep) に依存しており、Windows 10 1809 より前のイメージを使ってインストールしている場合は、ハイブリッド Azure AD 参加済みとして Azure AD にすでに登録されているデバイスのイメージになっていないことを確認してください。

  • 仮想マシン (VM) スナップショットで VM を追加作成する場合は、ハイブリッド Azure AD 参加済みとして Azure AD にすでに登録されている VM のスナップショットになっていないことを確認してください。

  • 統合書き込みフィルター、ならびに再起動時にディスクへの変更をクリアする類似のテクノロジーを使用している場合は、デバイスがハイブリッド Azure AD 参加済みとなった後、これらを適用すしなければなりません。ハイブリッド Azure AD への参加完了前にこのようなテクノロジーを有効にすると、再起動するたびにデバイスが非参加の状態となります。

Azure AD が登録された状態にあるデバイスの取り扱い

Windows 10 以降のドメイン参加デバイスがテナントに Azure AD 登録されている場合、ハイブリッド Azure AD 参加済みデバイスと Azure AD 登録済みデバイスが重複した状態になる場合があります。このシナリオに自動的に対処するには、Windows 10 1803 (KB4489894 適用済み) 以降へのアップグレードを推奨いたします。1803 より前のリリースでは、ハイブリッド Azure AD への参加を有効にする前に、Azure AD の登録状態を手動で削除する必要があります。1803 以降のリリースでは、この重複状態を回避するために、以下のような変更が加えられています。

  • ユーザー用の既存の Azure AD 登録状態は、デバイスがハイブリッド Azure AD 参加済みとなっており、同じユーザーがログインした後、自動的に削除されます。たとえば、ユーザー A がデバイス上で Azure AD 登録済みとなっている場合、ユーザー A の重複状態は、ユーザー A がデバイスにログインしたときにのみ解除されます。複数のユーザーが同じデバイスを使用している場合、それらのユーザーがログインするたびに、重複状態が個別に解除されます。管理者が Azure AD 登録状態を削除した後、自動登録を介して Azure AD 登録の一部が開始されると、Windows 10 が当該デバイスの登録を Intune またはその他の MDM から解除します。
  • そのデバイス上のローカル・アカウントでの Azure AD 登録状態は、この変更による影響を受けません。この変更は、ドメインアカウントにのみ適用されます。ローカル・アカウントの Azure AD 登録状態は、ユーザーがログオンした後でも、ユーザーがドメイン・ユーザーであるため、自動的に削除されることはありません。
  • ドメイン参加しているデバイスが Azure AD となることを回避するには、HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin に以下のレジストリ値を追加します。"BlockAADWorkplaceJoin"=DWORD:00000001。
  • Windows 10 1803 では、Windows Hello for Business が構成されていると、ユーザーは重複状態の解除後に Windows Hello for Business を再構成する必要があります。この問題は KB4512509 によって対処されています。

Windows 10 および Windows 11 が Azure AD 登録状態をローカルで自動的に削除しても、Intune で管理されている場合には、Azure AD のデバイスオブジェクトがただちに削除されるわけではありません。Azure AD の登録状態が削除されているかどうかは、dsregcmd/status を実行することで検証でき、それによって、デバイスが Azure AD に登録されていないとみなすことができます。

単一のフォレスト、複数の Azure AD テナントの場合のハイブリッド Azure AD への参加
https://learn.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-plan#hybrid-azure-ad-join-for-single-forest-multiple-azure-ad-tenants
その他の考慮事項

  • ご自身の環境で仮想デスクトップ・インフラストラクチャ (VDI) を使用している場合は、「デバイス識別情報とデスクトップ仮想化」を参照してください

  • ハイブリッド Azure AD への参加は、FIPS 準拠の TPM 2.0 でサポートされていますが、TPM 1.2 ではサポートされていません。デバイスに FIPS 準拠の TPM 1.2 が実装されている場合は、ハイブリッド Azure AD への参加を進める前に、それらを無効にしなければなりません。Microsoft は TPM メーカーに依存しているため、TPMS の FIPS モードを無効にするためのツールは提供していません。サポートについては、ハードウェアの OEM にお問い合わせください。

  • Windows 10 1903 のリリース移行、TPMS 1.2はハイブリッド Azure AD への参加では使用されておらず、これらの TPMS が実装されたデバイスは、TPM を実装していないものとみなされます。

ハイブリッド Azure AD への参加の際のオンプレミス AD UPN サポートの確認

https://learn.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-plan#review-on-premises-ad-users-upn-support-for-hybrid-azure-ad-join