More than 3 years have passed since last update.

Hybrid Azure AD Join の構成メモ

Last updated at 2021-04-14Posted at 2021-04-14

#この記事について
Hybrid AD Join の検証でわかったこととトラシューポイントを記載します。

#Hybrid Azure AD までの処理の流れ
AADC を構成して、Windows 10 クライアントが Hybrid Azure AD Join 状態となるまでの処理過程は以下。

###1. Azure AD Connect が SCP を書き込む
オンプレミス AD のフォレストにある構成パーティションに SCP が書き込まれる。

CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=xxxxxxx,DC=xxxxxx"
＊ DC=xxxxxxx,DC=xxxxxx はドメイン名

書き込まれた SCP の情報は、PowerShell から以下コマンドで確認できる。

$scp = New-Object System.DirectoryServices.DirectoryEntry
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=xxxxxxx,DC=xxxxxx"
$scp.Keywords

出力結果例は以下。

SCP は、サービス接続ポイントの略。
オンプレミス AD に参加しているコンピューターデバイスが、同期先テナントの Azure AD がどこか？を示す情報。
これが正しく登録されていないと、Hybrid Azure AD Join 状態とはならない。

###2. Windows 10 のタスクで UserCertificate 属性を書き込む
以下のタスクがログイン時と定期的 (1時間間隔ぐらい) に実行され、SCP に登録されているテナント情報を取得し、クライアント端末の userCertificates 属性に事故署名証明書を格納する。

###3. Azure AD Connect の同期でコンピューターオブジェクトが同期される
自己署名証明書が格納されたコンピューターオブジェクトが、Azure AD Connect の同期で Azure AD に同期される。
(証明書が格納されていないコンピューターオブジェクトは同期されない)

ただし、この状態では Azure AD 上ではまだ保留中となる。

###4. Hybrid Azure AD Join の完成
Azure AD に同期された後に、再度以下タスクが実行されることで、Azure AD Join が完了し、Hybrid Azure AD Join 状態となる。

これにより、保留状態から日付が入るのでそれで判断できる。

なお、Azure AD Register もしている場合、Azure AD Register のデバイスは削除したほうが望ましい。
Azure AD Join と Azure AD Register の違いについては、以下 Blog が参考になる。
https://jpazureid.github.io/blog/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/

もし、保留中から変化しない場合は、以下公開資料を基にトラシューするとよさそう。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-managed-domains
https://jpazureid.github.io/blog/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/

###5. Azure AD PRT (Primary Refresh Token) の取得
Hybrid Azure AD Join となった端末に、ユーザーがサインインして認証されたタイミングで Azure AD PRT が取得される。
コマンドプロンプトから dsregcmd /status とすることで確認できる。

#Azure AD Connect の構成
オンプレミスAD と Office 365 (Azure AD) 環境は用意済みとする。
Azure AD Connect のインストーラーは以下から。
https://www.microsoft.com/en-us/download/details.aspx?id=47594

#クライアント側の状態
オンプレAD に参加していない端末では、以下のような画面になるが、

ドメイン参加済みの場合は、オンプレAD や Azure AD の参加項目 (赤枠) がなくなっている。

つまり、すでにオンプレ AD に参加済み端末の場合は、クライアント側での作業は不要ということ。
(明示的に Azure AD に参加ということをしなくて良い)

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up