前置き
Windows 10 (1809) より、以下機能が実装されたということで、動作検証をしてみました。
先に結論から書きますが、うまく動作しませんでした…。
しかしながら、 Windows 10 コンピュータ-において、 Azure AD Registered と Hybrid Azure AD Join を 1 つのコンピューター上で、2 重構成すると、どのような弊害が起きるかについてお伝えしたかったので、記事に残したいと思います。
検証環境 (すべて Azure VM 上に環境構築)
- オンプレミス AD ( Windows Server 2016)
- Azure AD Connect (オンプレミス AD 内にインストール)
- AD FS 2016
- Windows 10 (1809)
公開情報
下記のとおり、 Windows 10 (1809) より、2 重構成を防ぐための機能が追加されています。
Windows 10 ドメイン参加済みデバイスが既にテナントへの Azure AD 登録済みである場合、Hybrid Azure AD 参加を有効にする前に、その状態の削除を検討することを強くお勧めします。 Windows 10 1809 リリース以降では、この二重状態を回避するために次の変更が行われています。
デバイスが Hybrid Azure AD 参加済みになった後、既存の Azure AD 登録済み状態は自動的に削除されます。
レジストリ キー HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001 を追加することで、ドメイン参加済みデバイスが Azure AD 登録済みになることを防ぐことができます
やってみる
では実際にやってみましょう。細かい手順はここには載せません、 Hybrid Azure AD Join は、現在の Azure AD Connect (1.2.70.0) で簡単に構成することができます。(手動で構成する必要はありません、むしろ、 Azure AD Connect で構成することを強くお勧めします)
Azure AD Registered を自動削除させるために、以下手順で検証してみました。
手順概要
- Windows 10 コンピューターで Azure AD Registered を構成します
- 対象の Windows 10 コンピューターで、オンプレミス AD に参加します
- タスクス ケジューラーにて Hybrid Azure AD Join させるタスクを手動実行します
- Azure ポータル上で、 1. の構成が削除され、 Hybrid Azure AD Join の構成だけ残っていることを確認します。
※何度も言いますが、この動作確認は失敗します。
1. Windows 10 コンピューターで Azure AD Registered を構成します
Windows 10 の [設定] - [アカウント] - [職場または学校にアクセスする] より、 Azure AD ユーザーを入力し、 Azure AD Registered します。以下画面が Azure ポータル上で確認した結果となります。
2. 対象の Windows 10 コンピューターで、オンプレミス AD に参加します
同じく Windows 10 の [設定] - [アカウント] - [職場または学校にアクセスする] より、「このデバイスをローカルの Active Directory ドメインに参加させる」を選択して、すでに構築済みのオンプレミス AD のドメインに参加させます。
「ユーザー名」と「パスワード」を入力して「OK」をクリックします
「今すぐ再起動する」をクリックします。再起動後にサインインし直して、対象のドメインに参加していることを確認します
Windows 10 コンピューター上で見ると、こんな感じになります。
まだ、 Hybrid Azure AD Join は完成していません。 30 分間隔で Azure AD Connect が同期してくれるので、待ってても構成はされますが、タスク スケジューラーで手動で実行できます。
[タスク スケジューラー ライブラリ] - [Windows] - [Workplace Join] - [Automatic-Device-Join]の順に選択し、手動実行することで、このタスクを走らせることができます。
確認してみましょう。見事に 2 重登録されてしまっています。
本来であれば、 Hybrid Azure AD Join した段階で、 Azure AD Registered の構成が削除されるはずですが、削除されませんでした。
これは以前に動作検証した時も同様の動作だったので、想定済みの動作です。(なぜ自動削除されないかは不明です…)
念のため、 オンプレミス AD ユーザーから Azure AD に同期済みの Azure AD ユーザーにて、「dsregcmd /status」コマンドを実行した結果が、下記になります。「AzureADPrt」が「YES」になっていますね。
なぜ、敢えて動作検証が失敗した結果を載せているかというと、ちゃんと理由があります。
例えば、Hybrid Azure AD Join している Windows 10 コンピューターだけ、 Office 365 のアプリケーションを使わせたい、という条件付きアクセスのポリシーを設定したいとします。以下のポリシーですね。
一見、すでに Hybrid Azure AD Joinしているし、 PRT もちゃんと取れているから、この条件付きアクセスを設定しても問題ないのではないか、と、思われるかもしれません。
しかしながら、ブラウザー経由で取得した PRT を Azure AD に提示する際に、含まれる PRT の中に、デバイス ID の情報を含める必要があるのですが、 Windows 10 コンピューター上に、 Azure AD Registered と、 Hybrid Azure AD Join のデバイス ID が二重に登録されてしまっているため、 Azure AD Registered のデバイス ID を含めた PRT を Azure AD に提示した場合、Hybrid Azure AD Join のデバイスではない と判断され、結果、条件付きアクセスでブロックされてしまうという動作になってしまいます。
それぞれのデバイス ID を見てみましょう。以下が Azure AD Registered のデバイス ID
こちらが Hybrid Azure AD Join のデバイス ID あきらかに違いますよね。
また、どちらのデバイス ID を送るようにする、といった機能は存在しないため、運が良ければ、条件付きアクセスを突破できますが、そうないときはブロックされていまいます。これは非常によろしくないですよね。
そのため、 Windows 10 (1809) からは自動削除される機能が追加されたのだと思います(なぜだか動作しませんが…)
自動削除されなくても、手動で解除できますので安心してください。
また、お気づきになった方もいるかもしれませんが、 Azure AD Registered の方に MDM 登録がされましたね、要はこのコンピューターを Intune で管理したい、ということです。
Azure AD Registered を解除したら、 Intune 管理できなくなるのでは?と思うかもしれませんが、安心してください、 MDM 登録は Azure AD にデバイスが登録されている、つまり Hybrid Azure AD Join のデバイスがあれば、グループポリシーにより、自動で登録してくれます。
Microsoft の公開資料にも書いてありますね。
具体的には、ここのポリシーを有効にするだけで、自動で MDM 登録されるようになります。
まとめ
今回は動作検証は失敗?うまく動作してくれませんでしたが、お伝えしたかった内容は、 Windows 10 コンピューターを Azure AD Registered と Hybrid Azure AD Join の 2 重構成は、構成上は実装可能ですが、運用上よろしくない影響が出るので、やめましょう、ということでした。
また、 MDM 登録も Hybrid Azure AD Join の構成があれば、グループポリシーで自動登録してくれるので、問題ないですよ、ということですね。
最後まで見ていただきまして、ありがとうございました。