【検証失敗】Windows 10 (1809) の 2重登録排除機能が動作するか確認してみる

はじめに

Windows 10 コンピューターを Azure AD に登録する構成をとる際に、 Azure AD Registered (Azure AD 登録) 済みの Windows 10 コンピューターに Hybrid Azure AD Join の構成を行うと、 Azure AD Registered が自動的に解除されると、 Microsoft の公開情報に書いてあります。

方法:Hybrid Azure Active Directory 参加の実装を計画する 知っておくべきことを確認する
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan#review-things-you-should-know

Windows 10 ドメイン参加済みデバイスが既にテナントへの Azure AD 登録済みである場合、Hybrid Azure AD 参加を有効にする前に、その状態の削除を検討することを強くお勧めします。 Windows 10 1809 リリース以降では、この二重状態を回避するために次の変更が行われています。
デバイスが Hybrid Azure AD 参加済みになった後、既存の Azure AD 登録済み状態は自動的に削除されます。

二重登録してしまう場合の弊害については、下記 私の以前のBlog を参考にしてください。

Hybrid Azure AD Join と Azure AD Registered を二重構成することによる動作影響について
URL:https://qiita.com/Shinya-Yamaguchi/items/488c1a831f3914b91f59

構成

1. オンプレミス AD ( Windows Server 2019 Datacenter)
2. Azure AD Connect 1.3.20.0 (オンプレミス AD 内にインストール)
3. Windows 10 (1809)

検証の流れについて①

1. Azure AD に Windows 10 コンピューター (1809) を Azure AD Registered する
2. オンプレミスの AD に参加する
3. Azure AD Connect によりデバイス同期が行われ、 Hybrid Azure AD Join として構成される
4. 3.が完了したあとに、1. の構成が解除されるかを確認する

やってみる

まずは、 Azure AD Registered を行います。
[Windows] → [設定] → [アカウント] → [職場または学校にアクセスする]の順に選択し、「+接続」ボタンをクリックします。

職場または学校アカウントのセットアップの画面より、電子メールの欄に Azure AD ユーザーの UPN を入力し「次へ」をクリックします。
ちなみに、「このデバイスを Azure Active Directory に参加される」をクリックすると、 Azure AD Join (Azure AD 参加) のプロセスに進みます。
また、「このデバイスをローカルの Active Directory ドメインに参加させる」をクリックすると、オンプレミス AD への参加プロセスに進みます。

パスワードの入力画面で、対象 UPN のパスワードを入力し、「サインイン」をクリックします。

準備が完了しました！の画面にて、「完了」ボタンをクリックします。

以上で、 Azure AD Registered は完了です。

コマンド プロンプトより、「dsregcmd /status」コマンドレットを入力すると、下記のとおり「WorkplaceJoined」が「YES」になっていることが分かります。

同様に、 Azure ポータルのデバイス一覧を見てみると、対象の Windows 10 コンピューター (Windows10-18096) の結合の種類が、「Azure AD registered」になっていることが確認できます。

次にオンプレミスの AD に参加します。
[Windows] → [設定] → [アカウント] → [職場または学校にアクセスする]の順に選択し、「+接続」ボタンをクリックします。

職場または学校アカウントのセットアップ画面より、「このデバイスをローカルの Active Directory ドメインに参加させる」のリンクをクリックします。

ドメインに参加の画面にて、参加するオンプレミス AD のドメイン名を入力し、「次へ」をクリックします。

ドメインが見つかると、ドメインに参加画面が表示されるので、オンプレミス AD のドメイン アカウント情報を入力し、「OK」ボタンをクリックします。

アカウントを追加する画面にて、ユーザー アカウントにアカウント情報が入力されていることを確認し、「次へ」をクリックします。

オンプレミス AD へ参加するためには再起動が必要ですので、「今すぐ再起動する」をクリックします。

Hybrid Azure AD Join を構成する

対象の Windows 10 コンピューターをオンプレミス AD に参加してから、 Hybrid Azure AD Join が構成されるまでの具体的な流れは私が書いた下記 Post が参考になりますのでご確認ください。対象箇所を抜粋します。

Hybrid Azure AD Join 構成までの流れ
URL:https://qiita.com/Shinya-Yamaguchi/items/73016fcdb5beeaefa5ba#hybrid-azure-ad-join-%E6%A7%8B%E6%88%90%E3%81%BE%E3%81%A7%E3%81%AE%E6%B5%81%E3%82%8C

1. Windows 10 コンピューターを、オンプレミス AD に参加します。

2. オンプレミス AD 上のコンピューター オブジェクトの userCertificate 属性に Windows 10 コンピューターを認証するための証明書が>当該コンピューターにより、追加されます。

3. オンプレミス AD 上のコンピューター オブジェクトの userCertificate 属性値に証明書が追加されると、Azure AD Connect がコンピ>ューター オブジェクトを Azure AD に同期します。 (通常は 30 分間隔)

4. 当該コンピューター上のタスク スケジューラにより証明書を使用して、 Azure Active Directory 上にデバイスが登録します。
   (このタイミングで dsregcmd /status のコマンドレットをたたくと AzureADJoined の値が YES になります)

5. オンプレミス AD と Azure AD 間で同期しているユーザーで当該の Windows 10 コンピューターにサインインしたとき、Azure AD による認証後、サインインしたユーザーの PRT (Primary Refresh Token) が発行され、Hybrid Azure AD Join として Azure AD (Office 365) にサインインできます。
   
   (このタイミングで dsregcmd /status のコマンドレットをたたくと AzureADPrt の値が YES になります)

現在、1. の オンプレミス AD に参加した状態ですので、サインインをし、 userCertificate 属性に証明書が追加されることを確認します。

サインインした直後では、証明書が追加されていません。

数分後に確認してみると、 userCertificate 属性に証明書が追加されていることが分かります。
あとは、 Azure AD Connect の同期のタイミングにより、対象の Windows 10 コンピューターのオブジェクトが Azure AD に同期された後に、 Windows 10 コンピューター上のタスクスケジューラーにより、 Azure AD にデバイスが登録 (Azure AD Join)されます。

せっかくですので、手動でオブジェクトを同期してみましょう。
Azure AD Connect をインストールしているサーバー上で PowerShell を起動し、以下コマンドレットを実行します。

Start-ADSyncSyncCycle -PolicyType Delta

上記コマンドレットを実行後、結果が「Success」となることを確認します。

[Windows]→[Synchrozization Service」の順に選択し、Synchronization Service Manager を立ち上げ、Export された結果の行を選択後に、「Adds」のリンクをクリックします。

オブジェクトの詳細画面がポップアップ表示されますので、左下の「Properties」をクリックします。

すると、同期されたオブジェクトの詳細情報が確認できます。
対象の Windows 10 コンピューター (Windows 10-18096) が同期されていることが分かりますね。

Azure ポータルを確認すると、 Hybrid Azure AD Joined としてデバイスが登録されていることが確認できます。

コマンド プロンプトより、「dsregcmd /status」コマンドレットを入力すると、下記のとおり「AzureADJoined」が「YES」になっていることが分かります。

この状態では、 Azure AD Registered は自動的に削除されないようです。つまり、 AzureAdPrt が Yes になっていないので、 Hybrid Azure AD Join は完了していないからと思われます。

一度、対象の Windows 10 コンピューターからサインアウトし、 Azure AD ユーザーでサインインしなおします。
※画面はリモート デスクトップ接続のため、通常の Windows 10 サインイン画面とは異なります。

コマンド プロンプトを起動し、 「dsregcmd /status」コマンドレットをたたくと、 Azure AdPRt が YES になっていることが確認できます。

これで Hybrid Azure AD Join の構成が完了しました。

Azure AD Registered が自動削除されているかどうか確認するために、再度サインアウトし、 管理者ユーザーで対象の Windows 10 コンピューターにサインインします。
そして、[Windows] → [設定] → [アカウント] → [職場または学校にアクセスする]の順に選択します。

職場または学校アカウントの方が Azure AD Registered ですが、解除されていません…。

おわりに

このあと再度同じ操作を行って検証してみましたが、同じく Azure AD Registered が自動削除されることはありませんでした。
公開情報に明記されていることから、 Azure AD Registered を解除するトリガーがあると思いますし、個人的にもこの動作はとても納得できるものではないので、あらゆるリソースを活用して、公開情報とおりの動作が確認できるまで、検証を続けたいと思います。

動作について確認できた際には、再度 Qiita に記事をあげる予定です。