LoginSignup
6

More than 3 years have passed since last update.

【検証成功】Windows 10 (1809) の 2重登録排除機能が動作するか確認してみる

Posted at

はじめに

Windows 10 コンピューターを Azure AD に登録する構成をとる際に、 Azure AD Registered (Azure AD 登録) 済みの Windows 10 コンピューターに Hybrid Azure AD Join の構成を行うと、 Azure AD Registered が自動的に解除されると、 Microsoft の公開情報に書いてあります。

方法:Hybrid Azure Active Directory 参加の実装を計画する 知っておくべきことを確認する
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan#review-things-you-should-know

Windows 10 ドメイン参加済みデバイスが既にテナントへの Azure AD 登録済みである場合、Hybrid Azure AD 参加を有効にする前に、その状態の削除を検討する>ことを強くお勧めします。 Windows 10 1809 リリース以降では、この二重状態を回避するために次の変更が行われています。
デバイスが Hybrid Azure AD 参加済みになった後、既存の Azure AD 登録済み状態は自動的に削除されます。

先週、上記機能を試すために、検証を行いましたが、下記 Blog のとおり、動作確認に失敗してしまいました。
改めて動作確認をするにあたり、弊社海外のエンジニアよりご指導いただき、確認方法がわかりましたので動作検証をリトライしたいと思います。

【検証失敗】Windows 10 (1809) の 2重登録排除機能が動作するか確認してみる
URL:https://qiita.com/Shinya-Yamaguchi/items/eebc9364c5bbeddd0949

二重登録してしまう場合の弊害については、下記 私の以前のBlog を参考にしてください。

Hybrid Azure AD Join と Azure AD Registered を二重構成することによる動作影響について
URL:https://qiita.com/Shinya-Yamaguchi/items/488c1a831f3914b91f59

構成

  1. オンプレミス AD ( Windows Server 2019 Datacenter)
  2. Azure AD Connect 1.3.20.0 (オンプレミス AD 内にインストール)
  3. Windows 10 (1809)

検証の流れについて(前回失敗した時の手順)

  1. Azure AD に Windows 10 コンピューター (1809) を Azure AD Registered する
  2. オンプレミスの AD に参加する
  3. Azure AD Connect によりデバイス同期が行われ、 Hybrid Azure AD Join として構成される
  4. 3.が完了したあとに、1. の構成が解除されるかを確認する

検証の流れについて(今回試す手順)

  1. 既に構成済みの SCP を ADSI エディターで削除する。
  2. 対象の Windows 10 コンピューターをオンプレミス AD に参加する。
  3. 対象の Windows 10 コンピューターを Azure AD に登録 (Azure AD Registered) する。
  4. Azure AD Connect により、 SCP を再構成する。
  5. 対象の Windows 10 コンピューターを再起動する。
  6. 再起動後に、 Azure AD Registered が自動排除されていることを確認する。

※この手順は、あくまで2重登録の自動排除機能を試すための手順です。
通常考えられる運用のケースとは異なります。

やってみる

今回はコンピューター名「Windows10-18095」を使って行います。

既に構成済みの SCP を ADSI エディターで削除する

まず、すでに構成済みの SCP の情報を下記コマンドレットで確認します。

$scp = New-Object System.DirectoryServices.DirectoryEntry;
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=shyamag014,DC=work";
$scp.Keywords;

image.png

オンプレミス AD サーバーにサインインし、 ADSI エディターを起動します。
image.png

構成済みの SCP のうち、SCP オブジェクトの実態を削除するために、[CN=Services]→[CN=Device Registration Configuration] の中にある「CN=62a0ff2e-97b9-4513-943f-0d221bd30080」の順に選択します。

image.png

右クリックし、「削除」をクリックします。
image.png

このオブジェクトを削除しますか?と確認画面が表示されるので、「はい」をクリックします。
image.png

再度 PowerShell で確認すると、 SCP が削除されていることを確認できます。
image.png

対象の Windows 10 コンピューターをオンプレミス AD に参加します。

対象の Windwos 10 コンピューターにサインインし「設定」→「アカウント」→「職場または学校にアクセスする」の順に選択し、「+接続」をクリックします。
image.png

職場または学校アカウントのセットアップ画面より「このデバイスをローカルの Active Directory ドメインに参加させる」のリンクをクリックします。
image.png

ドメインに参加画面より、参加するオンプレミス AD のドメイン名を入力し、「次へ」をクリックします。
image.png

対象のドメイン アカウントの資格情報を入力し、「OK」をクリックします。
image.png

アカウントを追加するの画面でそのまま「次へ」をクリックします。
image.png

PCの再起動の画面にて「今すぐ再起動する」をクリックします。
image.png

再起動完了後に再度対象の Windows 10 コンピューターに Azure AD に同期済みのオンプレミス AD アカウント (管理者ユーザーではない) でサインインし、下記のとおり対象のドメインに参加していることを確認します。
image.png

対象の Windows 10 コンピューターを Azure AD に登録 (Azure AD Registered) します。

職場または学校にアクセスするの画面にて「+接続」をクリックします。
image.png

職場または学校アカウントのセットアップ画面より、 Azure AD に同期済みのオンプレミス AD ユーザーの UPN を入力し、「次へ」をクリックします。
image.png

対象のユーザーのパスワードを入力し、「サインイン」をクリックします。
image.png

Azure AD Registered が完了すると下記画面が表示されるので、「完了」をクリックします。
image.png

下記のとおり、 Azure AD Registered と オンプレミス AD への参加が同居しています。
image.png

また、コマンドプロンプトにて「dsregcmd /status」コマンドレットを入力すると WorkplaceJoined (Azure AD Registered) が「YES」 AzureADJoined (Hybrid Azure AD Join) が「NO」になっていることが確認できます。
この段階ではオンプレミス AD のデバイスが Azure AD に同期していないので、 Hybrid Azure AD Join は構成されていません。
image.png

Azure AD Connect により、 SCP を再構成します。

Azure AD Connect サーバーにサインインし、 Azure AD Connect のアイコンをダブルクリックします。
image.png

Azure AD Connect へようこその画面にて「構成」をクリックします。
image.png

追加のタスクより「デバイス オプションの構成」をクリックし、「次へ」をクリックします。
image.png

概要画面より、そのまま「次へ」をクリックします。
image.png

Hybrid Azure AD Join する対象のテナントの全体管理者のユーザー名およびパスワードを入力し、「次へ」をクリックします。
image.png

デバイス オプションの画面より、「ハイブリッド Azure AD 参加の構成」が選択されていることを確認し、「次へ」をクリックします。
image.png

デバイスのオペレーティング システムの画面にて、「Windows 10 以降のドメインに参加しているデバイス。」が選択されていることを確認し、「次へ」をクリックします。
image.png

SCP の構成画面が表示されます。
ここで SCP を再構成します。対象のフォレストのチェックボックスにチェックを入れ、認証サービスに「Azure Active Directory」を選択後に「追加」ボタンをクリックします。
image.png

エンタープライズ管理者の資格情報の画面がポップアップされるので、対象ドメインの資格情報を入力し、「OK」をクリックします。
image.png

エンタープライズ管理者の欄にエンタープライズ管理者名が表示されたことを確認し、「次へ」をクリックします。
image.png

構成準備の完了画面にて、「構成」ボタンをクリックし、 SCP の構成処理を開始させます。
image.png

構成が完了すると下記画面が表示されるので、「終了」をクリックします。
image.png

PowerShell を起動し、再度下記 SCP の構成を確認するコマンドレットを入力します。

$scp = New-Object System.DirectoryServices.DirectoryEntry;
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=shyamag014,DC=work";
$scp.Keywords;

下記のとおり、 SCP が再構成されていることが確認できます。
image.png

念のため ADSI エディターを起動し削除した[CN=Services]→[CN=Device Registration Configuration] の中にある「CN=62a0ff2e-97b9-4513-943f-0d221bd30080」オブジェクトが再作成されていることを確認します。 再作成されていますね。
image.png

対象の Windows 10 コンピューターを再起動します。

これで一通り準備ができましたので、対象の Windows 10 コンピューターを再起動してみます。
image.png

再起動後に、 Azure AD Registered が自動排除されていることを確認します。

再起動後に、 Azure AD Registered で登録した際の Azure AD に同期済みのオンプレミス AD ユーザーにてサインインします。
image.png

この時点でまだ Hybrid Azure AD Join が完了していない (Azure AD にデバイスが同期されていない)場合は、 Azure AD Connect サーバーにて以下コマンドレットを入力し、Azure AD にデバイスを手動同期させます。

Start-ADSyncSyncCycle -PolicyType Delta

image.png

Hybrid Azure AD Join が完了すると、下記のとおり、Azure AD Registered の構成が自動的に削除されていることが確認できます。(検証成功)
image.png

この話には続きがある。

この話には続きがあって、コマンドプロンプトで dsregcmd /status コマンドレットを入力すると、 WorkplaceJoined が「YES」になっています。
image.png

どういうことかと言うと、ためしにオンプレミス AD の接続を下記のとおり解除してみます。
image.png

組織から切断する画面にて、「切断」をクリックします。
image.png

PCを再起動してくださいの画面にて「今すぐ再起動する」をクリックします。
image.png

ちなみにこの段階で、再起動前の Azure ポータルのデバイス登録状況は下記のとおり、 Azure AD Registered は削除されないまま残っています。
image.png

このあと、再度オンプレミス AD に管理者ユーザーで参加登録を行い、再起動後に、Azure AD に同期済みのオンプレミス AD ユーザーでサインインしてみると、下記のとおり Azure AD Registered が復活しています。
image.png

つまり、本機能は Windows 10 コンピューター上の「設定」画面からは削除されるが、 WorkplaceJoin の構成そのものを解除するものではない、と思われます。(Azure AD のデバイス一覧からも削除されません)
しかしながら、上記状態が再発した際に、 Windows 10 コンピューターを再起動すると、下記のとおり、きちんと Azure AD Registered は自動解除されますのでご安心ください。

image.png

おわりに

本機能は、 Windows 10 RC4 (1803) の4月度パッチ適用以降の Windows 10 コンピューターで実装された機能になります。
また、 Intune に対象コンピューターが登録されている場合は、本機能は適用外になりますのでご注意ください。
2重登録排除機能は、基本的にはユーザー側で意識することなく機能しますが、今回は意図的に機能を発動させるために手順を踏んで検証を行いました。
少しでも本 Blog が参考になれば幸いです。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6