はじめに
Windows 10 コンピューターを Azure AD に登録する構成をとる際に、 Azure AD Registered (Azure AD 登録) 済みの Windows 10 コンピューターに Hybrid Azure AD Join の構成を行うと、 Azure AD Registered が自動的に解除されると、 Microsoft の公開情報に書いてあります。
方法:Hybrid Azure Active Directory 参加の実装を計画する 知っておくべきことを確認する
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-plan#review-things-you-should-know
Windows 10 ドメイン参加済みデバイスが既にテナントへの Azure AD 登録済みである場合、Hybrid Azure AD 参加を有効にする前に、その状態の削除を検討する>ことを強くお勧めします。 Windows 10 1809 リリース以降では、この二重状態を回避するために次の変更が行われています。
デバイスが Hybrid Azure AD 参加済みになった後、既存の Azure AD 登録済み状態は自動的に削除されます。
先週、上記機能を試すために、検証を行いましたが、下記 Blog のとおり、動作確認に失敗してしまいました。
改めて動作確認をするにあたり、弊社海外のエンジニアよりご指導いただき、確認方法がわかりましたので動作検証をリトライしたいと思います。
【検証失敗】Windows 10 (1809) の 2重登録排除機能が動作するか確認してみる
URL:https://qiita.com/Shinya-Yamaguchi/items/eebc9364c5bbeddd0949
二重登録してしまう場合の弊害については、下記 私の以前のBlog を参考にしてください。
Hybrid Azure AD Join と Azure AD Registered を二重構成することによる動作影響について
URL:https://qiita.com/Shinya-Yamaguchi/items/488c1a831f3914b91f59
構成
- オンプレミス AD ( Windows Server 2019 Datacenter)
- Azure AD Connect 1.3.20.0 (オンプレミス AD 内にインストール)
- Windows 10 (1809)
検証の流れについて(前回失敗した時の手順)
- Azure AD に Windows 10 コンピューター (1809) を Azure AD Registered する
- オンプレミスの AD に参加する
- Azure AD Connect によりデバイス同期が行われ、 Hybrid Azure AD Join として構成される
- 3.が完了したあとに、1. の構成が解除されるかを確認する
検証の流れについて(今回試す手順)
- 既に構成済みの SCP を ADSI エディターで削除する。
- 対象の Windows 10 コンピューターをオンプレミス AD に参加する。
- 対象の Windows 10 コンピューターを Azure AD に登録 (Azure AD Registered) する。
- Azure AD Connect により、 SCP を再構成する。
- 対象の Windows 10 コンピューターを再起動する。
- 再起動後に、 Azure AD Registered が自動排除されていることを確認する。
※この手順は、あくまで2重登録の自動排除機能を試すための手順です。
通常考えられる運用のケースとは異なります。
やってみる
今回はコンピューター名「Windows10-18095」を使って行います。
既に構成済みの SCP を ADSI エディターで削除する
まず、すでに構成済みの SCP の情報を下記コマンドレットで確認します。
$scp = New-Object System.DirectoryServices.DirectoryEntry;
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=shyamag014,DC=work";
$scp.Keywords;
オンプレミス AD サーバーにサインインし、 ADSI エディターを起動します。
構成済みの SCP のうち、SCP オブジェクトの実態を削除するために、[CN=Services]→[CN=Device Registration Configuration] の中にある「CN=62a0ff2e-97b9-4513-943f-0d221bd30080」の順に選択します。
このオブジェクトを削除しますか?と確認画面が表示されるので、「はい」をクリックします。
再度 PowerShell で確認すると、 SCP が削除されていることを確認できます。
対象の Windows 10 コンピューターをオンプレミス AD に参加します。
対象の Windwos 10 コンピューターにサインインし「設定」→「アカウント」→「職場または学校にアクセスする」の順に選択し、「+接続」をクリックします。
職場または学校アカウントのセットアップ画面より「このデバイスをローカルの Active Directory ドメインに参加させる」のリンクをクリックします。
ドメインに参加画面より、参加するオンプレミス AD のドメイン名を入力し、「次へ」をクリックします。
対象のドメイン アカウントの資格情報を入力し、「OK」をクリックします。
アカウントを追加するの画面でそのまま「次へ」をクリックします。
PCの再起動の画面にて「今すぐ再起動する」をクリックします。
再起動完了後に再度対象の Windows 10 コンピューターに Azure AD に同期済みのオンプレミス AD アカウント (管理者ユーザーではない) でサインインし、下記のとおり対象のドメインに参加していることを確認します。
対象の Windows 10 コンピューターを Azure AD に登録 (Azure AD Registered) します。
職場または学校にアクセスするの画面にて「+接続」をクリックします。
職場または学校アカウントのセットアップ画面より、 Azure AD に同期済みのオンプレミス AD ユーザーの UPN を入力し、「次へ」をクリックします。
対象のユーザーのパスワードを入力し、「サインイン」をクリックします。
Azure AD Registered が完了すると下記画面が表示されるので、「完了」をクリックします。
下記のとおり、 Azure AD Registered と オンプレミス AD への参加が同居しています。
また、コマンドプロンプトにて「dsregcmd /status」コマンドレットを入力すると WorkplaceJoined (Azure AD Registered) が「YES」 AzureADJoined (Hybrid Azure AD Join) が「NO」になっていることが確認できます。
この段階ではオンプレミス AD のデバイスが Azure AD に同期していないので、 Hybrid Azure AD Join は構成されていません。
Azure AD Connect により、 SCP を再構成します。
Azure AD Connect サーバーにサインインし、 Azure AD Connect のアイコンをダブルクリックします。
Azure AD Connect へようこその画面にて「構成」をクリックします。
追加のタスクより「デバイス オプションの構成」をクリックし、「次へ」をクリックします。
Hybrid Azure AD Join する対象のテナントの全体管理者のユーザー名およびパスワードを入力し、「次へ」をクリックします。
デバイス オプションの画面より、「ハイブリッド Azure AD 参加の構成」が選択されていることを確認し、「次へ」をクリックします。
デバイスのオペレーティング システムの画面にて、「Windows 10 以降のドメインに参加しているデバイス。」が選択されていることを確認し、「次へ」をクリックします。
SCP の構成画面が表示されます。
ここで SCP を再構成します。対象のフォレストのチェックボックスにチェックを入れ、認証サービスに「Azure Active Directory」を選択後に「追加」ボタンをクリックします。
エンタープライズ管理者の資格情報の画面がポップアップされるので、対象ドメインの資格情報を入力し、「OK」をクリックします。
エンタープライズ管理者の欄にエンタープライズ管理者名が表示されたことを確認し、「次へ」をクリックします。
構成準備の完了画面にて、「構成」ボタンをクリックし、 SCP の構成処理を開始させます。
構成が完了すると下記画面が表示されるので、「終了」をクリックします。
PowerShell を起動し、再度下記 SCP の構成を確認するコマンドレットを入力します。
$scp = New-Object System.DirectoryServices.DirectoryEntry;
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=shyamag014,DC=work";
$scp.Keywords;
下記のとおり、 SCP が再構成されていることが確認できます。
念のため ADSI エディターを起動し削除した[CN=Services]→[CN=Device Registration Configuration] の中にある「CN=62a0ff2e-97b9-4513-943f-0d221bd30080」オブジェクトが再作成されていることを確認します。 再作成されていますね。
対象の Windows 10 コンピューターを再起動します。
これで一通り準備ができましたので、対象の Windows 10 コンピューターを再起動してみます。
再起動後に、 Azure AD Registered が自動排除されていることを確認します。
再起動後に、 Azure AD Registered で登録した際の Azure AD に同期済みのオンプレミス AD ユーザーにてサインインします。
この時点でまだ Hybrid Azure AD Join が完了していない (Azure AD にデバイスが同期されていない)場合は、 Azure AD Connect サーバーにて以下コマンドレットを入力し、Azure AD にデバイスを手動同期させます。
Start-ADSyncSyncCycle -PolicyType Delta
Hybrid Azure AD Join が完了すると、下記のとおり、Azure AD Registered の構成が自動的に削除されていることが確認できます。(検証成功)
この話には続きがある。
この話には続きがあって、コマンドプロンプトで dsregcmd /status コマンドレットを入力すると、 WorkplaceJoined が「YES」になっています。
どういうことかと言うと、ためしにオンプレミス AD の接続を下記のとおり解除してみます。
PCを再起動してくださいの画面にて「今すぐ再起動する」をクリックします。
ちなみにこの段階で、再起動前の Azure ポータルのデバイス登録状況は下記のとおり、 Azure AD Registered は削除されないまま残っています。
このあと、再度オンプレミス AD に管理者ユーザーで参加登録を行い、再起動後に、Azure AD に同期済みのオンプレミス AD ユーザーでサインインしてみると、下記のとおり Azure AD Registered が復活しています。
つまり、本機能は Windows 10 コンピューター上の「設定」画面からは削除されるが、 WorkplaceJoin の構成そのものを解除するものではない、と思われます。(Azure AD のデバイス一覧からも削除されません)
しかしながら、上記状態が再発した際に、 Windows 10 コンピューターを再起動すると、下記のとおり、きちんと Azure AD Registered は自動解除されますのでご安心ください。
おわりに
本機能は、 Windows 10 RC4 (1803) の4月度パッチ適用以降の Windows 10 コンピューターで実装された機能になります。
また、 Intune に対象コンピューターが登録されている場合は、本機能は適用外になりますのでご注意ください。
2重登録排除機能は、基本的にはユーザー側で意識することなく機能しますが、今回は意図的に機能を発動させるために手順を踏んで検証を行いました。
少しでも本 Blog が参考になれば幸いです。