はじめに
Microsoft Entra Join について まとめてみました。
以前は、Azure AD Join と呼ばれていました。
Azure AD Join を 略して "AADJ" と表現する場合が多かったのですが、Microsoft Entra Join は、省略形が良くわかりません。"MEJ" って呼んでしまって良いのかも判断できず。
そのため、ひとまず 本記事内では、Microsoft Entra Join することを、"参加" とし、Microsoft Entra Join が完了して 参加状態となった端末のことを "参加済み" と表現しています。
| 古い用語 | 新しい用語 | |
|---|---|---|
| 正式名称 | Azure AD 参加 Azure AD 参加済み Azure Active Directory Join Azure Active Directory 参加済み |
Microsoft Entra Join Microsoft Entra 参加済み |
| 略称 | AADJ | ? ※MEJで良いの? |
(上記の表は、以下の公開情報から抜粋しています)
https://learn.microsoft.com/ja-jp/entra/fundamentals/new-name#glossary-of-updated-terminology
名称変更の経緯は、以下の記事も参照ください。
1. デバイスを "参加" させることの目的
デバイスが "参加済み" になると、主に 以下のような事が実現できます。
① Microsoft Entra アカウント を使って デバイスへのサインイン
"参加" していない場合は、デバイス内に作成されたローカルアカウントを使う必要があり、端末ごとにローカルアカウントの作成&管理が必要です。
Microsoft アカウントを使って デバイスにサインインする事もできますが、集中管理する事はできません。
これに対して、デバイスを "参加" させると、テナント のユーザーアカウントを使って、"参加済み"デバイス に サインイン が可能となり、ユーザーアカウントの集中管理が実現できます。
この機能は コスト が掛かりません。無料で利用できます。
② クラウドサービス への シングルサインオン
Microsoft Entra ID と連携されたクラウドサービス (Teams / One Drive / Office や 他社のクラウドサービス) の利用は、各サービスの利用ごとに サインイン が必要なため、アプリ起動のタイミングや、ブラウザからアクセスするタイミングで 認証 を求められてしまいます。
しかし、"参加済み" デバイスを使うと、デバイスにサインインする際に 認証 が完了しているため、クラウドサービスを利用する際のサインイン操作が不要になります。
この機能は コスト が掛かりません。無料で利用できます。
③ 条件付きアクセス による アクセス制御
Microsoft Entra テナント に備わっている 条件付きアクセス の機能が利用できます。
条件付きアクセスでは、サインイン の際の さまざまな条件を定義しておくことができ、条件によって ブロックしたり、多要認証を要求するなど、認証のセキュリティを向上させることが可能です。
(さまざまな条件の例)
- ユーザーアカウント(サインインできる人と、出来ない人を定義)
- デバイス(Windows / iOS / Android / Mac などの種類を定義)
- デバイスの場所(IPアドレスや、国 で場所を定義)
- 利用できるクラウドサービス (Microsoft 365 や 他社クラウド を制限)
- Intune準拠デバイス(Intune との連携で詳細なデバイスのポリシーを定義)
(条件付きアクセスとは)
この機能は Microsoft Entra ID P1 以上のライセンスが必要です
④ Intune への自動登録
デバイスは、Intune を使って管理することが出来ますが、1台ずつ Intune への登録作業が必要です。
しかし、Microsoft Entra Join には、"参加" の際に Intune にも同時に登録させる機能があり、この登録作業の工数を軽減させることができます。
デバイスを Intune に登録することで、デバイス に対して リモート からあらゆる管理が実施できるようになります。
(Intune を使った管理の例)
- リモートワイプ(デバイスを紛失した際にリモートから情報を削除)
- デバイスの構成管理(OSの設定を一元管理)
- アプリの配布(アプリケーションをリモートで配布する)
- インベントリ(端末のログや状態に関する情報をリモートで確認)
- コンプライアンスポリシー
ポリシーで ルールに逸脱したデバイスを発見し、"準拠" か "非準拠" を判定する。
条件付きアクセス を使って、"準拠" であることを条件としてアクセスを制御できる。
※ポリシーでは、OSのリビジョンや、ウイルス対策ソフトの導入有無、ウイルス定義ファイルのバージョン、HDD暗号化の有無 などの条件を細かく定義することが可能です。
(Intune 自動登録の構成手順)
Intune の 自動登録 を利用するための方法をは、以下の記事にまとめました。ぜひ参照ください。
この機能は Intune のライセンスが必要です
⑤ エディション の アップグレード
Microsoft Entra テナントには、Windows 11 E3 や Windows 11 E5 というライセンスが存在します。
このライセンスを契約して、ユーザーアカウントに紐づける事ができます。
このライセンスを持ったユーザーが、"参加済み"デバイスにサインインすると、Windows のエディションが Enterprise版 にアップグレードされます。
エディションが Enterprise版 になることで、追加の機能が利用可能になります。
(関連する公開情報)
(わかりやすい手順)
アップグレードは、Proエディションで、OS が アクティベート されている必要があります。
評価版だと アップグレード できません。
アクティベーションされて、正規ライセンス された状態の OS を使ってください。
以下のサイトの説明も参照ください。
https://learn.microsoft.com/ja-jp/windows/deployment/deploy-enterprise-licenses#device-thats-not-activated-with-active-subscription
Windows 11 E3 で利用可能になる機能の例
| OS ベースの機能 | 説明 |
|---|---|
| Credential Guard | ユーザーの資格情報の収集とハッシュのパス攻撃またはトークン攻撃のパスから保護します。 |
| Microsoft Edge 用マネージド Microsoft Defender Application Guard (MDAG) |
仮想化ベースのセキュリティを備えたエンタープライズ定義の信頼されていないサイトを Windows から分離し、ユーザーがインターネットを閲覧している間にorganizationを保護します。 |
| 最新の BitLocker 管理 | BitLocker 回復シナリオを監視およびサポートするためのオンプレミス ツールを排除できます。 |
| 個人データ暗号化 | Windows Hello for Businessを使用して個人のコンテンツを暗号化し、暗号化キーをユーザーの資格情報にリンクします。 |
| Direct Access | 従来の VPN 接続を必要とせずに、リモート ユーザーをorganization ネットワークに接続します。 |
| Always-On VPN デバイス トンネル | トラフィックの種類と、VPN 接続を使用できるアプリケーションを制限するための高度なセキュリティ機能。 |
| Windows エクスペリエンスのカスタマイズ | 現場担当者デバイスまたはパブリック キオスク用の統合書き込みフィルターを使用して、企業のデスクトップとシェル起動ツールのユーザー エクスペリエンスをロックダウンするための設定。 |
※上記の表は、以下のサイトより抜粋しています。
https://learn.microsoft.com/ja-jp/windows/whats-new/windows-licensing#windows-11-enterprise-features
Windows 11 E5 で利用可能になる機能の例
Windows 11 E3 の機能に加えて、"Microsoft Defender for Endpoint Plan 2" の利用権が加わり、デバイスのマルウェア対策を集中管理することが出来るようになります。
Microsoft Defender for Endpoint の詳細については、以下のサイトを参照ください。
この機能は Windows 11 E3 や E5 のライセンスが必要です。
2. "参加" のための 前提条件
① テナント
デバイスを "参加" させる先として、Microsoft Entra テナント が必要です。
既に運用中の テナント を使うか、以下の記事を参考に サインアップ してみてください。
テナントは、無料で作成でき、永続的に利用可能です。
② ライセンス(任意)
単に "参加" するだけなら、ライセンス は不要です。
前章で説明した機能のうち、"条件付きアクセス" や "Intune自動登録"、"エディションのアップグレード" など、ライセンスが必要な機能を使う場合は、ライセンスの手配が必要です。ライセンスを契約して、ユーザーに割り当てるには、以下の記事を参考にしてみてください。
無料の評価ライセンスの利用方法も説明してあります。
③ デバイス
"参加" を行うためには、以下の要件を備えた デバイス が必要です。
- サーバー OS の場合は、Windows Server 2019 以降
- クライアント OS の場合は、Windows 10 以降
OS のエディションは、Pro 以上が必要(Home は未サポート)
Windows 8.1 などの 旧OS は 未サポート。 - ハードウェアは、物理マシンでも、仮想マシンでも構いません。
- インターネット (テナントのエンドポイント) への疎通が可能であること
"参加" を検証するためには、Hyper-V 仮想基盤や、Azure 仮想マシン を使うと簡単に試せます。
Azure 仮想マシン を使う場合は、RDP接続 がちょっとだけハマるポイントです。
"4. "参加済み" デバイスへ RDP 接続する方法" の章で説明しています。
Azure サブスクリプションが手元に無い場合は、以下の記事を参考に サインアップ してみてください。30日間 無料で試せます。
3. "参加" させる時のシチュエーションごとの手順
デバイスを "参加" させる場合には、3パターンのシチュエーションが考えられます。
シチュエーションごとに、手順へのリンクを紹介しますので、これを見て "参加" を実施してみてください。
- 3-1. ローカルアカウントでサインインした状態で "参加" する
- 3-2. OS を インストールした直後の 初回起動時に "参加" する
- 3-3. Windows Autopilot を使って "参加" する
3-1. ローカルアカウントでサインインした状態で "参加" する
初めて試す場合は、この方法で行うことが多いと思います。
今までは、ローカルアカウント で利用していた デバイス を "参加" させる方法です。
Windows 10 と 11 で設定箇所が若干違うので、両方の手順を用意してみました。
3-1-1. Windows 10 の場合
3-1-2. Windows 11 の場合
3-1-3. 参考:公開情報
3-2. OS を インストールした直後の 初回起動時に "参加" する
OS に 初めてサインインする際に、インターネット に接続されていると、"参加" の操作とともに、テナントのアカウントで、初回サインイン が行えます。
3-3. Windows Autopilot を使って "参加" する
Windows Autopilot の機能を使って、デバイスの初期構成時に 自動的に "参加" をさせることも可能です。事前にイメージを用意することなく、クリーンな OS の状態から、サインインしたユーザーの目的に見合った構成のデバイスに仕立てる事ができます。
以下の記事で、Autopilot を構成するための手順を説明しています。参照ください。
4. "参加済み" デバイスへ RDP 接続する方法
物理マシンなら考慮は不要ですが、仮想マシンへ接続する場合は RDP 接続 が必要になると思います。
ですが、RDP 接続 する方法は、以外と難しくて、ハマるポイントです。
ポイントとして、以下の点の対処が必要です。これをやらないと RDP接続できません。
- 接続元 PC の ".rdp" ファイルの編集 (enablecredsspsupport:i:0 の行を追加)
- デバイス側 の RDP 設定 で、NLA を無効化
- デバイス側 の RDP 許可 ユーザーに テナントユーザー または Authenticated Users を追加する
※"Authenticated Users" の指定で テナント内 の 全ユーザーから RDP 接続 を受け付けます。
以下に、Windows 10 と、Windows 11 の場合の2通りの手順を用意しましたので、参考にしてみてください。
4-1. Windows 10 の場合
4-2. Windows 11 の場合
5. 参考情報
Microsoft Entra Join に関する 公開情報 です。