はじめに
前回までで、Google Workspace を使い続けながら、Windows 端末管理だけを Microsoft Entra ID / Intune / Defender for Business に寄せる全体像と、Google / Microsoft の ID を分離する設計を整理しました。
次に問題になるのが、既存のオンプレ AD 参加 PC をどう移行するかです。
ここは誤解されやすいポイントです。
・AD参加PCをそのままEntra joinedへ変換できると思っていた
・Hybrid Joinのままでも最終形になると思っていた
・既存ユーザープロファイルをそのまま維持できると思っていた
・Intune登録だけできればADを止められると思っていた
実際には、既存 AD 参加 PC の橋渡し運用と、AD なしで動く最終形は分けて考える必要があります。
この記事では、オンプレ AD を廃止する前に確認すべき Windows 端末移行パターンを整理します。
結論
結論から書きます。
1. 新規PCは Microsoft Entra joined + Intune を標準にする
2. 既存AD参加PCは、当面の橋渡しとして Hybrid Join / Intune 登録で受けることはできる
3. ただし、AD を本当に廃止するには、既存PCも最終的にはワイプ再構成または更改が必要
4. 「ADなしで業務が回るか」は、Entra joined / DomainJoined = No の端末で確認する
Microsoft も、クラウドネイティブ端末の最終目標は Microsoft Entra joined であり、Hybrid Microsoft Entra join を最終状態にすべきではないと説明しています。Hybrid joined 端末には、初回サインインやパスワード変更でドメインコントローラーへの到達性が必要になるなどの制限があります。(Microsoft Learn: クラウドネイティブ エンドポイントを Microsoft Entra に参加させる)
また、Windows Autopilot Reset は Microsoft Entra hybrid joined 端末をサポートしないため、Hybrid joined 端末を最終的に再展開するには full device wipe が必要です。(Microsoft Learn: Windows Autopilot Reset)
まず用語を整理する
オンプレ AD 参加
従来の Windows ドメイン参加です。
DomainJoined = Yes
AzureAdJoined = No
Microsoft Entra joined
クラウドネイティブな会社端末の基本形です。
DomainJoined = No
AzureAdJoined = Yes
Microsoft Learn でも、Entra joined 端末はインターネット接続で初回サインインでき、オンプレ AD のドメインコントローラーに依存しないと説明されています。(Microsoft Learn: クラウドネイティブな Windows エンドポイントとは)
Hybrid Microsoft Entra joined
オンプレ AD に参加しつつ、クラウドIDも持つ橋渡し状態です。
DomainJoined = Yes
AzureAdJoined = Yes
Hybrid joined は移行期間の橋渡しとしては有効ですが、Microsoft は最終目標にすべきではないとしています。(Microsoft Learn: クラウドネイティブ エンドポイントを Microsoft Entra に参加させる)
端末移行は2本立てで考える
Windows 端末移行は、次の2本立てで考えると分かりやすいです。
- 既存 AD 参加 PC は、まず橋渡しとして Intune / Defender を載せる
- 新規 PC またはワイプ済み PC は、最初から Entra joined にする
この2つを混同すると、移行計画が曖昧になります。
パターン1: 新規PCを最初から Entra joined にする
これは、今後の標準パターンです。
利点
・ドメインコントローラーに依存しない
・OOBEからそのままEntra Joinできる
・Intuneへ自動登録できる
・BitLocker、Defender、Windows Update、アプリ配布を最初から適用できる
・Autopilotとも相性がよい
Windows 11 の OOBE では、初回セットアップ時に 「職場または学校にセットアップ」 を選び、会社の資格情報でサインインすることで Microsoft Entra join を構成できます。Microsoft は、セットアップ中に Entra join と必要に応じた MDM 登録が始まると説明しています。(Microsoft Learn: OOBE 中に Windows 11 デバイスを Microsoft Entra ID に参加させる)
この方式が向いている端末
・新規購入端末
・利用者入替前にワイプできる端末
・古くて再構成した方が早い端末
・今後の標準機にしたい端末
パターン2: 既存 AD 参加PCを Hybrid Join + Intune で受ける
これは、移行期間の橋渡しです。
オンプレ AD 参加済みの端末に対しては、GPO を使って Intune 自動登録を起動できます。Microsoft Learn では、
Computer Configuration > Administrative Templates > Windows Components > MDM > Enable automatic MDM enrollment using default Microsoft Entra credentials
を有効にし、User Credential を選ぶ手順が案内されています。(Microsoft Learn: グループ ポリシーを使用して Windows デバイスを自動的に登録する)
利点
・今のPCをすぐに捨てなくてよい
・業務アプリやプロファイルを残したまま管理を始められる
・IntuneとDefenderを先に導入できる
・移行期間中の可視化が進む
欠点
・AD依存は残る
・初回サインインやパスワード変更でDC到達性が必要になる
・最終形ではない
・Autopilot Resetが使えない
・Hybrid用の複雑さが残る
Microsoft も、Hybrid joined 端末にはドメインコントローラーへの line-of-sight が必要になる制限があると説明しています。(Microsoft Learn: クラウドネイティブ エンドポイントを Microsoft Entra に参加させる)
既存 AD 参加PCをそのまま最終形にできるか
原則として、最終的にはできないと考えた方がよいです。
よくある誤解は次です。
Intune に入った
→ AD が不要になったはず
これは違います。
Hybrid joined で Intune 管理されていても、端末の参加形態はあくまで DomainJoined = Yes です。AD 依存の構造は残ります。
Microsoft は、既存の AD 参加 / Hybrid joined 端末から Microsoft Entra joined へ移る場合、リセットまたは置き換えを前提に考えるべきとしています。(Microsoft Learn: クラウドネイティブ エンドポイントを Microsoft Entra に参加させる)
実際の移行パターン
パターンA: 新規PC置き換え
最も分かりやすく安全です。
1. 新規PCを調達
2. OOBEからEntra join
3. Intune / Defender / BitLocker / Updateを適用
4. 必要アプリを配布
5. データ移行
6. 旧PCを回収
パターンB: 既存PCワイプ再構成
調達を増やしたくない場合はこちらです。
1. ユーザーデータ退避
2. 必要アプリ確認
3. PCをフルワイプ
4. OOBEからEntra join
5. Intune / Defender適用
6. アプリ再投入
7. データを戻す
Microsoft は、Autopilot Reset ではなく full device wipe が必要だと説明しています。(Microsoft Learn: Windows Autopilot Reset)
パターンC: 橋渡し運用のまま当面継続
一時的にはありですが、終着点にはしない方がよいです。
1. 既存AD参加PCをHybrid Join化
2. GPOでIntune自動登録
3. Defender導入
4. 順次置き換え・ワイプ再構成
何をもって「AD なしで動く」と判断するか
ここが最重要です。
**「AD なしで動く」**とは、少なくとも次を満たすことです。
・Entra ユーザーで Windows へサインインできる
・Intune / Defender が動く
・Google Workspace が使える
・Office 利用者は Office が使える
・プリンタ、業務アプリ、社外アクセスなど必要な業務が成立する
・ドメインコントローラーへ疎通がなくても成立する
この確認は、Entra joined / DomainJoined = No の端末で行う必要があります。
確認コマンド
端末側では dsregcmd /status を使います。
最終形なら、次の状態を確認します。
AzureAdJoined = YES
DomainJoined = NO
橋渡し状態なら、次になります。
AzureAdJoined = YES
DomainJoined = YES
後者は Hybrid joined であり、AD 依存が残っています。
移行前に棚卸しすべき依存関係
端末移行の前に、次は必ず棚卸ししてください。
・ファイル共有
・プリンタ配布
・VPN
・RADIUS
・業務アプリの認証方式
・GPO
・ログオンスクリプト
・ローカル管理者権限
・社外アクセス方式
もし次が残っているなら、AD廃止前に再設計が必要です。
・UNCパスへ直接依存
・Windows統合認証前提の業務Web
・GPO前提の端末設定
・AD連携プリンタサーバ
・RADIUS / VPN のAD依存認証
逆に、次が済んでいると移行しやすくなります。
・ファイルサーバはGoogle Drive等へ移行済み
・プリンタサーバなし
・VPN / RADIUS 廃止方向
・SaaS中心
検証の進め方
パイロットでは、次の2台構成が分かりやすいです。
1台目: 既存 AD 参加PC
→ Hybrid Join / GPO自動登録で橋渡し検証
2台目: 新規PCまたはワイプ済みPC
→ Entra joined で最終形を検証
橋渡し検証で見るもの
・Intune登録できるか
・Defender for Businessへオンボードできるか
・BitLocker / Update / ローカル管理者制御が当たるか
・既存アプリ、プリンタ、Google Workspace利用に支障がないか
最終形検証で見るもの
・OOBEからEntra joinできるか
・Intune自動登録できるか
・Defender / BitLocker / Update / アプリ配布が機能するか
・ADなしでも日常業務が成立するか
ありがちな失敗
1. Hybrid Join を最終形だと思う
橋渡しとしては有効ですが、AD依存は残ります。
2. Intune登録できたので AD は不要だと思う
登録できても、DomainJoined = Yes のままなら AD 依存は消えていません。
3. 既存 AD プロファイルをそのまま持っていけると思う
再構成を前提にした方が安全です。既存PCを最終形にするなら、データ退避 → ワイプ → Entra join が基本です。
4. いきなり本番ユーザーで試す
必ず Pilot-Users / Pilot-Devices を分け、少数で試すべきです。
導入ロードマップ
現実的には、次の順番が安全です。
Phase 1:
既存端末・アプリ・依存関係の棚卸し
Phase 2:
Pilot-Users / Pilot-Devices の準備
Intune 自動登録設定
Defender 連携設定
Phase 3:
既存 AD参加PC 1台で橋渡し検証
新規 or ワイプ済みPC 1台で最終形検証
Phase 4:
標準ポリシー作成
BitLocker / Update / Compliance / ローカル管理者 / Defender
Phase 5:
新規PCからEntra joinedへ移行
既存PCは更改時またはワイプ再構成で順次移行
Phase 6:
AD依存が残っていないことを確認し、旧ADを廃止
まとめ
オンプレ AD を廃止する場合、端末移行は次のように整理すると分かりやすくなります。
・新規PCは最初からEntra joinedにする
・既存AD参加PCは橋渡しとしてHybrid Join / Intune登録で受ける
・ただし最終的にはワイプ再構成または更改が必要
・ADなし確認は Entra joined / DomainJoined = No の端末で行う
重要なのは、「いま使えるか」 と 「AD を止めたあとも成立するか」 を分けて考えることです。
Hybrid joined は移行期間の実務上有効ですが、終着点ではありません。最終的には、Entra joined + Intune + Defender を前提としたクラウドネイティブ端末へ寄せていくのが筋です。
次回は、Google WorkspaceとMicrosoft Entraを併用する場合の制約を整理します。