2025年11月26日水曜日

Entra Connectを用いてWindows 11端末をハイブリッド参加させる手順

自宅環境ではEntra Connect (旧Azure AD Connect)を使って、オンプレADのユーザー情報をEntra IDへ同期する構成としている。今まではユーザー情報を同期させて、そのユーザーでM365環境にログインするといった用途ぐらいにしか使用しておらず、「ただ同期するだけ」の状態だった。

ただし、Entra Connectを使うと、オンプレのドメインに所属しつつ、Entra環境にも参加する「Entraハイブリッド参加 (Entra Hybrid Join)」という構成にすることができる。これをすると、オンプレADにログインすれば、M365へSSOできたり、M365の機能と連携して、デバイスのセキュリティ強化を行うことができる。

本記事では、Entra Connectを用いてWindows 11端末をハイブリッド参加させる手順を記載する。

環境

  • Entra Connect : 2.5.79.0
  • オンプレAD : Windows Server 2016
  • デバイス : Windows 11 24H2

<簡単な構成図>

Entraハイブリッド参加手順

1. Entra Connectにて「ハイブリッド参加の構成」の設定を行う

Entra Connectで「ハイブリッド参加の構成」が未実施の場合に作業を実施する。
※私の環境はEntra Connectをかなり古いバージョンの頃に初期構築したこともあり、本作業が未実施だった。

Entra Connectがインストールされているサーバーにログインし、Entra Connectの画面を開く。

「デバイスオプションの構成」を開く。

「Microsoft Entra IDに接続する」は、グローバル管理者のユーザー、パスワードを入力する。

「デバイスオプション」にて「ハイブリッドMicrosoft Entra ID参加の構成」を選択する。

「デバイスのオペレーティングシステム」では、「Windows 10以降のドメインに参加しているデバイス。」を選択する。
※さすがにWindows 10以前のOS (例:Windows 8など)を使っている環境はもう存在しないと思われるため。

「SCPの構成」では、以下を設定する。

  • 認証サービス : Microsoft Entra ID
  • エンタープライズ管理者 : ドメインのエンタープライズ管理者権限のユーザー、パスワードを入力

以上でハイブリッド構成が開始され、最後に「構成が完了しました」と表示されれば問題ない。

2. グループポリシーのテンプレートの最新化

GPOを設定するのだが、私の環境はWindows Server 2016という古い環境 (2026年中に更改予定)のため、設定したいポリシーがデフォルトでは存在しない

その場合は、以下URLから最新のポリシーテンプレートファイルをダウンロードし適用しておくこと。

https://www.microsoft.com/en-us/download/details.aspx?id=108394
Administrative Templates (admx) for Windows 11 Sep 2025 Update.msi

上記msiファイルをインストールすると、C:\Program Files (x86)\Microsoft Group Policy\Windows 11 Sep 2025 Update (25H2)\PolicyDefinitionsにファイルが展開されるので、\\<ドメイン名>\SYSVOL\<ドメイン名>\Policies\PolicyDefinitionsに以下ファイルをコピーする。

  • *.admx
  • en-USフォルダ
  • ja-JPフォルダ

3. GPOにてデバイスのEntra参加を有効化

以下GPOを作成し、Entraハイブリッド参加対象のコンピューターアカウントが登録されているOUにリンクさせる。

  • コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → デバイス登録
    • ドメインに参加しているコンピューターをデバイスとして登録する : 有効
  • コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → MDM
    • 既定のAzure AD資格情報を使用して自動のMDM登録を有効にします : 有効

4. デバイスにてハイブリッド参加

グループポリシーの適用のため、デバイスを再起動しておく。

ハイブリッド参加の確認は、dsregcmdコマンドを用いて実施する。以下★箇所がYESになっていれば問題ない。なお、EnterpriseJoinedは「オンプレAD FSによる参加」の状態を示す項目となり、ハイブリッド参加の場合は、NOのままで問題ない。

PS C:\> dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

             AzureAdJoined : YES ★
          EnterpriseJoined : NO
              DomainJoined : YES ★
                DomainName : TEST
           Virtual Desktop : NOT SET
               Device Name : DESKTOP-E05C3GD.test.local

もし登録されていない場合は、以下コマンドで登録を試みる。エラーが出る場合は、トラブルシュートが必要となるが、内容によるのでここでは割愛する。

PS C:\> dsregcmd /debug /join

最後に、Entra管理センターでも、対象のデバイスの状況を確認する。Entra管理センターの「デバイス」>「すべてのデバイス」にて対象のデバイスを確認し、「参加の種類」が「Microsoft Entra hybrid joined」となっていればOKとなる。

参考

By 時刻: 0 件のコメント:
ラベル: ,
登録: コメント (Atom)

人気の投稿

  • 電源ボタンを押さずにパソコンの電源をONにする方法
    久しぶりに自作PCを作ったのだが、ケース以外のパーツが先に揃うという事態が発生した。マザーボードやメモリ等の各パーツの初期不良等チェックをしたかったので、裸のまま結線して起動させてみることにした。 組み上げて電源をつないで、いざ電源投入しようとしたところ、電源ボタンがないこと...
  • LinuxでCIFS共有フォルダをマウントする
    Linuxでは通常NFSなどでネットワークファイル共有を実現するが、WindowsではCIFSが標準的に使われている。 しかし、場合によってはLinux環境からWindowsのCIFS共有フォルダにアクセスしてファイル読み書きしたい場合がある。 LinuxではCIFSであって...
  • Windows標準コマンドでdiffする
    Linuxなら迷うこと無く diff コマンドがあるので問題ないが、Windowsの場合どうすれば良いか悩んでしまうことがある。フリーソフトがインストールできる環境ならまだしも、インターネットに繋がないサーバーとなると、OS標準のコマンドで実施する必要があるので調べてみた。...
  • Zabbix 7.0にSNMP Trapを監視する手順 (AlmaLinux 9+SNMPTT)
    以下記事で、AlmaLinux9.4+Zabbix 7.0のインストール手順を記載した。 Zabbix 7.0インストール手順 (AlmaLinux 9+MariaDB利用) Zabbix 7.0インストール手順 (AlmaLinux 9+PostgreSQL利用) Z...
  • ZabbixのHousekeepingの仕組みと手動による実行手順
    Zabbixでは保存期間を超過したアイテムのヒストリ・トレンドや障害イベントなどのデータを定期的に自動で削除する機能が備わっており、 この処理をHousekeepingと呼ぶ 。 本記事では、 ZabbixのHousekeepingの動作に関する調査結果と、手動でHouseke...