自宅環境ではEntra Connect (旧Azure AD Connect)を使って、オンプレADのユーザー情報をEntra IDへ同期する構成としている。今まではユーザー情報を同期させて、そのユーザーでM365環境にログインするといった用途ぐらいにしか使用しておらず、「ただ同期するだけ」の状態だった。
ただし、Entra Connectを使うと、オンプレのドメインに所属しつつ、Entra環境にも参加する「Entraハイブリッド参加 (Entra Hybrid Join)」という構成にすることができる。これをすると、オンプレADにログインすれば、M365へSSOできたり、M365の機能と連携して、デバイスのセキュリティ強化を行うことができる。
本記事では、Entra Connectを用いてWindows 11端末をハイブリッド参加させる手順を記載する。
環境
- Entra Connect : 2.5.79.0
- オンプレAD : Windows Server 2016
- デバイス : Windows 11 24H2
<簡単な構成図>
Entraハイブリッド参加手順
1. Entra Connectにて「ハイブリッド参加の構成」の設定を行う
Entra Connectで「ハイブリッド参加の構成」が未実施の場合に作業を実施する。
※私の環境はEntra Connectをかなり古いバージョンの頃に初期構築したこともあり、本作業が未実施だった。
Entra Connectがインストールされているサーバーにログインし、Entra Connectの画面を開く。
「デバイスオプションの構成」を開く。
「Microsoft Entra IDに接続する」は、グローバル管理者のユーザー、パスワードを入力する。
「デバイスオプション」にて「ハイブリッドMicrosoft Entra ID参加の構成」を選択する。
「デバイスのオペレーティングシステム」では、「Windows 10以降のドメインに参加しているデバイス。」を選択する。
※さすがにWindows 10以前のOS (例:Windows 8など)を使っている環境はもう存在しないと思われるため。
「SCPの構成」では、以下を設定する。
- 認証サービス : Microsoft Entra ID
- エンタープライズ管理者 : ドメインのエンタープライズ管理者権限のユーザー、パスワードを入力
以上でハイブリッド構成が開始され、最後に「構成が完了しました」と表示されれば問題ない。
2. グループポリシーのテンプレートの最新化
GPOを設定するのだが、私の環境はWindows Server 2016という古い環境 (2026年中に更改予定)のため、設定したいポリシーがデフォルトでは存在しない。
その場合は、以下URLから最新のポリシーテンプレートファイルをダウンロードし適用しておくこと。
https://www.microsoft.com/en-us/download/details.aspx?id=108394
Administrative Templates (admx) for Windows 11 Sep 2025 Update.msi
上記msiファイルをインストールすると、C:\Program Files (x86)\Microsoft Group Policy\Windows 11 Sep 2025 Update (25H2)\PolicyDefinitionsにファイルが展開されるので、\\<ドメイン名>\SYSVOL\<ドメイン名>\Policies\PolicyDefinitionsに以下ファイルをコピーする。
- *.admx
- en-USフォルダ
- ja-JPフォルダ
3. GPOにてデバイスのEntra参加を有効化
以下GPOを作成し、Entraハイブリッド参加対象のコンピューターアカウントが登録されているOUにリンクさせる。
- コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → デバイス登録
- ドメインに参加しているコンピューターをデバイスとして登録する : 有効
- コンピューターの構成 → 管理用テンプレート → Windows コンポーネント → MDM
- 既定のAzure AD資格情報を使用して自動のMDM登録を有効にします : 有効
4. デバイスにてハイブリッド参加
グループポリシーの適用のため、デバイスを再起動しておく。
ハイブリッド参加の確認は、dsregcmdコマンドを用いて実施する。以下★箇所がYESになっていれば問題ない。なお、EnterpriseJoinedは「オンプレAD FSによる参加」の状態を示す項目となり、ハイブリッド参加の場合は、NOのままで問題ない。
PS C:\> dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES ★
EnterpriseJoined : NO
DomainJoined : YES ★
DomainName : TEST
Virtual Desktop : NOT SET
Device Name : DESKTOP-E05C3GD.test.local
もし登録されていない場合は、以下コマンドで登録を試みる。エラーが出る場合は、トラブルシュートが必要となるが、内容によるのでここでは割愛する。
PS C:\> dsregcmd /debug /join
最後に、Entra管理センターでも、対象のデバイスの状況を確認する。Entra管理センターの「デバイス」>「すべてのデバイス」にて対象のデバイスを確認し、「参加の種類」が「Microsoft Entra hybrid joined」となっていればOKとなる。
0 件のコメント:
コメントを投稿