Entra Kerberosを設定すると、Entra Joinしている端末からもオンプレADのドメイン上のファイルサーバーにSSOし、ファイルアクセスができるようになる。
本記事では、Entra JoinしたWindows 11端末をEntra KerberosでファイルサーバーにSSOさせる手順を記載する。
環境
本環境を構築した際のOSバージョンは以下の通り。Windows 11は仮想マシンで構築している。
- デバイス : Windows 11 24H2 ※仮想マシン
1. Entra Kerberosを構成する
SSOさせるための前提条件として、「①Entra ConnectによるオンプレユーザーをEntra IDへ同期」させ、「②Entra Kerberosを構成」する必要がある。Entra IDで認証した際に、オンプレADの認証に必要な「部分的なTGT」を受け取ることで、オンプレADの認証を処理させるためだ。
Entra Connectの設定手順は、以下URLを参照すること。
Entra Kerberosの設定手順は、以下URLの「クラウド信頼とEntra Kerberosについて」を参照すること。
Entra Join手順
1. 設定画面へ遷移
[設定] > [アカウント] > [職場または学校にアクセスする]を選択する。
[職場または学校のアカウントを追加」を選択する。
2. Entra Joinに必要な認証情報の入力
「職場または学校アカウントのセットアップ」では、中央の「電子メールアドレス」のテキストボックスに入力して進めたくなるが、画面下部の[このデバイスをMicrosoft Entra IDに参加させる]のリンクを選んで登録する点に注意しよう。
Microsoftアカウントの認証画面に遷移するので、Entra IDのユーザー・パスワードを入力する。
「これがあなたのネットワークであることを確認してください」では「参加する」を選択する。
完了すると、「<テナント名>のEntra IDに接続しました」と表示される。
Entra管理センターでも、デバイスが「Microsoft Entra joined」と表示される。
以上で、Entra Joinは完了となる。
ファイルサーバーへのSSOでのアクセス確認
オンプレADにドメイン参加したWindows 11に共有フォルダを作成し、これをファイルサーバー相当としてSSOによる接続確認を行う。使用するユーザーと共有フォルダの設定は以下の通り。なお、使用するユーザーは、オンプレAD上に存在するユーザーをEntra Connectで同期しておく必要がある。
- 使用するユーザー : tuser002
- 共有タブ : tuser002のみフルコントロール
- セキュリティタブ : tuser002のみフルコントロール
まず、ローカルアカウントでデバイスにログインしたのち、共有フォルダにアクセスする。当然「アクセスできません」のエラーとなる。
次に、フルコントロールを許可している「tuser002」のアカウントにてログインし、共有フォルダにアクセスする。今度は、エラーとならず共有フォルダにアクセスに成功できた。
以上で、Entra JoinしたWindows 11端末をEntra KerberosでファイルサーバーにSSOさせることの設定手順と確認は完了となる。
