SCCM共同管理によるHybrid Azure AD Joinedの構成

今更ですが、Windows10になり、PC管理の方式も変わってきましたね。
自身なりにWindows10PCの管理方式をおさらいしてみました。

■デバイスの管理先

Windows10PCがADに参加するのはAzureADもしくは、従来のActiveDirectoryのどちらか1つのみです。両方AD参加することはできません。

ただし、ハイブリッドAzureAD参加はオンプレActiveDirectory参加している端末でもAzureAD参加デバイスと同様のメリットを享受することができます。
AzureAD参加の場合、すでにオンプレでActiveDirectoryを利用した社内システムにSSOできませんが、ハイブリッドAzureAD参加はその心配もなくなります。
さらにハイブリッドAzureAD参加すると、MicrosoftIntuneで端末管理できるうえ、条件付きアクセスと組み合わることで 組織の端末からのアクセスのみを許可するようなセキュリティ面を考慮した構成も可能となります。

そこで本記事ではハイブリッドAzureAD参加について、まとめてみました。

ハイブリッドAzureAD参加の構成について

ハイブリッドAzureAD参加するための構成ですが、大きくわけて3つ構成方法があります。(Office365カスタムドメインはマネージドドメインとします)
・GPOを利用したハイブリッドAzureAD参加
・SCCM共同管理によるハイブリッドAzureAD参加
・Windows Autopilotを利用したハイブリッドAzureAD参加

上記の3つの構成方法の仕組みの違いとして、Windows10PCをAzureADとIntuneにどうやって登録されるのかで違いがあると認識しております。
※現に経験上、SCCMを利用している環境で、GPOによるハイブリッドAzureAD参加を構成したところ、Intune側で”この端末はSCCM側で端末を管理しているぞ”というようなエラーが出力されたことがありました。

実は今後、 Intune と Configuration Manager を組み合わせた Microsoft Endpoint Manager としてサポートしてくれるそうです。
なのでここではSCCMを利用している環境で正しくハイブリッドAzureADJoin構成を行う手順を記載します。※間違っているところがあれば、ご指摘ください。

ハイブリッドAzureAD参加構成してみた

以下環境を準備済みの状態でSCCM共同管理によるハイブリッドAzureAD参加を構成していきます。
・ActiveDirectory:1台
・SCCM:1台
・AzureADConnect:1台
・Windows10:1台 (クライアントエージェントインストール済み)

IntuneMDM構成

まず、モバイルデバイスの管理するうえで、MDM機関を選択する必要があります。MDM機関を選択しないとどのようにモバイルを管理するか不明のため、当然モバイルデバイスを管理することができません。
今回のIntune共同管理を構成するためには、MicrosoftIntuneを選択する必要があるため、Intuneを選択します。

Intuneデバイス自動登録設定

Windows10端末をAzureADからIntuneに自動登録するための構成を行います。
AzureADポータルの左メニューから[モビリティ(MDMおよびMAM)]-[MicrosoftIntune]を選択し、MDMスコープを[すべて]に設定します。

DNS登録

ハイブリッドAzureAD参加を構成するにあたり、Windows10端末が自動でIntuneに登録するためには下記URLの名前解決を行えるように構成する必要があります。外部DNS,内部DNSそれぞれに下記CNAMEレコードを追記します。
カスタムドメイン名はAzureADに登録しているドメイン名です。

AADConnectの環境設定

HybridAzureADJoinを構成するためには、ActiveDirectoryのユーザーとコンピューターオブジェクトを同期する必要があります。
また、ActiveDirectoryに登録されているユーザーのUPNとAzureADのUPNは同じUPNを設定することが前提条件です。
つまり、Office365のカスタムドメインを指定する必要があり、xx.localなどのUPNは利用できないため、事前に変更する必要があります。
⇒UPNは他システムでもログインの際に利用していると思いますので、変更前は事前にテストアカウントなどで影響確認を行っておきましょう。

UPN変更のために、UPNサフィックスを追加します。

UPN変更を行います。
一括でUPNを変更する場合は下記コマンドで実行できます。

ここからは、AADConnectの設定になります。
すでに構築済みのAADConectを利用します。AzureADにサインインが必要なユーザー名はオンプレミスのUserPrincipalNameであることを確認しました。

HybridAzureAD SCPの構成

HybridAzureADJoinを構成するためにはまず、AzureADに自動でデバイスが登録される必要があります。ドメイン参加した際、コンピューターがまずAzureADを参照するように仕向けるために、SCPの設定を行います。
SCP・・・ドメインに参加しているコンピューターに向けた自動検出サービスの最優先されるURLを提供する

AzureADConnect構成ウィザードを起動し、デバイスオプションの構成をクリックします。

HybridAzureAD参加の構成を選択し、次へをクリックします。

対象フォレストにチェックを入れ、[認証サービス]は”AzureActiveDirectory”を選択し、選択をクリックします。
この時、エンタープライズ権限を保有した管理者アカウントの資格情報を入力する必要があります。

※ConfigureSCP.ps1のダウンロード という設定がありますが、これはオフライン環境で設定する場合に活用します。基本的に、AADConnectから同期する際にActiveDirectoryとは常に取っている状態なのであまり使うことはないと思いますが、例えば、今回のHybridAzureADJoinを構成する際に新しいAADCOnnectサーバーを構築したい。。ただし、本番利用ネットワークには接続することができない環境だけど、事前に設定しておきたいときに活躍するのかと。。


構成をクリックします。

SCPが構成されたかを確認します。
ADSIエディターを起動し、[操作]-[接続]を選択し、[既知の名前付きコンテキストを選択する]で”構成”を選択します。

[CN=Services]-[CN=Device Registration Configuration]配下のコンテナーを右クリックしてプロパティをクリックし、[属性エディター]をクリックします。

[keyword]をダブルクリックし、値がセットされていることを確認します。
※AzureADNameの値はOffice365テナントに登録されているドメインであればどれでも問題ありません。また、複数登録することも必要なしとなります。

AzureADへの自動登録設定

ドメイン参加しているコンピューターオブジェクトをAzureADへデバイス登録するための設定を行います。GPOでも設定が可能ですが、GPOの場合、共同管理によるハイブリッドAzureAD参加ができず、後の手順で設定するコンプライアンスポリシーのワークロードが正しく反映されない事象が発生したことがあったため、本手順で実施するほうが望ましいかもしれません。

CongigurationManagerを起動し、[クライアント設定]-[既定のクライアント設定]をダブルクリックします。

ク ラ イ ア ン ト 設 定 1 項 目 
Azure 料 ロ Ⅳ e し げ e 〔 [ 0 「 ′ 丁 丿 ノ 「 
を M 。 5 。 ft 丨 ntune サ プ ス ク リ プ シ ョ ン 
Android for Wo 戓 
こ : Apple Volume purchase prog m の ト 
ク ラ ウ ド 靆 布 ホ イ ン ト 
住 ク ラ ウ ド 管 理 ゲ - ト ウ ェ イ 
二 サ イ ト の 壱 成 
ク ラ イ ア ン ト 定 
こ セ キ ュ リ テ ィ 
を 配 市 ホ イ ン ト 
配 市 ホ イ ン ト グ ト プ 
こ 移 行 
ア イ ] ン 
の 
名 前 
既 定 の ク ラ イ ア ン ト 盻 定 
先 順 位 
既 定

[クラウドサービス]を選択し、[新しいWindows10ドメインに参加しているデバイスを自動的にAzureActiveDirectoryに登録する]を”はい”に設定変更します。規定で”はい”になっていたら設定変更する必要はありません。

定 の 設 定 
バ ッ ク ク ラ ウ ン ド イ ン 丁 リ ジ ェ ン ト を 送 
ク ラ イ ア ン ト キ ャ ッ シ ュ の 設 定 
ク ラ イ ア ン ト ホ リ シ - 
ク ラ ウ ド サ ー ビ ス 
] ン プ ラ イ ア ン ス 盻 定 
] ン ど ュ - タ - 工 - ジ ェ ン ト 
] ン ど ュ - タ - の 再 起 勃 
信 の 最 化 
Endpoint Protection 
登 録 
ー ト ド ウ ェ ア イ ン べ ン ト リ 
従 制 イ ン タ ー ネ ッ ト 接 続 
電 源 管 理 
ソ フ ト ウ ェ ア セ ン タ - 
ソ フ ト ウ ェ ア の 展 
ソ フ ト ウ ェ ア イ ン べ ン ト リ 
ソ フ ト ウ ェ ア 用 状 況 の 測 定 
ソ フ ト ウ ェ ア 更 新 プ ロ ク ラ ム 
状 態 メ ッ セ - ジ 
ユ - サ - と デ バ イ ス の ア 月 テ ィ 
Wi dows Analytics 
X 
既 定 の 設 定 
階 層 内 の 全 り ラ イ ア ン ト に 適 用 す る 定 を 指 定 し ま す 。 こ れ は カ ス タ ム 定 に 変 更 に き ま す 。 
り ラ イ ア ン ト コ ン ピ ュ ー タ ー が り ラ ウ ド ベ ー ス の サ ー ヒ ス を 使 用 に き る か ど う か を 指 定 し ま す 。 
デ バ イ ス 設 定 
新 し い Windons 間 ド メ イ ン に 参 加 し ( い る デ 
ハ イ ス を 自 劯 的 に Azure 自 引 ⅳ e Directory 
に 登 録 す る 
り ラ イ ア ン ト に り ラ ウ ド 管 理 ゲ ー ト ウ 1 イ を 使 用 
に き る よ う に す る 
デ バ イ ス / ユ ー サ ー の 設 定 
り ラ ウ ド 配 布 ポ イ ン ト へ の ア り セ ス を 脊 可 す る 
は い 
は い 
い い

SCCM共同管理の設定

SCCMとMicrosoftIntuneの両方から管理されている状態でどちらが優先されるかの設定を行います。
Intuneの登録設定を行わないと下記のようにHybridAzureADJoinされるものの、Intune側にはデバイスが登録されず、下記のようなエラー状態となりました。

SCCM共同管理の設定を行います。
CongigurationManagerを起動し、[管理]-[共同管理]をクリックします。

[サインイン]をクリックします。

Intuneライセンスを保有する全体管理者アカウントの資格情報を入力し、サインインを選択します。

[すべて]を選択し、[次へ]を選択します。

ワークロードを選択します。
今回、コンプライアンスポリシーは”Intune”で管理したいので、[コンプライアンスポリシー]のゲージをConfiguration ManagerからIntune変更します。

[次へ]をクリックします。
※パイロットコレクションでは、一部のデバイスのみを自動登録設定することが可能です。今回は全体に対して、自動登録を有効にしたいので[次へ]をクリックします。

共同管理が正常に完了後、下記構成ファイルが作成されます。

コンピューターオブジェクトをAzureADに同期する

これまで説明した手順が完了すれば、あとはコンピューターオブジェクトを同期するだけです。ハイブリッドAzureAD参加はAADConect経由でコンピューターオブジェクトをAzureADにデバイス登録する必要があります。ここではハイブリッドAzureAD参加したいデバイスをAADConnectに同期します。

対象のコンピューターオブジェクトを同期設定しているOUに移動します。

Active Directory ユ - ザ - と コ 、 
フ ァ イ ル ( F ) 作 ( A ) 表 示 ( V' ) ヘ ル プ ( H ) 
| 名 丨 新 一 ロ | X ロ | | 3 重 マ 0 
コ 
A ⅳ e [ ⅱ r 戈 0 Ⅳ ユ - ザ - と コ ン と - タ - 名 
説 明 
〉 保 存 さ れ た ク エ リ 
コ ン と - タ - 
h e. は : 引 
当 
コ ン と - タ - 
AZUREADSSOACC 
guiltin 
コ ン と - タ - 
↓ BACKUPEXEC 
Computers 
ー を HYBRIDTEST 
コ ン と - タ - 
[ m 制 n Controllers 
当 
コ ン と - タ - 
JSOCCERADFSI 
ForeignSecuntyPnncipals 
コ ン ど ユ 
- タ - 
HeyGuys 
ー W ー N10-1 
コ ン と - タ - 
ー W ー N10-2 
コ ン と - タ - 
LostAndFound 
コ ン ど ユ 
- タ - 
ManagedServ' に eAccounts 
コ ン ヒ ュ 
- タ - 
SCCM H 
Active Directory ド メ イ ン サ - ビ ス 
OffceProPlus 
A ⅳ e [ ⅱ r 戈 0 Ⅳ メ イ ン サ - ど ス で オ プ ジ ェ ク ト を 移 動 す る と 、 既 存 の シ ス テ ム が デ ザ イ ン と お り に 
Program DB 
動 作 し な ( な る 可 能 1 生 が あ り ま す 。 た と え ば 、 組 繼 単 位 ( OU ) を 移 動 す る こ と に よ り 、 そ の OU 内 の 
ア カ ウ ン ト へ の グ ル - プ ポ リ シ の 適 用 方 法 に 髟 髫 を 測 ま す 場 合 が あ り ま す 。 
users 
NTDS Quota 
こ の オ プ ジ ェ 針 、 を 移 動 し ま す 力 ワ 
TPM Dev に es 
「 こ の ス ナ ッ プ イ ン カ か れ て る 誾 は こ の 彗 き を 表 示 し な い ( D ) 
い い え ( N )

AADConnectから同期します。

Windows Powershell 
"indons PowerSheI 
Copyri ght (C) 2013 Microsoft Corporat ion. All rights reserved. 
PS C: rator> Start -ADSyncSyncCycIe -POI icyType Init ial

同期後、AzureADポータル上にハイブリッドAzureAD参加としてデバイス登録されていることがわかります。ただし、あくまで登録されただけであって、[登録済み]の項目欄が”保留中”となっている場合は
ハイブリッドAzureAD参加はまだ構成されていません。

PCにサインインすると、[登録済み]の項目欄がタイムスタンプに代わります。これで、AzureAd上にハイブリッドAzureAD参加されます。
ハイブリッドAzureAD参加はPCのサインインをトリガーとした、タスクスケジューラー「Microsoft」―「Windows」―「 WorkPlace Join」にある「Automatic-Device-Join」タスクで実行されます。
実行結果が[この操作を正しく終了しました(0x0)]となっていれば成功となります。

クライアント端末上で[dsregcmd /status]コマンドを実行し、下記ステータスが”YES”なっていることを確認します。
<コマンド>

 dsregcmd /status 

<ステータス>
AzureADJoined:YES
DomainJoined:YES
AzureADPrt:YES

win:c-2 
sybridTEST 
IO Pro 
10.0 (183621 
AD 
Hybrid Aure AD 
Jack Daniel

また、所有者が”該当なし”となっていますが、これは端末のドメイン参加時のアカウント権限に依存します。

所有者蘭はコンピューターオブジェクトの属性値[ms-ds-CreatorSID]を参照しています。DomainAdmins権限を有するアカウントでドメイン参加した場合、この属性値の値は<未設定>になります。つまり、”該当なし”となっている場合、DomainAdmins権限でドメイン参加した端末となります。
ただ、所有者蘭が”該当なし”であってもハイブリッドAzureAD参加に影響はありません。

mS-DS-Ccnsistency.. 
DS- CreatcrSID 
msDS-ExecuteScrip...

ハイブリッドAzureAD参加が完了後、Intuneへ自動登録されます。
登録されるとIntune上に下記のように登録されます。

Intuneが管理するワークロードが”コンプライアンスポリシー”となっていることが確認できます。また、共同管理特有のステータスとして、Configuration Manaferエージェントの状態が”正常”であることも確認しておきましょう。

ハイブリッドAzureAD参加端末と条件付きアクセスの制御

ハイブリッドAzureAD参加端末の一番の強みと言えるのが条件付きアクセスとの組み合わせかと思います。ハイブリッドAzureAD参加端末は社内にドメイン参加していることが前提となるため、ハイブリッドAzureAD参加端末のみアクセスを許可する条件を設定すれば必然的に企業(社内)管轄の端末しかアクセスできないように設定することが可能となります。

条件付きアクセスの[アクセス権の付与]で”ハイブリッドAzureAD参加済みのデバイスが必要”にチェックを入れます。

用 す る コ ン ト ロ ー ル を 選 択 し て く た さ 
C) ア ク セ ス の ノ ロ ッ ク 
( : ) ア ら を 支 あ 付 ら 
ロ 多 要 第 を 要 求 す る 0 
[ コ デ バ イ ス は 準 し て い る と し て マ ー ク 
済 み て あ る 必 要 か あ り ま す 0 
ー ー ハ イ プ リ ッ ト AzureAD 参 加 済 み の デ 
バ イ ス が 必 要 ① 
ロ 承 選 き れ た ク ラ イ ア ン ト ア プ リ が 必 
要 て す ① 
承 認 さ れ た ク ラ イ ア ン ト ア プ リ の - 
覧 を 表 示 し ま す 
ロ ア プ リ の 保 第 ポ リ シ ー が 必 要 ( プ レ ヒ 
ュ ー ) ① 
ホ リ シ - て 保 さ れ た ク ラ イ ア ン ト 
ア プ リ の - 第 を 表 示 し ま す

すると、ハイブリッドAzureAD参加していない端末からのアクセスは条件付きアクセスによってブロックされます。

Azureのサインインログにも出力されていることがわかります。

す ↓ 
制 御 の 許 可 
ド メ イ ン に し て い る デ バ イ ス が 必 要 
↑ ↓ セ ッ シ コ ン 制 御 
HybridAuæAdJOln 
ー ザ - リ ス ク ホ リ シ 
や サ イ ン イ ン リ ス ク ホ リ シ - の た め に 、 サ イ ン イ ン は 中 さ 31 る 可 能 が あ り ま す し プ ロ ッ ク さ れ て い る 、

まとめ

今回は共同管理によるハイブリッドAzureAD参加の手順概要をご説明しました。
検証環境というのもあり、あまり反映時間を気にしませんでしたが、実際はAzureADからコンピューターオブジェクトを同期する時間であったり、ユーザーのPCへのログインのタイミングによっては、ハイブリッドAzureAD参加構成の反映に時間がかかる場合もあります。

また、条件付きアクセスはトークンの発行を保護する仕組みです。したがって条件付きアクセスが評価しているのは、トークンになります。今回、ハイブリッドAzureAD参加の後に”dsregcmd /status”コマンドでステータス確認を行いましたが、AzureADへのデバイス登録することによって取得できるMicrosoft社オリジナルのトークンPRT(PrimaryRefreshToken)には下記情報が格納されます。
・デバイスID
・セッションキー

参考:PRTには何が含まれますか?

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/concept-primary-refresh-token#what-does-the-prt-contain

条件付きアクセスでは、このPRTを評価しているため、ハイブリッドAzureAD参加のみ許可した条件付きアクセスを突破するためには、必ず、ハイブリッドAzureAD参加した端末でPRTが取得されていることを確認してください。

次回はハイブリッドAzureAD参加した端末で動作確認を行いたいと思います。
それではまた。