Hybrid Azure AD Join の構成メモ

6318 ワード

AzureADConnect SingleSignOn AzureAD ActiveDirectory AADC ActiveDirectory テキストリンク

この記事について

Hybrid AD Join の検証でわかったこととトラシューポイントを記載します。

Hybrid Azure AD までの処理の流れ

AADC を構成して、Windows 10 クライアントが Hybrid Azure AD Join 状態となるまでの処理過程は以下。

1. Azure AD Connect が SCP を書き込む

オンプレミス AD のフォレストにある構成パーティションに SCP が書き込まれる。

CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=xxxxxxx,DC=xxxxxx"
＊ DC=xxxxxxx,DC=xxxxxx はドメイン名

書き込まれた SCP の情報は、PowerShell から以下コマンドで確認できる。

$scp = New-Object System.DirectoryServices.DirectoryEntry
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=xxxxxxx,DC=xxxxxx"
$scp.Keywords

出力結果例は以下。

SCP は、サービス接続ポイントの略。
オンプレミス AD に参加しているコンピューターデバイスが、同期先テナントの Azure AD がどこか？を示す情報。
これが正しく登録されていないと、Hybrid Azure AD Join 状態とはならない。

2. Windows 10 のタスクで UserCertificate 属性を書き込む

以下のタスクがログイン時と定期的 (1時間間隔ぐらい) に実行され、SCP に登録されているテナント情報を取得し、クライアント端末の userCertificates 属性に事故署名証明書を格納する。

3. Azure AD Connect の同期でコンピューターオブジェクトが同期される

自己署名証明書が格納されたコンピューターオブジェクトが、Azure AD Connect の同期で Azure AD に同期される。
(証明書が格納されていないコンピューターオブジェクトは同期されない)

ただし、この状態では Azure AD 上ではまだ保留中となる。

4. Hybrid Azure AD Join の完成

Azure AD に同期された後に、再度以下タスクが実行されることで、Azure AD Join が完了し、Hybrid Azure AD Join 状態となる。

これにより、保留状態から日付が入るのでそれで判断できる。

なお、Azure AD Register もしている場合、Azure AD Register のデバイスは削除したほうが望ましい。
Azure AD Join と Azure AD Register の違いについては、以下 Blog が参考になる。
https://jpazureid.github.io/blog/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/

もし、保留中から変化しない場合は、以下公開資料を基にトラシューするとよさそう。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-managed-domains
https://jpazureid.github.io/blog/azure-active-directory/troubleshoot-hybrid-azure-ad-join-managed/

5. Azure AD PRT (Primary Refresh Token) の取得

Hybrid Azure AD Join となった端末に、ユーザーがサインインして認証されたタイミングで Azure AD PRT が取得される。
コマンドプロンプトから dsregcmd /status とすることで確認できる。

Azure AD Connect の構成

オンプレミスAD と Office 365 (Azure AD) 環境は用意済みとする。
Azure AD Connect のインストーラーは以下から。
https://www.microsoft.com/en-us/download/details.aspx?id=47594

クライアント側の状態

オンプレAD に参加していない端末では、以下のような画面になるが、

ドメイン参加済みの場合は、オンプレAD や Azure AD の参加項目 (赤枠) がなくなっている。

つまり、すでにオンプレ AD に参加済み端末の場合は、クライアント側での作業は不要ということ。
(明示的に Azure AD に参加ということをしなくて良い)

Author And Source

この問題について(Hybrid Azure AD Join の構成メモ), 我々は、より多くの情報をここで見つけました https://qiita.com/KTeg/items/10f24f7324e8fd7c2ea7

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .