Microsoft Entra 参加済みとハイブリッド Microsoft Entra がクラウドネイティブ エンドポイントに参加しました

ヒント

クラウド ネイティブ エンドポイントについて読むと、次の用語が表示されます。

  • エンドポイント: エンドポイントは、携帯電話、Tablet PC、ノート PC、デスクトップ コンピューターなどのデバイスです。 "エンドポイント" と "デバイス" は同じ意味で使用されます。
  • マネージド エンドポイント: MDM ソリューションまたは グループ ポリシー オブジェクトを使用して組織からポリシーを受け取るエンドポイント。 通常、これらのデバイスは組織所有ですが、BYOD または個人所有のデバイスでもかまいません。
  • クラウド ネイティブ エンドポイント: Microsoft Entra に参加しているエンドポイント。 これらはオンプレミス AD に参加していません。
  • ワークロード: 任意のプログラム、サービス、またはプロセス。

条件付きアクセスMicrosoft Entra シングル サインオンなど、重要で貴重なサービスの多くには、エンドポイントにクラウド ID が必要です。 組織所有の Windows エンドポイントの場合、デバイスが Microsoft Entra 参加済みまたはハイブリッド Microsoft Entra 参加時にクラウド ID が作成されます。

クラウドネイティブ エンドポイントに移行する場合は、Microsoft Entra 参加済みデバイスとハイブリッド Microsoft Entra 参加済みデバイスの違いを理解する必要があります。

この機能は、以下に適用されます。

  • Windows クラウドネイティブ エンドポイント

この記事では、Microsoft Entra 参加済みデバイスとハイブリッド Microsoft Entra 参加済みデバイスの違いについて説明します。 クラウドネイティブ エンドポイントとその利点の概要については、「クラウド ネイティブなエンドポイントとは」を参照してください。

Microsoft Entra 参加済み

Windows 10/11 デバイスのようなエンドポイントが Microsoft Entra に参加している場合、Microsoft Entra との信頼が確立され、Microsoft Entra に ID (device-id) が設定されます。 エンドポイントは組織によって管理および制御されます。

エンドポイントは Microsoft Entra に参加しています。 オンプレミスの AD ドメインに参加していません。

Windows エンドポイントを Microsoft Entra に参加させるには、いくつかのオプションがあります。

  • Windows Autopilotを使用する。 Windows Autopilot は、Windows Out of Box Experience (OOBE) を通じてユーザーをガイドします。 ユーザーが職場または学校アカウントを入力すると、エンドポイントは Microsoft Entra に参加します。

    Windows Autopilot に登録されているすべてのデバイスは、組織所有のデバイスと自動的に見なされます。 Windows Autopilot は、組織のデバイスを Microsoft Entra に参加させ、IT によって管理するための最も採用されているアプローチの 1 つです。

  • Windows Out Of Box Experience (OOBE)を使用する。 ユーザーがデバイスで職場または学校アカウントを入力すると、エンドポイントは自動的に Microsoft Entra に参加します。

  • 設定アプリを使用する。 デバイス上で、エンド ユーザーは設定アプリ ([アカウント]>[職場または学校にアクセスする]>[接続]) を開き、職場または学校のアカウントを使用します。

  • ウィンドウ プロビジョニング パッケージを使用する。 詳細については、次を参照してください:

組織 IT の利点

  • 条件付きアクセスを使用すると、要件を満たす、または満たさない組織のリソースへのアクセスを許可または制限できます。
  • 設定と業務データを、エンタープライズ基準に準拠したクラウドを通じてローミングします。 Hotmail などの個人用 Microsoft アカウントは使用されておらず、ブロックできます。
  • Windows Hello for Business を使用すると、資格情報の盗難リスクを減らすことができます。

エンド ユーザーの利点

  • Microsoft Entra と Windows エンドポイントでエンド ユーザーを認証するには、ユーザーに職場または学校アカウントが必要です。 個人アカウントは使用されません。

  • インターネット接続を使用して Microsoft 365 および SaaS アプリにシングル サインオン (SSO) します。

  • Windows Hello for Business の利便性とセキュリティを使用して、Windows エンドポイントにサインインします。

    Windows Hello for Business でサインインすると、ユーザーはオンラインおよびオンプレミスのアプリとリソースの多くに対して SSO を自動的に使用します。

  • OS 設定は、Microsoft Entra に参加しているすべてのデバイス間でローミングされます。

    重要

    Microsoft Entra 参加済みデバイスでリモートで作業するエンド ユーザーは、キャッシュされた資格情報がデバイスで期限切れになったときにサインオンするための VPN は必要ありません。 ハイブリッド Microsoft Entra 参加済みデバイスでは、キャッシュされた資格情報の有効期限が切れたときにサインインするための VPN が必要です。

Microsoft Entra 参加済みリソース

Hybrid Microsoft Entra 参加済み

ハイブリッド Microsoft Entra 参加済みデバイス は、オンプレミスの AD ドメインに参加し、Microsoft Entra に登録されます。 これらのデバイスでは、初期サインインとデバイス管理のために、オンプレミス ドメイン コントローラー (DC) への確実なネットワーク通信経路が必要です。

デバイスが DC に接続できない場合、ユーザーのサインインが妨げられ、ポリシーの更新プログラムが受信されない可能性があります。

既存のドメイン参加済みデバイスを持つ多くの組織では、Microsoft Entra とエンドポイント管理の利点と機能が必要です。 デバイスを完全にクラウドネイティブにできない場合は、これらの既存のデバイスを Microsoft Entra に登録できます。 Microsoft Entra に既存のデバイスを登録すると、 デバイス ID が作成され、デバイスはハイブリッド Microsoft Entra 参加済みになります。 これらはクラウドネイティブ エンドポイントとは見なされません。

組織の準備が整い、クラウドネイティブになりたい場合は、 Microsoft Entra 参加済み (この記事では) が正しい選択です。 既存のデバイスをリセットする必要があります。 より具体的な情報とガイダンスについては、高度な計画ガイドを参照してください。

ハイブリッド Microsoft Entra 参加済みリソース

既存のドメイン参加済みデバイスを Microsoft Entra に登録する方法については、「 ハイブリッド Microsoft Entra 参加の構成」を参照してください。 ハイブリッド Microsoft Entra 参加の構成 には、マネージド ドメインとフェデレーション ドメインの情報が含まれます。

組織に適したオプションはどれですか?

適切なオプションは、あなたの環境、あなたのエンドポイント、そしてあなたの組織の目標によって異なります。 この決定を行う場合は、将来および長期的な影響について検討してください。

次のようなシナリオを考えてみましょう。

シナリオ Microsoft Entra join または Hybrid Microsoft Entra join
新しい Windows エンドポイントをプロビジョニングする ✔️ Microsoft Entra join

プロビジョニングおよび登録している新しい Windows デバイス、改装済み、または更新済みの Windows デバイスがある場合は、Microsoft Entra 参加をお勧めします。 Windows 10/11 は、最新の管理、先進認証などを含む最新の機能が OS に組み込まれています。 Microsoft Entra Join は、新しいエンドポイントとリセット エンドポイントの既定のオプションである必要があります。

❌ Hybrid Microsoft Entra join

新しいエンドポイントには Hybrid Microsoft Entra Join を使用できますが、通常は推奨されません。 Hybrid Microsoft Entra Join を使用して参加した場合、Windows 10/11 に組み込まれている最新の機能を使用できないことがあります。
ハイブリッド Microsoft Entra または AD 参加済みの、以前にプロビジョニングされた既存の Windows エンドポイントがある ✔️ Hybrid Microsoft Entra join

オンプレミスの AD ドメイン (ハイブリッド Microsoft Entra 参加を含む) に参加している既存のエンドポイントがある場合は、ハイブリッド Microsoft Entra 参加をお勧めします。 デバイスはクラウド ID を取得し、クラウド ID を必要とするクラウド サービスを使用できます。 既存のエンドポイントを持つエンド ユーザーの場合、このオプションの影響は最小限です。

❌ Microsoft Entra join

オンプレミスの AD ドメインに参加している既存のデバイス (ハイブリッド Microsoft Entra 参加済みを含む) をリセットして、Microsoft Entra に参加させる必要があります。 リセットできない場合は、Microsoft Entra への Microsoft パスがサポートされていません。

一般的な質問、回答、シナリオ

このセクションでは、Microsoft Entra 参加済みデバイスとハイブリッド Microsoft Entra 参加済みデバイスに関する一般的な質問に回答します。

ハイブリッド Microsoft Entra 参加は、デバイスの長期的または最終目標状態にする必要がありますか?

いいえ。Hybrid Microsoft Entra Join は、どの組織の長期的な目標でも最終目標でもありません。

制限または制限されていない (技術的、政治的、または規制上の理由) 場合、組織は、Windows エンドポイントに参加している Microsoft Entra への移行を移動または計画している必要があります。

既存のハイブリッド Microsoft Entra Join デバイスを Microsoft Entra Join に移行するには、組織はどのような戦略を採用する必要がありますか?

戦略は、組織に固有の多くの要因に依存します。

一般に、Microsoft では補完的なイベントを待機することをお勧めします。 たとえば、Windows の新しい (またはリセット) インスタンスがある場合、ハードウェアの更新、OS のアップグレード、デバイスのトラブルシューティングシナリオ中に Microsoft Entra Join に移動できます。 この方法を使用すると、ユーザーの中断を最小限に抑え、Microsoft Entra Join への変換プロセスを合理化できます。 既存のデバイスを Hybrid Microsoft Entra Join から Microsoft Entra Join に Windows リセットなしで変換するための Microsoft サポートされているプロセスまたはパスはありません。

Microsoft Entra ハイブリッド参加済みデバイスでは、 Windows Autopilot Reset では Microsoft Entra ハイブリッド参加済みデバイスがサポートされていないため、完全なデバイス ワイプを実行する必要があります。

Microsoft Entra Join に移行するには、既存のデバイスを事前にリセットできます。 この方法はユーザーに対してより破壊的な影響を与える可能性があり、テスト & 計画を立てる必要があります。 ただし、デバイス数が少ない場合や、Microsoft Entra Join に移行するための強力なビジネス ケースがある場合は、この方法を使用できます。

組織が Microsoft Entra Join に移行できないブロックがあります

組織が Microsoft Entra Join に完全に移行するのを妨げる可能性がある、Microsoft の制御外に障害や課題がある可能性があります。 また、組織とその構成や期待について固有である未知の遮断要因が存在する可能性もあります。 これらの遮断薬は技術的であるか、他の技術的でない理由で起こり得る。

Microsoft Entra Join への移行は、すべてでも何もない提案ではないことを覚えておいてください。 デバイスを Microsoft Entra Join に移動するには、ブロックや阻害剤の有無にかかわらず、時間がかかります。

Microsoft Entra Join を使用できない可能性のあるブロックを特定した場合は、スコープ、影響、およびソリューションを決定します。 クラウドネイティブ エンドポイントに移行するための高レベルの計画ガイドが役立ちます。

Microsoft Entra Join エンドポイントとハイブリッド Microsoft Entra Join エンドポイントは同じ環境で共存できますか?

はい。Microsoft Entra Join エンドポイントとハイブリッド Microsoft Entra Join エンドポイントは、同じ環境で共存できます。 これらは相互に排他的ではありません。

環境が混在すると、複雑さ、メンテナンス、サポート コストが増加します。 ただし、これらのエンドポイントが置き換えられるかリセットされるまで、Hybrid Microsoft Entra Join を使用できます。 Hybrid Microsoft Entra Join は、Windows エンドポイントの状態に対する組織の最終目標にしないでください。

Microsoft Entra Join システムのユーザーは、オンプレミスのリソースにアクセスできますか?

はい。Microsoft Entra Join システムのユーザーは、オンプレミスのリソースにアクセスできます。

Microsoft Entra Join エンドポイントは、オンプレミスのリソースにアクセスでき、シングル サインオン (SSO) を使用できます。 詳細については、「クラウドネイティブ エンドポイントとオンプレミス リソース」を参照してください。

Intune で管理できるデバイス参加状態

100% クラウド ソリューションである Microsoft Intune では、Microsoft Entra Join または Hybrid Microsoft Entra Join である Windows クライアント デバイスを管理できます。 Intuneには、設定の管理、デバイス機能の制御、エンドポイントのセキュリティ保護に役立つさまざまな機能と設定が組み込まれています。

クラウドネイティブ エンドポイントに移行するための高度な計画ガイド: 知っておくべき Intune の機能」は、これらの機能の一部を一覧表示します。 「Intune とは何か」も優れたリソースです。

Hybrid Microsoft Entra Join エンドポイントでは、オンプレミスのグループ ポリシー オブジェクト (GPO) または Intune を使用してポリシー設定を制御できます。 GPO と Intune の組み合わせを使用することもできますが、この組み合わせにより管理オーバーヘッドと複雑さが増します。 共同管理 (Intune (クラウド) + Configuration Manager (オンプレミス) を有効にした場合は、条件付きアクセスなど、一部の Microsoft Entra 機能を使用できます。

いくつかのガイダンスについては、「展開ガイド: セットアップまたは Microsoft Intune に移動する」を参照してください。

デバイスコンプライアンスや条件付きアクセスに必要なデバイス参加状態は何ですか?

ハイブリッド Microsoft Entra Join エンドポイントと Microsoft Entra Join エンドポイントはどちらも、Intune で管理されている場合、または Intune と Configuration Manager によって共同管理されている場合に 、コンプライアンス ポリシー条件付きアクセス をサポートします。

Hybrid Microsoft Entra Join には制限はありますか?

はい。Hybrid Microsoft Entra Join には制限があります。

これらの制限は、一般に、オンプレミスのみのドメイン参加済みデバイスと同じです。 具体的には、ハイブリッド Microsoft Entra Join エンドポイントでは、初期サインインとパスワードの変更のために、オンプレミスの AD ドメイン コントローラーへの視線が必要です。 ドメインがダウンしている場合、または使用できない場合、ユーザーがエンドポイントへのサインインをブロックされる可能性があります。 組織がオンプレミス ドメインを持つことから離れる場合は、デバイスの Hybrid Microsoft Entra Join から離れる必要もあります。

パスワードレス認証を使用する場合、ユーザーにはインターネット アクセスとドメイン コントローラー (DC) への視線が必要です。 認証するために、ハイブリッド Microsoft Entra Join エンドポイントでは kerberos と NTLM を使用できます。

Hybrid Microsoft Entra Join はクラウドネイティブと見なされますか?

いいえ。Hybrid Microsoft Entra Join はクラウドネイティブとは見なされません。

クラウド ソリューションは、Microsoft Entra のエンドポイントへの参加です。 エンドポイントとその ID は、Microsoft Entra に作成され、格納されます。 Intune は、設定とポリシーを使用してエンドポイントを管理します。 これらのサービスは、Microsoft 365、Microsoft Defender XDR など、他のクラウド サービスと連携します。

クラウド ネイティブなエンドポイントのガイダンスに従う

  1. 概要: クラウド ネイティブなエンドポイントとは
  2. チュートリアル: クラウド ネイティブ Windows エンドポイントの利用を開始する
  3. 🡺 概念: Microsoft Entra 参加済みとハイブリッド Microsoft Entra 参加済み (お客様はこちら)
  4. 概念: クラウド ネイティブなエンドポイントとオンプレミス リソース
  5. 高度な計画ガイド
  6. 既知の問題と重要な情報