連載
» 2016年03月10日 05時00分 UPDATE

vNextに備えよ! 次期Windows Serverのココに注目(44):Windows 10の「ワークプレース参加」はどうなる?[後編] (1/2)

Windows 10におけるデバイス認証の仕組みや導入方法は、Windows 8.1の「ワークプレース参加」から大きく変更されています。前回に続き、今回もWindows 10におけるワークプレース参加について説明します。

[山市良,テクニカルライター]
「vNextに備えよ! 次期Windows Serverのココに注目」のインデックス

連載目次

Azure ADのディレクトリへのAzure AD参加とワークプレース参加

 今回もWindows 10の「ワークプレース参加(Workplace Join)」を説明しますが、ワークプレース参加をよく理解できていない方は、まず前回の記事をお読みください。

 Windows 10の「Azure AD参加(Azure AD Join)」は、Windows 10 Pro/Education/Enterpriseのインストール時、または「設定」→「システム」→「バージョン情報」にある「Azure ADに参加」からセットアップできます。Azure AD参加をセットアップすると、Microsoft Azureの「Azure Active Directory(Azure AD)」のIDによるWindowsへのサインインや「Microsoft Passport for Work」によるクラウドアプリへのSSO(シングルサインオン)アクセスが可能になります(画面1)。

画面1 画面1 Windows 10の「Azure AD参加」をセットアップしているところ

 Azure AD参加をセットアップすると、Windows 8.1のAzure ADへのワークプレース参加と同じように、Azure ADにデバイスが登録されます。ただし、ワークプレース参加がAzure AD参加に置き換わったというわけではありません。

 ローカルアカウントでセットアップしたWindows 10であっても、「設定」→「アカウント」→「メールとアカウント」から「職場または学校アカウントを追加」をクリックしてAzure ADのIDを追加することで、Azure ADにデバイス登録することができます(画面2)。Windows 10では、こちらがWindows 8.1のワークプレース参加に相当するAzure ADへのデバイス登録になります(画面3)。

画面2 画面2 Windows 10でAzure ADへの「ワークプレース参加」をセットアップしているところ
画面3 画面3 Azure AD参加は「AAD参加済み」、ワークプレース参加は「社内参加済み」という種類でAzure ADにデバイス登録される

 どちらの方法でセットアップしても、Azure ADの「アクセスパネル」や「Office 365ポータル」にSSOアクセスできますし、デバイス登録に基づいたOffice 365の条件付アクセスに対応できます。

 Azure ADのディレクトリとオンプレミスのActive Directoryをディレクトリ同期することで、オンプレミスのIDでAzure AD参加やワークプレース参加をセットアップすることも可能です。オンプレミスのIDでセットアップした場合でも、クラウドアプリのSSOアクセスは可能です。しかし、オンプレミスのアプリケーションやリソースにSSOアクセスするとなると、これだけではできません。

 また、「職場または学校のアカウントを追加」を利用して、オンプレミスの「Active Directoryフェデレーションサービス(AD FS)」の「デバイス登録サービス」にワークプレース参加することもできません。前回説明したように、Windows 8.1スタイルのワークプレース参加機能は、Windows 10には搭載されていません。ユーザーがセルフでワークプレース参加をセットアップできるのは、Azure ADに対してだけなのです。

オンプレミスでのWindows 10のデバイス認証にはハイブリッド環境が必要らしい

 これまで公開されているWindows 10やWindows Server 2016のドキュメントを筆者が調べた限り、デバイス認証に基づいてオンプレミスのアプリケーションやリソースのアクセス制御を行うには、次のいずれかの方法でオンプレミスのワークプレース参加およびデバイス認証の環境を展開する必要があるようです。

  • Azure ADにワークプレース参加したデバイスを、オンプレミスのActive Directoryに同期する(デバイスを書き戻す)
  • オンプレミスのAD FSのデバイス登録サービスに対して、Active Directoryドメインに参加するPCを自動でデバイス登録する

 この他にも「System Center Configuration Manager」の最新バージョンのモバイルデバイス管理(MDM)機能を用いる方法もあるようですが、それについては話が複雑になるため、今回は省略します。

 どちらも、Azure ADとオンプレミスのActive Directoryとをディレクトリ同期したハイブリッドなID環境、それもWindows Server 2016ベースのActive Directoryドメイン環境とAD FSの環境が前提になります。つまり、現行バージョンのWindows Server 2012 R2ベースのドメイン環境では、現状、これらの環境を準備することができないということです。

 既に、Windows Server 2012 R2ベースで個人のWindows 8.1デバイス向けにワークプレース参加環境を構築し、運用している場合は、個人のWindows 10デバイスを同じ方法で参加させることができないことに注意が必要です(図1)。

図1 図1 Windows 8.1およびWindows Server 2012 R2の新機能であるワークプレース参加を、オンプレミスだけで実装した環境

 Azure ADに登録されたデバイスをオンプレミスに書き戻すには、「Azure AD Premiumサブスクリプションライセンス」が必要です。また、ドメインに参加するPCの自動登録のためには、クライアントが「Windows 10 バージョン1511(November Update)」である必要があります。

 前提条件や具体的な手順については、以下のドキュメントで説明されています。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。