連載
» 2016年01月29日 05時00分 公開

その知識、ホントに正しい? Windowsにまつわる都市伝説(50:特別編):Windows 10でしれっと削除、変更された機能 (2/5)

[山市良,テクニカルライター]

Windows 8.1の新機能「ワークプレース参加」はWindows 10にはナシに

 Windows 8.1で新機能として追加された「Workplace Join(ワークプレース参加、社内ネットワークへの参加)」は、PCをActive Directoryドメインに参加させずに、ドメインのIDにひも付けてデバイスとしてディレクトリに登録し、デバイス認証に基づいてクレームベースのアプリやサービスへのアクセスを許可する機能でした。

 この機能は、Windows Server 2012 R2の「Active Directoryフェデレーションサービス(AD FS)」のデバイス登録サービスをオンプレミスにセットアップすることで導入できましたが、その後、Azure Active Directory(Azure AD)にも実装されました。また、対応デバイスも当初のWindows 8.1とiOSだけでなく、Androidとドメインに参加済みのWindows 7にまで拡大されました。

 Azure ADでは現在、この機能を「Azure AD Join」という名称で提供し、Windows 10のAzure AD Joinを可能にしていますが、Windows 7、Windows 8.1、iOS、Androidに対しては従来のWorkplace Joinのデバイス登録とデバイス認証で対応しています。

 さて、本連載の第39回では「ネットワークアクセス保護(Network Access Protection:NAP)」のクライアント機能とともに、Workplace Join機能もまたWindows 10から削除されたのではないかと書きました。

 Windows 8.1の「PC設定」→「ネットワーク」→「社内ネットワーク」のユーザーインタフェース(UI)は、Windows 10の「設定」→「アカウント」→「職場のアクセス」のUIと非常によく似ていますが、Windows 10のデバイスをオンプレミスのAD FS環境に登録しようとしても失敗します(画面4)。

画面4 画面4 Windows 10 Pro/Enterpriseで「接続」をクリックして、ユーザーIDを指定しても、Windows 8.1と同じようにWorkplace Joinできない

 さらに、Windows 10 バージョン1511(ビルド10586)では、「設定」→「アカウント」→「職場のアクセス」のUIが変更されました(画面5)。

画面5 画面5 Windows 10 バージョン1511の変更されたUI。以前の「接続」ボタンは、「デバイス管理に登録する」のことだった。Windows 8.1の「デバイス管理をオンにする」に相当するMDM登録機能

 新しいUIは、Homeエディションを含む全てのPC向けエディションで共通しています。この新しいUIを見ると、Windows 10リリース時(ビルド10240)の「接続」ボタンは、「デバイス管理に登録する」ボタンだったことが分かります。つまり、Windows 8.1のUIのWorkplace Joinの参加設定ではなく、「デバイス管理をオンにする」の設定のことだったのです。

 Windows 10 Homeは、Active Directoryドメイン参加機能やAzure AD Join機能を搭載していませんが、Microsoft IntuneやSystem Center Configuration Managerによるモバイルデバイス管理(MDM)機能はサポートしています。Windows 10 Homeの以前のビルドでは「この機能はWindows 10 Proで利用できます」と書かれていましたが、Windows 10 バージョン1511からはHomeエディションにもMDM機能が実装されました。

 ところで、新しいUIの中央には「職場または学校アカウントを追加」という項目があります。もしかすると、こちらがWorkplace Join機能なのではないかと試してみましたが、オンプレミスのAD FS環境でデバイス登録が行われることはありませんでした。

 こちらの登録は、Azure ADのアカウント、またはAzure ADとディレクトリ統合されたオンプレミスのActive Directoryアカウントを使用した“クラウドアプリのシングルサインオン”に利用できるようです。Azure ADアカウントを追加すると、Azure AD側には「社内参加済」という状態でデバイスは登録されますが、クライアント側のイベントログ「Microsoft-Windows-Workplace Join¥Admin」には何も記録されていません。少なくとも、Windows 8.1スタイルのWorkplace Joinの機能とは違うようです。

 Windows 10をオンプレミスのAD FS環境に直接デバイス登録することはできないようですが、Azure ADにデバイス登録したものを、オンプレミスのActive Directoryとディレクトリ同期して、「デバイス書き戻し(Device Writeback)」を行うことで、オンプレミスのAD FS環境でデバイス認証を実現できるようです。詳しくは、以下の筆者の個人ブログをご覧ください。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。