AAD登録、AAD参加、ハイブリッドAAD参加、Intune、条件付きアクセスの関係性

デバイスをAADに登録することとIntuneと条件付きアクセス

すごく今更な感はありますがこれらの関係性を少しまとめてみました。言葉として参加と登録ってややこしいですよね。

Azure ADへのWindows 10登録手法

Azure AD参加

  • 感覚的にはAADにマシンをドメイン参加するイメージ。
  • AADアカウントでPCにログイン。
  • オンプレミスのADドメインに参加しているとできない。
  • Azure AD参加可能ユーザーを制限するか事前にデバイス情報を登録することでBYODの参加を防げる。
  • Intuneにも自動登録される。(自動登録できる)

オンプレミスのADに参加していると選択できない方法なので既にADを使って歴史が長い会社がすぐにAAD参加に切り替えるのはハードルが高そうです。逆に既存のオンプレミスAD資産がない組織はこちらが最有力選択肢です。

Hybrid Azure AD参加

  • オンプレミスADに参加したコンピューターの情報がAADCを通してAADにも参加される。
  • 今まで通りADユーザーアカウントでPCにログインし、オンプレミスADリソースにも今まで通りにアクセス可能。
  • AADCでユーザーとコンピューター両方同期していないとならない。
  • Intuneにも自動登録される。(できる)

多分既存オンプレミスのADリソースはそのまま利用したい会社はこちらが検討の筆頭になると思います。

Azure AD登録

  • オンプレADドメインに参加しててもできる。
  • マシンの情報をAADに”登録”だけするイメージ。
  • ローカルアカウントかADアカウントでPCにログインする。
  • 条件付きアクセスでIntune Enrollmentを特定IPから以外ブロックすることである程度はBYODの登録を防げる。
  • Android, iOS
  • Intuneにも自動登録される。(できる)

スマートフォンが主たる対象ですかね。オンプレミスADに参加しているけどAADCで同期していない環境はハイブリッドAAD参加できないのでこちらを選択かな?

Intuneに登録されることのメリット

上記いずれの方法でもIntune(クラウド)にもデバイスが自動登録がされます(少し設定は要ります)。

そうすることのメリットはIntuneからデバイスの設定を管理やアプリケーションの配布などを行えることに加え、Intune管理下にあることを条件とした条件付きアクセスを設定できることです。

これが一番のメリットだと個人的には思っていて、デバイス認証の実現に不可欠になります。

条件付きアクセスに以下の項目があります。

capture of conditional access

デバイスは準拠しているとしてマーク済みである必要があります

“Require device to be marked as compliant”

これはIntuneで設定されたコンプライアンスポリシー(OSバージョン、などなど)をデバイスが満たしていることをアクセスの条件にできる項目です。

文言では分かりにくいですが、AADに登録済みのデバイスであることもこの条件を満たすのに必要です

ハイブリッドAzure AD参加済みのデバイスが必要

“Require Hybrid Azure AD joined device”

これは文字通りハイブリッドAzure AD参加している、つまりオンプレミスADに参加できているので不審なマシンでないよね?というアクセス条件の指定になります。

但し、これは裏を返すと誰でもどんな端末でも会社のネットワークに繋げばAD参加できるような組織だと、これ単体では条件として非常にセキュリティ的に弱くなってしまうので注意が必要です。

AADに登録せずにIntuneのみに登録を行うことも可能

AADに登録せずにIntuneのみにWindowsデバイスを登録することもできますが、その場合条件付きアクセスで利用できないのでデバイス認証を実装したい場合選択肢に入りませんし、非推奨みたいです。MDM用途のみ使う場合ということでしょうが大抵の場合あえてAAD登録しない理由がないですよね。

Intune enrollment methods for Windows devices – Microsoft Intune

To manage devices in Intune, devices must first be enrolled in the Intune service. Both personally owned and corporate-owned devices can be enrolled for Intune management.

MDM only enrollment lets users enroll an existing Workgroup, Active Directory, or Azure Active directory joined PC into Intune. Users enroll from Settings on the existing Windows PC. This method isn’t recommended because it doesn’t register the device into Azure Active Directory. It also prevents the use of features such as Conditional Access.

 

IntuneとSCCMのPCの共同管理

既にSCCMでWindows10の設定やアプリ配布を行っている状態で、Intuneにも登録し管理を行おうとする場合、ハイブリッドAAD参加が必須になるようです。

Co-management for Windows 10 devices – Configuration Manager

Co-management is one of the primary ways to attach your existing Configuration Manager deployment to the Microsoft 365 cloud. It helps you unlock additional cloud-powered capabilities like conditional access. Co-management enables you to concurrently manage Windows 10 devices by using both Configuration Manager and Microsoft Intune.

まとめ

条件付きアクセスでデバイス認証したいのでAADに参加なり登録なりしたいですね!ちょっとライセンスが必要ですが・・。

Translate »