Hebikuzure's Tech Memo

2018年12月18日

Windows 10 の Azure AD Registered と Azure AD Join (1)

Filed under: Windows Tips — タグ: , , , — hebikuzure @ 7:52 PM

※この投稿は Office 365 Advent Calendar 2018 の第18日目の記事です
※特に断りが無い限り、すべて Windows Pro 1803 での動作を説明/スクリーンショット掲載していますが、Windows 10 1809 でも大きな変更はありません

アカウントの種類

Windows にログオン(サインイン)するためのアカウントの種類としては、Windows Vista 以前では

  • ローカル アカウント
  • ドメイン アカウント(Active Directory ドメイン アカウント)

の2種類が利用できましたが、Windows 8 以降ではこれに加えて

  • Microsoft アカウント

が利用できるようになりました。これは Microsoft の個人向けオンライン アカウントをそのまま Windows のサインインに利用できるようにするものです。

Windows 10 ではさらに、Microsoft の企業向けオンライン アカウントを利用して Windows にサインインできる

  • Azure Active Directory アカウント(Azure AD アカウント)

も利用可能になりました。Azure Active Directory は Office 265 / Dynamics / PowerBI / Azure などの Microsoft の企業向けクラウド サービスの認証基盤として利用されているので、例えば企業向け Office 365 のユーザーであれば、Azure AD アカウントを持っている、ということになります。

アカウントの種類 アカウントの所有者 デバイス(PC)の管理
ローカル アカウント 個人 No
ドメイン アカウント 組織 Yes(グループ ポリシーなど)
Microsoft アカウント 個人 No
Azure AD アカウント 組織 Yes(MDM など)

Microsoft アカウントと AzureAD アカウントでサインインした場合、それぞれのアカウントを利用する Microsoft のオンライン サービス(OneDrive や OneDrive for Business、Outlook.com や Office 365)へのシングル サイン オン(SSO、その都度ユーザー名/パスワードを入力しなくてもアクセスできる)が可能になります。またドメイン アカウントでサインインした場合は、そのドメイン ネットワーク内のリソース(共有フォルダー、共有プリンター、オンプレミスの SharePoint など)へのシングル サイン オンが可能になります。

ただしドメイン アカウントと Azure AD アカウントでサインインするには、サインインするデバイス(PC)を、組織の Active Directory ドメインや Azure AD に「参加させる」という必要があります。そして組織の Active Directory ドメインや Azure AD に参加したデバイスは、参加したドメインや Azure AD のアカウントを持っていれば、だれでもそのデバイスにサインインできるようになります。デバイス(PC)自体も組織の所有(要するに会社で支給されている PC)であればそれは問題ないでしょうが、BYOD(Bring Your Own Device)で個人所有の PC を会社の仕事に利用する場合など、それでは困るという場合も考えられます(同じ会社の社員であれば、誰でも自分の持ち込んだ個人所有の PC にサインインできる….というのは普通イヤですね)。

Azure AD への「登録」(または Azure AD Registered)

そのようなケースに対応するため、Windows 10 では Azure AD への登録、Azure AD Registered という機能があります。Azure AD Registered では。特定のデバイスでのローカル アカウントまたは Microsoft アカウントでのサインインに、Azure AD アカウント(の資格情報)を記憶させます。これにより、Windows へのサインインはローカル アカウントまたは Microsoft アカウントを使って行っていても、Office 365 のような Azure AD アカウントが必要なクラウド サービスにシングル サイン オン(またはパスワード入力を省略したサイン オン)が行えます。また Azure Active Directory には「Azure AD アカウント + Azure AD アカウントを記憶させたデバイス情報」のセットが登録され、シングル サイン オンを可能にします。

Microsoft アカウントで Windows にサインインして Azure AD Registered すれば、Microsoft の個人向けのクラウドサービス(Outlook.com など)と企業向けのクラウド サービスの両方に SSO できます。Microsoft アカウント / Azure AD アカウントの両方が利用できるサービスの場合は、どちらでサインインするか選択する画面が表示されます(どちらを選んでもパスワードの入力は求められません)。

この機能によって、BYOD した個人所有のデバイスでも Office 365 などの Azure AD 認証のクラウドサービスの使い勝手が向上し、また結果として複雑なパスワードが使いやすくなるのでセキュリティを向上させることも可能になります。

Azure AD Registered を構成する

それでは実際に Azure AD への登録を行ってみましょう。まず管理者権限のあるローカル アカウントで操作してみます。

clip_image001[4]

[設定] – [アカウント] – [職場または学校にアクセスする] に進んで、[接続] をクリックします。

clip_image001[6]

[職場または学校アカウントのセット アップ] が表示されます。

「このデバイスをローカルの Active Directory ドメインに参加させる」を選択すると以下のようなローカルのドメイン名を指定する画面が表示され、ここから(ローカルの Active Directory ドメイン ユーザーの資格情報を使って)デバイスをドメインに参加させることができます。

clip_image001[10]

また「このデバイスを Azure Active Directory に参加させる」を選択すると次の画面に切り替わります。ここで Azure AD アカウントでサインインすると、「登録」ではなく「参加」で Azure AD と接続できます(詳細は明日の記事にて)。

clip_image002

「職場または学校アカウントのセットアップ」で電子メールアドレス(AAD ユーザー アカウント)を入力して [次へ] をクリックすると、パスワードが求められます。

clip_image001[14]

パスワードを正しく入力すると、登録中の画面がしばらく表示され、

clip_image001[16]

登録が完了します。

clip_image001[18]

[職場または学校にアクセスする] に登録した Azure AD アカウントが表示されていることを確認できます。

clip_image001[20]

先にも書いたように Azure AD Registered は今のサインイン アカウントに Azure AD アカウント情報を追加するだけですので、Azure AD アカウントを使った Windows へのサインインができるようになるわけではありません。実際に一度サインアウトして Windows のサインイン画面を確認しても、登録前と変化がありません。

clip_image001[22]

今までと同じローカル アカウントでサインインして、Edge を使って Office 365(OWA)を開いてみると、ユーザー名やパスワードの入力無しに、アプリケーションが表示されます。

clip_image001[24]

また OneNote アプリを起動すると、Azure AD アカウント(の OneDrive)にサインインして開始できるよう構成されていることが分かります。

clip_image001[26]

Azure Active Directory 管理センター(https://aad.portal.azure.com/)にアクセスすると、[名前] 欄に登録したデバイス(PC)名、[所有者] 欄に登録された Azure AD ユーザー名が表示され、[結合の種類] が Azure AD registered になっていることを確認できます。

image

Azure AD registered したアカウントで別の Azure AD アカウントを利用する

このように Azure AD registered することで特定の Azure AD アカウントでの SSO が可能になるのですが、何らかの理由で Azure AD registered したアカウントとは異なる Azure AD アカウントで Office 365 などのサービスを利用したい場合も考えられます。例えば学校の Office 365 アカウントを普段利用していて、アルバイトやインターンシップで働く企業からも Office 365 アカウントを提供され、そちらを利用したい場合などです。

そのようなときは、SSO で表示されたサービスのページからいったんサインアウトします。

clip_image001[28]

しばらくすると、サインアウトが完了したというメッセージが表示されます。

clip_image001[30]

その状態でサインアウトしたサービスに再度アクセスすると(ここでは OWA を開きなおしています)

clip_image001[32]

アカウントの選択画面が表示されます。登録したアカウントは「Windows に接続済み」と表示されています。

clip_image001[34]

「別のアカウントを使用する」を選択すると、通常のサインイン画面が表示されますので、利用したい Office 365(Azure AD)アカウントでサインインします。

clip_image002[4]

別のアカウントでサインインすれば、ちゃんとそのアカウントで O365 が利用できるようになっています。

image

同じデバイスで別のアカウントを登録する

Azure AD アカウントの登録は、1つのサインインアカウントに対して1つしかできません。すでに Azure AD アカウントが登録されているサインイン アカウントで別の Azure AD アカウントを登録しようとすると、次のようなエラーになります。

image

同じデバイスで、別の Azure AD アカウントを登録して利用したい場合は、Windows へのサインイン アカウントを別のものにします。別のサインイン アカウントで同じデバイスにサインインします。今度は管理者権限のある Microsoft アカウントです(区別しやすくするために表示言語を英語にしています)。

clip_image001

このユーザーではまだ Azure AD アカウントの登録(Azure AD registered)はされていません。

clip_image001[5]

このユーザー アカウントで、先に登録済みのアカウントとは別の Azure AD アカウントを登録してみます。

clip_image001[7]

問題なく登録ができ、Azure AD registered の状態になりました。

clip_image002[1]

Office 365(OWA)にシングル サイン オンできます。

image

Azure Active Directory 管理センター(https://aad.portal.azure.com/)で確認すると、先ほどと同じデバイス名ですが、異なる Azure AD に別の所有者で登録されたことが分かります。

clip_image004

管理者権限のないユーザーの場合

管理者権限のないユーザーでも Azure AD アカウントを登録できます。

clip_image001[9]

登録の手順は今までと同じです。

clip_image002[3]

Azure Active Directory 管理センター(https://aad.portal.azure.com/)で確認すると、「所有者」が異なるデバイスとして、同じ名前のデバイスが登録されていることがわかります。

image

このように、Azure AD アカウントの登録(Azure AD registered)はユーザー単位の設定で、管理者現減の有無にかかわらず可能であることが確認できました。

注意事項

Azure AD アカウントを登録して Azure AD registered にすると、

clip_image00116

このスクリーンショットの画面で表示されているように、Azure AD の管理者が構成しているポリシーが適用されます。これは会社アカウントで保護されているデーターやサービスへのアクセスが不正に利用されないよう、管理者が適切なセキュリティを保てるようにするためです。どのようなポリシーが適用されるかは登録するアカウントが所属する Azure AD によって異なりますので、事前に確認が必要であれば会社(学校)の管理者に相談されると良いでしょう。

また Microsoft アカウントで Windows にサインインしている場合は [設定] – [アカウント] – [設定の同期] で Windows の設定や記憶させているパスワードなどの情報を同じ Microsoft アカウントでサインインする別のデバイスと同期できますが、Azure AD registered にするとこの同期機能が無効化されます。

image

これは上記と同様、会社アカウントで保護されているデーターなどが意図せず(Azure AD registered されていない)別のデバイスに同期されることを防ぐためです。

この現象については「Windows 10「お使いのアカウントでは同期できません」 「Windows 10「お使いのアカウントでは同期できません」のその後 」でも解説しています。


Windows 10 で Azure AD アカウントを利用するもう一つの方法である「Azure AD への参加」(Azure AD join)については、この次の記事で解説していきます。

広告

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。