こんにちは。サイオステクノロジ-の小川です。今回はマネージドドメインのHybrid Azure AD Joinの動作検証をしたので、設定手順から動作検証までを第2回にわたって紹介したいと思います。第1回は最新デバイスwindows10の端末のHybrid Azure AD Joinの設定手順を紹介します。
第2回はこちら:マネージドドメインHybrid Azure AD Joinを構成して動作検証をしてみた[2/2]
本検証は、以下の2点の動作確認を行うことを目的としています。
- オンプレADに登録しているデバイスでデスクトップSSOを行えることを確認する
- 弊社開発モジュールのSIOS Authn Module for Azure ADでAzure AD認証時にデスクトップSSOが行えることを確認する
構成
検証した環境は以下になります。ADとAADCはwindows server 2019で構築しています。
構築手順は以下になります。
1, Azure AD Connectの構築
2, Hybrid Azure AD Joinの構成
3, クライアント端末のHybrid Azure AD Joinの確認
4, デスクトップSSOの設定
1, Azure AD Connectの構築
AADCはパスワードハッシュ同期を構成しています。
同期対象のOUはドメインユーザを含むOUとコンピュータアカウントを含むOU(computer)を指定します。
設定手順については省略します。
2, Hybrid Azure AD Joinの構成
Azure AD Connectを開き、構成を選択します。追加のタスクで「デバイスオプションの構成」を選択し、「次へ」をクリックします。
概要が表示されるので、「次へ」をクリックします。
Azure ADに接続でAzure ADのグローバル管理者権限を持つアカウントの資格情報を入力し、「次へ」をクリックします。
デバイスオプションで「Hybrid Azure AD Joinの構成」を選択し「次へ」をクリックします。
「Windows10または最新のドメイン参加デバイス」を選択し「次へ」をクリックします。
SCPの構成をします。対象のフォレストにチェックを入れます。認証サービスを選択します。マネージドドメインの構成なので「Azure Active Directory」を選択します。
「追加」を選択して、エンタープライズ管理者の資格情報を入力します。設定したら「次へ」をクリックします。
フェデレーションの構成画面が表示されるので「次へ」をクリックします。
構成の準備完了で「構成」をクリックします。
構成が完了したら、「終了」をクリックします。
AADCでのHybrid Azure AD Joinの設定は完了です。
タスク「Automatic-Device-Join」が実行されるとcomputerアカウントにuserCertificate属性に証明書を付与されます。
トリガーは任意のユーザーがログインしたとき、または「User-Device-Registration」ログに「イベント ID 4096」 が記録されたタイミングでタスクが実行されます。
3, クライアント端末のHybrid Azure AD Joinの確認
Hybrid Azure AD Joinは端末のuserCertificate属性に証明書が登録され、AADCで同期されるとHybrid Azure AD参加されます。
既にドメイン参加している端末
Azure AD Connect もしくはレジストリでSCPを構成済みの環境で、
- ユーザーがログインした
- 「User-Device-Registration」ログに「イベント ID 4096」 が記録された
どちらかの操作が行われるとAutomatic-Device-Joinのトリガーが起動し、userCertificate属性に証明書が設定されます。
SCPを構成後のドメイン参加済みクライアント端末の属性情報をADのコンピュータアカウントのプロパティで確認します。
userCertificate属性には何も設定されていません。
証明書登録後のプロパティにはuserCertificate属性に証明書が設定されます。
Azure AD Connectで同期します。Hybrid Azure AD Joinはクライアント端末にuserCertificate属性に証明書がセットされるとAzure AD Connectの同期対象になり、次回同期時に同期されます。
Windows10端末上のコマンド プロンプトで コマンドを実行して、Hybrid Azure AD Joinの状態を確認します。AzureAdJoinedがYesになっていることを確認します。
新規にドメイン参加する端末
ドメイン参加した時点でuserCertificate属性に証明書がセットされます。
次回Azure AD Connectの同期実行時にドメイン参加したコンピュータアカウントが同期対象になり同期されます。
Windows10端末上のコマンド プロンプトで dsregcmd/statusコマンドを実行して、Hybrid Azure AD Joinの状態を確認します。AzureAdJoinedがYesになっていることを確認します。
デバイスの登録確認
デバイスの情報がAzure ADに登録されたことを確認するにはPowerShellあるいはAzure Portalから確認します。
Powershellで確認するにはGet-MsolDevice -deviceId <DeviceId> を実行します。EnabledがTrueになっていることを確認します。
Azure Portalで確認する場合、管理者でログインして[Azure Active Directory] > [デバイス]でAzure ADに参加しているデバイスが確認できます。対象のデバイスを選択すると、詳細を確認することができます。
4, デスクトップSSOの設定
ハイブリッドAzure AD参加では、デバイスが組織のネットワーク内から次のMicrosoftリソースにアクセスできる必要があります。GPOかIEのイントラネットで以下のURLを設定します。
https://enterpriseregistration.windows.net
https://login.microsoftonline.com
https://device.login.microsoftonline.com
Chromeのポリシーの設定をします。
ChromeでデスクトップSSOを有効にするには拡張機能のWindows10 Accountsを設定する必要があります。
設定が完了するとGoogle ChromeブラウザーにWindows10 Accountsのアイコンが表示されます。
条件付きアクセスの設定
Azureの条件付きアクセスを利用することで、Hybrid Azure AD Join端末からのみアクセスを有効にする設定をおこなうことができます。本項ではその設定をします。
Azure Portalにアクセスし、Azure Active Directoryの条件付きアクセスを選択します。新しいポリシーを作成してポリシー名を入力して以下の設定をします。ユーザーとグループで対象のユーザーを選択します。
次にクラウドアプリまたは操作でアクセス制御の対象のアプリケーションを選択します。今回検証として設定するのはoutlookと弊社モジュールのSIOS Authn Moduleのアプリケーションを設定しています。SIOS Authn ModuleはShibboleth IdPの認証をAzure ADと認証連携をするモジュールになります。
アクセス制御の「許可」で「アクセス権の付与」、「ハイブリッドAzure AD参加済みのデバイスが必要」にチェックを入れます。
条件付きアクセスのポリシーはポリシーの有効化のオン・オフで切り替えることができます。
動作確認(Window10 クライアント)
Hybrid Azure AD Join端末での”デスクトップSSO”の動作確認結果を以下に記載します。
Shibboleth SPはページのURLにアクセスします。Outlookはドメインを指定して、テナントの識別ができるように以下のURLでアクセスします。
Outlook:https://outlook.office365.com/owa/<ドメイン名>
動作確認結果は以下になります。
- Hybrid Azure AD Join + 条件付きアクセス”オフ”
ブラウザ | アクセス可否 |
IE | 可能 |
Edge | 可能 |
Chrome | 可能 |
Firefox | 可能(但しデスクトップSSOではない) |
- Hybrid Azure AD Join + シームレスSSO(第2回で設定方法紹介) + 条件付きアクセス”オフ”
ブラウザ | アクセス可否 |
IE | 可能 |
Edge | 可能 |
Chrome | 可能 |
Firefox | 可能 |
- Hybrid Azure AD Join + シームレスSSO + 条件付きアクセス”オン”
ブラウザ | アクセス可否 |
IE | 可能 |
Edge | 可能 |
Chrome | 可能 |
Firefox | 不可(以下Firefoxのアクセス拒否画面参照) |
- Hybrid Azure AD Joinしていない端末 + 条件付きアクセス”オフ”
ブラウザ | アクセス可否 |
IE | 可能(但しデスクトップSSOではない) |
Edge | 可能(但しデスクトップSSOではない) |
Chrome | 可能(但しデスクトップSSOではない) |
Firefox | 可能(但しデスクトップSSOではない) |
- Hybrid Azure AD Joinしていない端末 + 条件付きアクセス”オン”
ブラウザ | アクセス可否 |
IE | 不可 |
Edge | 不可 |
Chrome | 不可 |
Firefox | 不可 |
Hybrid Azure AD Joinしていない端末でのアクセス拒否画面
Firefoxのアクセス拒否画面
まとめ
今回はWindow10端末でHybrid Azure AD Joinの検証を行いましたが、Firefoxで他のブラウザを同様の動作をしないことが分かりました。第2回でダウンレベルデバイスでの動作検証をしますが、その中の設定でAzure AD ConnectのシームレスSSOの設定を行うと、FirefoxでもデスクトップSSOが行えることを確認できました。しかし、条件付きアクセスポリシーをオンにした際はFirefoxは上記結果のようにアクセスが拒否されました。
これはFireFox がデバイス情報を Azure AD に送ることができないため、アクセスの許可で 「ハイブリッド Azure AD 参加済みのデバイスが必要」 を選択したポリシーでアクセスがブロックされることは想定の動作になります。
Hybrid Azure AD Joinしていない端末では資格情報の入力を求められます。その後、条件付きアクセスで「Hybrid Azure AD Join端末からのみアクセスを有効にする設定」のポリシーを有効にした場合、Hybrid Azure AD Joinしていない端末からのアクセスを拒否することを確認できました。「Hybrid Azure AD Join端末からのみアクセスを有効にする設定」を行っていない場合はアクセスできることを確認しました。
SIOS Authn Module for Azure ADのAzure AD認証もOffice365認証と同様の動作をすることを確認できました。
第2回はダウンレベルデバイスでのHybrid Azure AD Joinの動作検証について、書きたいと思います。