こんにちは。サイオステクノロジ-の小川です。今回はマネージドドメインのHybrid Azure AD Joinの動作検証の第2回になります。第2回はダウンレベルデバイス末のHybrid Azure AD Joinの設定手順を紹介します。デバイスはwindows 8.1で検証しております。
本検証は、以下の2点の動作確認を行うことを目的としています。
- オンプレADに登録しているダウンレベルデバイスでデスクトップSSOを行えることを確認する
- 弊社開発モジュールのSIOS Authn Module for Azure ADでAzure AD認証時にデスクトップSSOが行えることを確認する
前回の記事は以下になります。
マネージドドメインHybrid Azure AD Joinを構成して動作検証をしてみた[1/2]
構成
検証した環境は以下になります。ADとAADCはwindows server 2019で構築しています
ダウンレベルのクライアント端末をHybrid Azure AD Joinする設定は以下の手順で設定をする必要があります。
1, シームレスSSOの構成
2, Hybrid Azure AD Joinダウンレベルデバイスの構成
3, クライアント端末のHybrid Azure AD Joinの設定
1, シームレスSSOの構成
シームレスSSOの構成をします。Azure AD Connectを開き、追加のタスクから「ユーザーサインインの変更」を選択します。
ユーザーサインインで「シングルサインオンを有効にする」にチェックを入れ「次へ」をクリックします。
シングルサインオンの有効化で対象のフォレストの資格情報を入力します。
構成をクリックします。
構成が完了したら終了をクリックします。
次にGPOかIEのイントラネットで、シームレスSSOの機能を有効にするためにユーザーのイントラネットゾーン設定に、Hybrid Azure AD Joinにて設定した上位3つに加えて、4つ目のAzure AD URLを追加します。
https://enterpriseregistration.windows.net
https://login.microsoftonline.com
https://device.login.microsoftonline.com
https://autologon.microsoftazuread-sso.com
GPOのイントラネットのゾーン ポリシー設定[スクリプトを介したステータス バーの更新を許可する] を有効にします。
2, Hybrid Azure AD Joinダウンレベルデバイスの構成
Azure AD Connectを開き、構成を選択します。追加のタスクで「デバイスオプションの構成」を選択し、「次へ」をクリックします。
概要が表示されるので、「次へ」をクリックします。
Azure ADに接続でAzure ADのグローバル管理者権限を持つアカウントの資格情報を入力し、「次へ」をクリックします。
デバイスオプションで「Hybrid Azure AD Joinの構成」を選択し「次へ」をクリックします。
「サポートされているWindowsダウンレベルドメインに参加しているデバイス」にチェックを入れて「次へ」をクリックします。
SCPの構成をします。対象のフォレストにチェックを入れます。認証サービスを選択します。マネージドドメインの構成なので「Azure Active Directory」を選択します。
「追加」を選択して、エンタープライズ管理者の資格情報を入力します。設定したら「次へ」をクリックします。
構成準備が完了画面で「構成」をクリックし、構成が完了したら終了します。
3, クライアント端末のHybrid Azure AD Joinの設定
ダウンレベルのWindows端末で以下URLにアクセスし、Microsoft Workplace Join for non-Windows 10 computersをダウンロードします。
https://www.microsoft.com/en-us/download/details.aspx?id=53554
ダウンロードが完了したらインストーラをクリックします。ウィザードが開くので、指示に従ってインストールします。
同意にチェックを入れ「install」を選択します。資格情報の入力を求められるので管理者アカウントの資格情報を入力します。
インストールが完了したら、終了をクリックします。
インストールが完了すると、タスクスケジューラにAutomatic-Workplace-Joinという名のタスクが作成されます。 このタスクは、ユーザーが Windows にサインインするとトリガーされます。 このタスクでは、デバイスは Azure AD で認証が行われた後、そのユーザー資格情報を使用してサイレントに Azure ADに参加します。
ダウンレベルwindows端末ではAzure AD Connectでコンピュータアカウントが同期されるプロセスはありません。実行ファイルは「%ProgramFiles%\Microsoft Workplace Join\AutoWorkplace.exe /join」。
トリガーは任意のユーザーのログオン時になります。
ダウンレベルwindows端末にドメインユーザーでログインして、Hybrid Azure AD Joinしているか確認します。
ドメインユーザーでログインした端末にてコマンドプロンプトを開き、以下を入力し実行するとウィンドウが表示されHybrid Azure AD Joinの確認ができます。
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
Azure ADにデバイスが参加していることをAzure portalで確認します。
動作確認(window 8.1)
Hybrid Azure AD Joinのダウンレベルのwindows8.1の端末でデスクトップSSOの動作確認の結果を以下に記載します。条件付きアクセスの設定については第1回の記事を参照下さい。
FirefoxでデスクトップSSOを有効にするには、設定に Azure AD の URL を手動で追加する必要があります。
- Firefox を実行し、アドレス バーに「about:config」と入力します。
- 検索バーでnetwork.negotiate-auth.trusted-urisを入力し、 Firefox の信頼済みサイトを一覧表示します。
- フィールドに「 https://autologon.microsoftazuread-sso.com/ 」を入力します。
- チェックマークをクリックし、再度ブラウザを開きます。
Shibboleth SPはページのURLにアクセスします。Outlookはドメインを指定して、テナントの識別ができるように以下のURLでアクセスします。
Outlook:https://outlook.office365.com/owa/<ドメイン名>
動作確認結果は以下になります。
- Hybrid Azure AD Join + sSSO + 条件付きアクセス”オフ”
| ブラウザ- | アクセス可否 |
| IE | 可能 |
| Edge | 可能 |
| chrome | 可能 |
| Firefox | 可能 |
- Hybrid Azure AD Join + sSSO + 条件付きアクセス”オン”
| ブラウザ- | アクセス可否 |
| IE | 可能 |
| Edge | 可能(証明書選択タブが表示される 以下参照) |
| chrome | 可能(証明書選択タブが表示される 以下参照) |
| Firefox | 不可 |
まとめ
ダウンレベルのwindows端末ではHybrid Azure AD Joinの構成でシームレスSSOの設定を行う必要があります。これらの設定を行い、各ブラウザーでの動作確認ではデスクトップSSOが有効であることを確認することができました。
条件付きアクセスを有効にすると、windows10端末と同様にFirefoxではアクセス拒否され、ログインできませんでした。またEdgeとchromeではID/パスワードは聞かれませんでしたが、証明書選択タブが表示されました。
Hybrid Azure AD Joinしていない端末については、第1回の結果と同様に条件付きアクセスのポリシーを有効にするとアクセスできないことを確認できました。
SIOS Authn Module for Azure ADのAzure AD認証もOffice365認証と同様の動作をすることを確認できました。
