この記事ではAzure ADでデバイスを管理し、デバイスに対してOffice365ライセンスを付与するにあたり関連する情報をまとめました。アカウントの種類やデバイスの管理方法が複数あり、混乱しやすいのでそれらの違いを整理しています。
ユーザ管理
まず、Windows 10にサインインすることができるアカウントの種類について説明します。アカウントには4つの種類があります。
ローカルアカウント
デバイス固有のアカウントです。デバイス内にのみアカウント情報を保有し、別のデバイスでは使用できません。
ドメインアカウント
Active Directory(以下、AD)によって管理される、組織のドメインを持ったアカウントです。組織で管理されているデバイスにサインインすることができ、ドメイン内の共有リソースにシングルサインオン(以下、SSO)することができます。
Microsoftアカウント
Microsoftの提供するオンラインサービスを利用するための個人のアカウントです。Windows 8以降ではこのアカウントを使ってデバイスにサインインすることができます。このアカウントでデバイスにサインインするとMicrosoftの各種サービスに対しSSOすることができます。
Azure ADアカウント
Microsoftの提供するクラウドサービスであるAzure ADで管理される組織のアカウントです。Windows 10以降ではこのアカウントを使って組織で管理されているデバイスにサインインすることができます。このアカウントでデバイスにサインインすると組織で契約しているMicrosoftの各種サービスに対しSSOすることができます。
これらのアカウントを簡単にまとめると以下の表のようになります。
| 個人 | 組織 | |
| オンプレミス | ローカルアカウント | ドメイン(Active Directory)アカウント |
| クラウド | Microsoftアカウント | Azure ADアカウント |
組織で管理されるドメインアカウントとAzure ADアカウントは、組織で管理されるデバイスにしかサインインすることができません。そのため、デバイスの管理方法について理解する必要があります。
デバイス管理
続いてはAzure ADでのデバイスの管理方法について説明します。Azure ADにはデバイスの運用状況に応じた3つのデバイス管理方法があります。
Azure AD Registered
Azure AD Registered(登録)は、BYODによる組織内のリソースへのアクセスを想定しています。
個人アカウントでサインインし、そのアカウントにAzure ADアカウントの認証情報を紐付けます。これにより、個人アカウントでサインインしながらも組織でライセンスを保有するサービスにSSOすることができます。
Azure AD Join
Azure AD Join(参加)はデバイスを組織の所有するデバイスとして管理します。組織内で所有するデバイスなので、組織内のユーザであれば誰でもサインインすることができます。Azure AD Joinには組織内で認証を行うマネージド環境と、外部に認証を委任するフェデレーション環境が存在します。
Hybrid Azure AD Join
Hybrid Azure AD Join(参加)はAzure AD Joinと同様にデバイスを組織の所有するデバイスとして管理します。違いは、参加するデバイスが既に組織の管理下に存在するかどうかです。すなわち、既にADに参加しているデバイスをAzure ADでも管理したい場合はHybrid Azure AD Joinとなります。ADとAzure ADの両方で管理するのでHybridと呼ばれます。
参考サイト:Azure AD 登録 と Azure AD 参加 の違い
https://jpazureid.github.io/blog/azure-active-directory/azure-ad-join-vs-azure-ad-device-registration/
これらの管理方法をまとめると以下の図のようになります。
デバイスベースライセンス
デバイスベースライセンスとは
2020年の夏ごろにMicrosoftがリリースした新しいライセンスの適用方法です。エンタープライズ向けのOffice365 のライセンスを、ユーザ単位ではなくデバイス単位で割り当てることができます。
これまで、Office365のライセンスはユーザライセンスのみが提供されていました。ユーザライセンスは一人のユーザに対してライセンスが割り当てられます。組織で共有するデバイスにライセンスを割り当てる場合、人数分のユーザライセンスを購入するか、デバイスごとに買い切りのライセンスを購入する必要がありました。
しかし、デバイスベースライセンスを利用することで、Azure ADで管理するデバイス単位で必要なだけライセンスを購入し、サービスを自由に付与することができるようになりました。
利用要件
以下はMicrosoftの提供するドキュメントです。デバイスベースライセンスの利用要件について説明されています。
- エンタープライズ向けの Microsoft 365 アプリのバージョン1907またはそれ以降。
- サポートされているバージョンの Windows 10 Semi-Annual チャネル、少なくともバージョン1803。
- Windows 10 デバイスは、 Azure Active Directory (AZURE ad) に参加しているか、 ハイブリッド azure ad に参加している必要があります。
出典:https://docs.microsoft.com/ja-jp/deployoffice/device-based-licensing
3つ目の要件より、デバイスベースライセンスを付与するデバイスはAzure AD JoinもしくはHybrid Azure AD Joinしていなければなりません。
設定手順
設定手順は以下のようになります。
- デバイスベースライセンスを利用するデバイスを(Hybrid)Azure AD Joinさせる
- Azure ADにデバイスベースライセンスを割り当てるグループを作成する
- Microsoft365管理センターでデバイスベースライセンスにグループを割り当てる
- ADのGPOまたは割り当てデバイスで Microsoft 365 Apps の利用を有効にする
- 割り当てデバイスでMicrosoftアプリケーションのセットアップインストール
2にあるようにデバイスベースライセンスはデバイスが所属するAzure ADのグループもしくはADセキュリティグループに対してのみ付与することができ、デバイス単位での付与はできません。このグループはサブスクリプションごとに1つだけ設定することができます。
これにより、設定したデバイスにサインインできるユーザであれば誰でもMicrosoft 365 Apps for enterpriseが利用できます。
まとめ
ユーザ管理
- ローカルアカウント:個人用のオンプレミスアカウント
- ドメインアカウント:組織用のオンプレミスアカウント
- Microsoftアカウント:個人用のクラウドアカウント
- Azure ADアカウント:組織用のクラウドアカウント
- ドメインアカウント、Azure ADアカウントは組織の管理するデバイスにのみサインイン可能
デバイス管理
- Azure AD Registered:個人アカウントでサインインしAzure ADアカウントの認証情報を紐付け
- Azure AD Join:AD参加していない組織管理デバイスをAzure ADに参加
- Hybrid Azure AD Join:AD参加している組織管理デバイスをAzure ADに参加
デバイスベースライセンス
- デバイスベースライセンス:デバイス単位で割り当てるOffice365 のライセンスのこと
- Azure AD JoinかHybrid Azure AD Joinが必要
以上となります。最後までお読みいただきありがとうございます。
