かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.96 ADクライアント管理のために、Entraハイブリッド参加環境を構築(前編)|はじめてのIntune(7)

 

 

vol.96 ADクライアント管理のために、Entraハイブリッド参加環境を構築(前編)|はじめてのIntune(7)

2025年03月31日配信
2025年04月23日更新
執筆者:山内 和朗

 この連載の「はじめてのIntune」シリーズでは、「Windows Server Update Services(WSUS)」の代替ソリューションとしてのMicrosoft Intune(以下、Intune)を評価しています。今回は、オンプレミスのActive Directory(AD)ドメイン参加デバイス(ADクライアント)をIntuneで管理できるように、Active DirectoryドメインをEntraテナントに接続し、アカウント情報(ユーザー、グループ、デバイス)を同期する環境を構築します。

 

オンプレのドメイン参加デバイスをIntuneで管理するには、Entraハイブリッド参加が必要

 

 多くの企業や組織ではこれまで、オンプレミスのActive Directoryドメインに参加するWindowsデバイスの更新プログラムを管理するために、WSUSを利用してきました。しかし、WSUSはWindows Server 2025において開発終了(非推奨)扱いとなり、すぐに使用できなくなるわけではありませんが、今後、積極的な開発は行われなくなります。そこで、この連載のシリーズでは、このWSUSをIntuneに置き換えることを想定して検証を行っています。クライアントは、製品ライフサイクルのサポート期間中のWindows 10およびWindows 11を前提としています。

 

 Active Directoryドメインに参加していないデバイスは、Entra参加によってIntuneの管理下に置くことができます。しかし、ドメイン参加デバイスは、そのままではIntuneを使用して管理することはできません。ドメイン参加デバイスをIntuneで管理できるようにするには、「Entraハイブリッド参加(Entra Hybrid Join、旧称、Hybrid Azure AD Join)」によってIntuneに接続(登録)される必要があります。そして、Entraハイブリッド参加のためには、「Microsoft Entra Connect」(旧称、Azure AD Connect)*1を使用して、オンプレミスのActive DirectoryドメインをEntraテナントに接続し、ディレクトリ同期を行う必要があります。それには、Entra ID P1以上のライセンスが必要です(Entra ID P1は、この連載で使用しているEnterprise Mobility + Security E3に含まれます)。

*1 現在、オンプレミスのActive DirectoryドメインとEntraテナント間のディレクトリ同期には、以前からあるMicrosoft Entra Connectとは別に、「クラウド同期」という方法もあります。しかし、Entraハイブリッド参加のためには、デバイスオブジェクトのサポートを含むMicrosoft Entra Connectによる同期が必要です。
Microsoft Entra Connect とクラウド同期の比較|Microsoft Entra(Microsoft Learn)

 

Entraテナントにカスタムドメイン名を追加、検証する

 

 オンプレミスのActive DirectoryドメインをEntraテナントに接続、同期するためには、Active DirectoryのDNSドメイン名をEntraテナントの「カスタムドメイン」として追加し、その有効性をEntraテナント側からDNSによって(TXTまたはMXレコードによって)確認される必要があります。

 それには、Microsoft Entra管理センターの「設定 > ドメイン名」を開き、「+カスタムドメインの追加」をクリックして、「カスタムドメイン名」にインターネットで有効なDNSドメイン名を入力し、「ドメインを追加する」ボタンをクリックします(画面1)。カスタムドメイン名を追加すると、Entraがそのドメイン名の有効性を確認するのに使用するTXTレコード(またはMXレコード)が示されるので、そのレコードをカスタムドメインを管理するDNSドメインのゾーンに登録し、インターネット上で検索できるようにします(画面2)。つまり、カスタムドメインは自社で管理(DNSサーバーを運用)するか、自社で管理できるDNSサービスを利用する必要があります。

 

画面1 Entraテナントにカスタムドメイン名を追加する
画面1 Entraテナントにカスタムドメイン名を追加する

 

画面2 Entraのサービスがカスタムドメイン名の有効性の確認に使用するTXT(またはMX)レコード情報が示されるので、このレコードを管理するDNSドメインのゾーンに追加する
画面2 Entraのサービスがカスタムドメイン名の有効性の確認に使用するTXT(またはMX)レコード情報が示されるので、このレコードを管理するDNSドメインのゾーンに追加する

 DNSに追加したTXTレコードを検証するには、Resolve-DnsNameコマンドレットまたはnslookupコマンドを次のように実行します(画面3)。

 

Resolve-DnsName -Type TXT <ドメイン名>
nslookup -type=TXT <ドメイン名>

 

画面3 TXTレコードを管理するDNSドメインに追加したら、検索できることを確認する
画面3 TXTレコードを管理するDNSドメインに追加したら、検索できることを確認する

 Entra側からドメイン名の有効性が確認されると、Microsoft Entra管理センターに「ドメイン名の確認」の通知が表示され、カスタムドメイン名の状態が「確認済み」になります(画面4)。

 

画面4 TXTレコードがEntra側のサービスによって確認されると、カスタムドメイン名の状態が「確認済み」になる
画面4 TXTレコードがEntra側のサービスによって確認されると、カスタムドメイン名の状態が「確認済み」になる

 

Actice Directoryドメインに代替UPNサフィックスを追加する

 

 Entraテナントとの同期のためには、Active Directoryのドメイン名(UPNサフィックス)と、Entraテナントのカスタムドメイン名を一致させる必要があります。しかし、インターネットで有効なDNSドメイン名を、Active DirectoryドメインのDNSドメイン名にそのまま使用している企業や組織は少ないでしょう。インターネットと区別するために(隠すために)、DNSドメインのサブドメインを作成して使用することもあれば、レジストラーから取得せずに勝手にそれらしいDNSドメイン名を使用していることもあるでしょう。検証環境では、「.localhost」や「.test」、「example.com」といった(インターネットに公開できない)予約済みドメイン名(RFC 2606 Reserved Top Level DNS Names)を使用しているかもしれません。今回、構築しようとしているオンプレミス側の環境には、「mylab2025.test」というDNSドメイン名を使用しています。

 

 Active Directoryで使用しているDNSドメイン名が何であれ、Active Directoryドメインには複数の「代替UPNサフィックス」を設定することができます。代替UPNサフィックスを追加すると、そのUPNサフィックスを使用(ユーザー名@代替UPNサフィックス)した認証(ドメインコントローラーへのログオンなど)が可能になります。また、Entraテナントとの接続、同期にも使用できます。

 

 Active Directoryドメインに代替UPNサフィックスを追加するには、「Active Directoryドメインと信頼関係」を開き、ルートノードを右クリックして「プロパティ」を選択して開きます。代替UPNサフィックス(代わりのUPNサフィックス)は、ここで設定することができます(画面5)。代替UPNサフィックスの設定はこれだけです。ドメインコントローラーで代替UPNサフィックスによる認証をサポートするだけなら、代替UPNサフィックスの内部ネットワーク上での名前解決は必要ありません。

 

画面5 Active Directoryドメインの代替UPNサフィックスとして、インターネットで有効なDNSドメイン名を設定する
画面5 Active Directoryドメインの代替UPNサフィックスとして、インターネットで有効なDNSドメイン名を設定する

 

 代替UPNサフィックスを追加したら、同期したいユーザーのUPNサフィックスを代替UPNサフィックスに変更します。それには、「Active Directoryユーザーとコンピューター」を使用して、1または複数ユーザーのプロパティを開き、「アカウント」タブでUPNサフィックスを選択します(画面6)。なお、この作業は省略可能です。この作業を行わなくても、ビルトインユーザーとビルトイングループ以外のユーザーとグループがEntraテナントに同期されます。

 

画面6 同期したいユーザーのUPNサフィックスを代替UPNサフィックスに更新する
画面6 同期したいユーザーのUPNサフィックスを代替UPNサフィックスに更新する

 多数のユーザーのUPNサフィックスを一括で変更するには、PowerShellのGet-ADUserおよびSet-ADUserコマンドレットを使用してください。具体的な方法は、以下のドキュメントで説明されています。

ディレクトリ同期用にルーティング不可能なドメインを準備する > すべてのユーザーの UPN サフィックスを変更するために PowerShell を使用する|Microsoft 365(Microsoft Learn)

 次回は、この代替UPNサフィックスを使用して、オンプレミスのActive DirectoryドメインとEntraテナントの同期を行います(図1)。

 

図1 ディレクトリ同期のための、Active Directoryドメイン名、代替UPNサフィックス、Entraテナントのドメイン名、カスタムドメイン名の関係
図1 ディレクトリ同期のための、Active Directoryドメイン名、代替UPNサフィックス、Entraテナントのドメイン名、カスタムドメイン名の関係(実際には、mylab.say-tech.co.jpには別のDNSドメイン名を使用)

 

 なお、カスタムドメインおよび代替UPNサフィックス用に、レジストラーからDNSドメイン名を取得していない、DNSレコードを登録する権限がない、あるいは検証目的のためには、無料で独自のサブドメイン名やドメイン名を取得し、管理することができるDNSサービスを利用することもできます。ディレクトリ同期のためには、ドメイン名に対応するTXTレコード*2が検索できればよいだけなので、アドレス(A、AAAA)レコードの登録はまったく必要ありません。これは無料のサービスを利用する、しないに関係なく、セキュリティ上重要なことです。

 

*2 Entraハイブリッド参加のためには、さらに2つのCNAMEレコード(参照先はmicrosoft.comおよびwindows.netのホスト)が必要です。CNAMEレコードについては、次回説明します。

はじめてのIntune(1)|...|(7)前編(8)中編(9)後編

 

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_ws2025

戻る  
  次へ

最新記事