セイテクエンジニアのブログかつて山市良と呼ばれたおじさんのブログ vol.98　ADクライアント管理のために、Entraハイブリッド参加環境を構築（後編）｜はじめてのIntune（9）

vol.98　ADクライアント管理のために、Entraハイブリッド参加環境を構築（後編）｜はじめてのIntune（9）

2025年04月07日配信
2025年04月23日更新
執筆者：山内和朗

　この連載の「はじめてのIntune」シリーズでは、「Windows Server Update Services（WSUS）」の代替ソリューションとしてのMicrosoft Intune（以下、Intune）を評価しています。前回（vol.97）は、Microsoft Entra Connectをインストールして、オンプレミスのActive DirectoryドメインとEntraテナントを同期しました。今回は、Entraハイブリッド参加の構成です。

Microsoft Entra ConnectをEntraハイブリッド参加用に構成する

　Microsoft Entra Connectをインストールしたメンバーサーバー（またはドメインコントローラー《非推奨》）にドメイン管理者としてログオンし、デスクトップまたはスタートメニューから「Azure AD Connect」を開始します。「Microsoft Entra Connect同期」ウィザードが開くので、「Microsoft Entra Connect Syncへようこそ」のページで「構成」ボタンをクリックします（画面1）。

画面1　「Microsoft Entra Connect同期」（Azure AD Connect）ウィザードを開始し、「ようこそ」のページで「構成」ボタンをクリックする

　「追加のタスク」のページが開くので、「デバイスオプションの構成」を選択して、「次へ」をクリックします（画面2）。

画面2　Microsoft Entra Connect同期を開始し、「デバイスオプションの構成」を選択する
画面2　「デバイスオプションの構成」を選択する

　「概要」のページで「次へ」ボタンをクリックし、「Microsoft Entr IDに接続する」のページで、Entraテナントのグローバル管理者の資格情報を入力し、「次へ」ボタンをクリックしてEntraテナントにサインインします。

　「デバイスオプション」のページで「ハイブリッドMicrosoft Entra ID参加の構成」を選択し、「次へ」ボタンをクリックします（画面3）。

画面3
画面3　「ハイブリッドMicrosoft Entra ID参加の構成」を選択する

　「デバイスのオペレーティングシステム」のページで「Windows 10以降のドメインに参加しているデバイス」をチェックし、「次へ」ボタンをクリックします（画面4）。

画面4　Microsoft Entra Connect同期で「Windows 10以降のドメインに参加しているデバイス」をチェックする
画面4　「Windows 10以降のドメインに参加しているデバイス」をチェックする

　「SCPの構成」のページで、Active Directoryのフォレストを選択し、認証サービスとして「Microsoft Entra ID」を選択して、エンタープライズ管理者に、Active Directoryドメインのドメイン（エンタープライズ）管理者（Domain Adminsのメンバー）の資格う情報を追加して、「次へ」ボタンをクリックします（画面5）。

画面5　Microsoft Entra Connect同期でActive Directoryのフォレストをチェックし、認証サービス「Microsoft Entra ID」と、ドメイン管理者の資格情報を入力する
画面5　Active Directoryのフォレストをチェックし、認証サービス「Microsoft Entra ID」と、ドメイン管理者の資格情報を入力する

　「構成の準備完了」のページで「構成」ボタンをクリックします（画面6）。

画面6　Microsoft Entra Connect同期で「構成」ボタンをクリックして、Entraハイブリッド参加の環境を構成する
画面6　「構成」ボタンをクリックして、Entraハイブリッド参加の環境を構成する

Entraハイブリッド参加に必要なCNAMEレコードの登録と検証

　正常に構成されると「構成が完了しました」と表示されるのですが、「このディレクトリではディレクトリが有効になっていますが、まだ実施されていません。ディレクトリ同期の準備が整うまでお待ちください」と表示されました（画面7）。しばらく時間を置いてから、「再試行」ボタンをクリックしても状況は変わりません。

画面7　Microsoft Entra Connectの構成を完了できない

　Microsoft 365管理センター（https://admin.microsoft.com/）の「設定 > ドメイン」を開き、追加したカスタム度ドメインの状態を確認すると、“セットアップ未完了”と表示されていることに気付きました（画面8）。

画面8　Microsoft 365管理センターではカスタムドメインの状態が“セットアップ未完了”となっていた。「セットアップを続ける」をクリックして、必要な手順を確認すると...

　「セットアップを続ける」をクリックすると、Microsoftの特定のURLに対するCNAME（別名）レコード「enterpriseregistration.<カスタムドメイン名>」および「enterpriseenrollment.<カスタムドメイン名>」を、カスタムドメインをホストするDNSゾーンに登録する必要があることがわかりました（画面9）。DNSゾーンにCNAMEレコードの登録を行い、nslookupコマンドやResolve-DnsNameコマンドレット、またはMicrosoft Intune管理センター（https://intune.microsoft.com/）の「Windows > 登録 > CNAME検証」で確認した後、「続行」ボタンをクリックすると、2つのCNAMEレコードの状態が“OK”となり、カスタムドメインの状態が“正常”になりました。その後、「Microsoft Entra Connect」の構成を再実行（再試行ではなく、いったん終了して再実行）したころ、構成を完了させることができました（画面10）。

画面9　Entraハイブリッド参加サポートのために、カスタムドメインのゾーンに登録が必要な2つのCNAMEレコード

画面10　「Microsoft Entra Connect同期」を使用して「デバイスオプションの構成」を再実行すると、今度は構成が完了した

グループポリシーを使用して、ドメイン参加デバイスのIntuneへの自動登録を許可する

　Entraハイブリッド参加のためには、さらに、ドメインのグループポリシーを使用して、WindowsデバイスのIntuneへの自動登録を許可する必要があります。それには、GPO（グループポリシーオブジェクト）を作成し、「コンピューターの構成￥ポリシー￥管理用テンプレート￥Windowsコンポーネント￥MDM￥既定のAzure AD資格情報を使用して自動のMDM登録を有効にする」ポリシーを「有効」にして、使用する資格情報の種類として「ユーザー資格情報」を指定します（画面11）。このGPOを、セキュリティフィルターなどを使用して（ユーザーのグループなど）、対象のユーザーに適用します。

画面11　グループポリシーを使用して、MDM自動登録ポリシーを有効にする

　テストのために、Active Directoryのメンバーとして、それぞれWindows 10 Proバージョン22H2、Windows 11 Proバージョン23H2、Windows 11 Proバージョン24H2を実行する仮想マシン（VM）を用意しました。Entraハイブリッド参加を有効にしたあと、VMを起動して、グループポリシーを有効にした、かつIntune関連のライセンス（Enterprise Mobility＋Security E3およびWindows 10/11 Enterprise E3）を割り当てたドメインユーザーでドメインにログオンすると、各VMのエディションはEntraハイブリッド参加前と同一バージョンのEnterpriseエディションに切り替わり、「dsregcmd /status」コマンドの実行結果は、Entraハイブリッド参加の状態（AzureAdJoinedとDomainJoinedの両方がYES）であることを示していました（画面12）。なお、Enterpriseエディションへのアップグレードは、ユーザーにWindows 10/11 Enterprise E3ライセンスの割り当てがない限り行われません。

画面12　Entraハイブリッド参加有効化前（画面左）と有効化後（画面右）のエディションと参加状態の違い

　IntuneにEntraハイブリッド参加により自動登録されたWindowsデバイスは、Microsoft Intune管理センターの「デバイス > プラットフォーム別 > Windows」で確認することができます（画面13）。Intuneにデバイスが登録されれば、「Windows 10以降向け更新リング」（旧Windows Update for Business《WUfB》のIntuneによる管理）などを使用して、更新プログラムやセキュリティ設定をIntuneで管理できるようになります。

画面13　INTUNECL01はEntra参加デバイス、INTUNECL02～04の3台はEntraハイブリッド参加デバイス

Windows Hello for Businessの有効化（推奨）

　Entraハイブリッド参加では、オンプレミスのActive Directoryドメインユーザーに対して、Microsoft 365などのクラウドアプリへのシングルサインオン（SSO）、条件付きアクセスによるリソースの保護、Windows Hello for Business（MFAのセットアップと生体認証またはPINによるサインイン）を使用して認証を強化するように構成することもできます。例えば、Windows Hello for Businessを使用するには、Intune管理センターの「Windows > 登録 > Windows Hello for Business」から簡単に有効化できます（画面14、画面15）。

画面14　すべてのユーザーに対して、Windows Hello for Businessを有効化する

画面15　Windows Hello for Businessを有効にすると、MFAのセットアップのためにアカウントの確認（再サインイン）が要求され、次回サインイン時にWindows Hello for Businessのセットアップ（PINの設定）が始まる

画面15　Windows Hello for Businessを有効にすると、MFAのセットアップのためにアカウントの確認（再サインイン）が要求され、次回サインイン時にWindows Hello for Businessのセットアップ（PINの設定）が始まる。なお、MFAセットアップおよびPINによるサインインには、ユーザー名@<代替UPNサフィックス>の資格情報を使用する必要がある（ユーザー名@ADドメイン名を使用した場合、KDC証明書の検証に失敗するので注意）

はじめてのIntune（1）｜...｜（7）前編｜（8）中編｜（9）後編