共同管理にMicrosoft Entra IDを使用する
クラウドでは、ID が新しいコントロール プレーンです。 Microsoft Entra IDを使用すると、クラウド環境とオンプレミス環境の両方でユーザー、デバイス、アプリケーションをリンクできます。 デバイスをMicrosoft Entra IDに登録すると、ユーザーの生産性とリソースのセキュリティを向上させることができます。 Microsoft Entra IDにデバイスを持つことは、共同管理とデバイス ベースの条件付きアクセスの両方の基盤です。
デバイス ベースの条件付きアクセスの詳細については、「 方法: 条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する」を参照してください。
次のビデオでは、シニア プログラム マネージャーの Sandeep Deo と製品マーケティング マネージャーの Adam Harbour が、共同管理のMicrosoft Entra IDについて話し合い、デモを行います。
Microsoft Entra IDには、organizationのニーズに合わせて会社所有のデバイスに次の 2 つのオプションが用意されています。
Microsoft Entra参加済みデバイス: Windows 10以降のデバイスを参加させて、オンプレミスの Active Directoryに参加させることなくMicrosoft Entra IDします。
Windows 10以降をサポート
オンプレミス環境に追加の構成を必要とせずに設定する
Microsoft Entra IDでいくつかの設定を有効にすると、ユーザーが Windows セットアップ エクスペリエンス (OOBE) を使用してデバイスに参加してMicrosoft Entra IDできるようになります
詳細については、「方法: Microsoft Entra参加の実装を計画する」を参照してください。
ハイブリッド参加済みデバイスのMicrosoft Entra: 既存のドメイン参加済みデバイスを Azure A に参加させる
Windows 10以降、またはWindows 8.1をサポートします
AD FS 要求または Microsoft Entra Connect を使用してセットアップする
Windows 10以降の場合、参加はマシン コンテキストで行われるため、ユーザーは追加の手順を実行する必要はありません
詳細については、「Microsoft Entra ハイブリッド結合の実装を計画する方法」を参照してください。
どちらのオプションも、ユーザーに似た機能を提供します。 ニーズに応じて、どちらを選択しても柔軟です。 たとえば、Active Directory に参加していない場合でも、Microsoft Entra参加済みマシンからオンプレミス リソースにアクセスできます。
認証方法に関係なく、さまざまな環境でデバイスをMicrosoft Entra IDに参加させることができます。 たとえば、フェデレーション認証やクラウド認証などです。
既にオンプレミスの Active Directoryがある場合は、どちらのオプションも簡単に設定できます。
利点
デバイスをMicrosoft Entra IDに参加させるには、organizationに次の利点があります。
クラウド リソースへのシングル サインオン
Microsoft Entra IDに参加しているデバイスでは、クラウドまたはオンプレミスのリソースにアクセスする統合エクスペリエンスが得られます。 Microsoft Entra IDに参加している Windows マシンにサインインすると、追加のサインイン プロンプトなしですべてのアプリケーションにシングル サインオンします。
Windows Hello for Business
Windows Hello for Businessは、強力なパスワードレス認証を Windows に提供します。 デバイスをMicrosoft Entra IDに参加させることで、クラウドとオンプレミスの両方のリソースに対してユーザー ベース全体でWindows Hello for Businessを有効にすることができます。 Windows Hello for Businessは、複雑なパスワードを記憶したり、誤って公開したりする問題を排除します。 サインイン プロセスはシンプルで安全です。
詳しくは、「Windows Hello for Business」をご覧ください。
デバイスベースの条件付きアクセス
デバイスの状態に基づいて条件付きアクセスを有効にして、organizationのデータをより適切に保護します。 デバイス ベースの条件付きアクセスには、マネージド デバイスが必要です。 このデバイスは、準拠しているデバイスまたはMicrosoft Entraハイブリッド参加済みデバイスである必要があります。 Microsoft Entra参加済みデバイスの場合は、デバイスを準拠としてマークするIntuneが必要です。 ただし、ハイブリッド参加済みデバイスMicrosoft Entraでは、デバイスの状態自体を使用して条件付きアクセスを評価します。 共同管理では、ハイブリッド参加済みデバイスのIntuneを通じてコンプライアンスを評価Microsoft Entra追加の利点が得られます。 この機能により、デバイスの構成はそのままになります。
デバイス ベースの条件付きアクセスの詳細については、「 方法: 条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する」を参照してください。
自動デバイス ライセンス
Microsoft Entraに参加しているすべての Windows デバイスは、ライセンス チェックを通過します。 これらのチェックを使用すると、Microsoft クラウドを介して Pro から Enterprise に自動的にアップグレードできます。 ユーザーから関連するサブスクリプションを削除すると、デバイスはそのライセンスを自動的にダウングレードします。 この機能は、複雑なプロセスやオンプレミス システムを使用せずに、Windows ライセンスを管理するための単一のコントロール ウィンドウを提供します。
セルフサービス機能
セルフサービス機能には、セルフサービス パスワード リセットと BitLocker 回復キーが含まれます。 Microsoft Entra IDには、パスワードをリセットしたり、BitLocker 回復キーにアクセスしたりするための直接オプションも用意されています。 Microsoft Entra IDを使用して、Web ブラウザーではなく Windows ロック画面から直接パスワードをリセットできます。 これらの機能により、ユーザーの摩擦が軽減され、organizationのヘルプデスク コストを削減できます。
詳細については、「チュートリアル: ユーザーがセルフサービス パスワード リセットを使用してアカウントのロックを解除したり、パスワードMicrosoft Entraリセットしたりできるようにする」を参照してください。
Enterprise State Roaming
Microsoft Entra IDに参加しているすべてのデバイスは、設定をクラウドに同期できます。 ユーザーがサインインするデバイスは、生産性を高めるためにすべての設定を同期します。
価値提案
どちらの方法でもデバイスをMicrosoft Entra IDに参加すると、デジタル変革が加速します。 これにより、Microsoft 365 によって提供されるより多くの機能が有効になります。 エクスペリエンスが向上し、データのセキュリティが強化されます。
Microsoft Entra IDには、次のような作業負荷を軽減するためのいくつかのオプションが用意されています。
organization内のすべてのデバイス ID を 1 か所から管理します。
セルフサービス パスワード リセットを有効にすることで、ヘルプデスクのコストを削減します。 その後、ユーザーはいつでもデバイスの Windows ロック画面からパスワードをリセットできます。
Configure
既にオンプレミスの Active Directory環境があり、ドメインに参加しているデバイスをMicrosoft Entra IDに参加させる場合は、ハイブリッド参加済みデバイスMicrosoft Entra構成します。 詳細については、「方法: Microsoft Entraハイブリッド結合の実装を計画する」を参照してください。
Configuration Managerには、新しいWindows 10以降のドメイン参加済みデバイスをMicrosoft Entra IDに自動的に登録するクライアント設定があります。 クライアント設定の構成の詳細については、「クライアント設定 を構成する方法」を参照してください。
デバイスをオンプレミス ドメインに参加させずにMicrosoft Entra参加を構成する場合は、環境内での参加Microsoft Entraに関する考慮事項を確認してください。 参加Microsoft Entra使用することを決めたら、organizationのニーズに基づいてデプロイする多くのオプションがあります。 詳細については、次の記事を参照してください。