Contents
Azure ADとIntune連携の導入にあたっての前提確認
IT管理者やMicrosoft 365導入企業の担当者は、Azure Active Directory(Azure AD)とMicrosoft Intuneを連携させることで、セキュリティ体制の強化とデバイス管理の効率化が可能になります。しかし、導入前に環境の確認を怠ると、後々のトラブルにつながる可能性があります。特にEntra ID(旧Azure AD)の有効化状態やMicrosoft 365の構成は、連携の起点となるため必ず確認しましょう。
Microsoft 365環境の構成状況
導入に際して最初に確認すべきは、既存のMicrosoft 365環境です。Azure ADとIntuneを連携させるには、以下が前提となります:
- Microsoft 365ライセンス(少なくとも「Microsoft 365 F1」以上のプラン)
- Azure AD Premium P2ライセンス(条件付きアクセスポリシーの設定などに必要)
- Intuneライセンス(デバイス管理機能を有効化するため)
また、オンプレミス環境とハイブリッド構成が混在している場合、「Azure AD Join」と「Hybrid Azure AD Join」の両方に対応した設定が必要になります。この点は、後述するデバイス同期手順で重要となるため、事前に確認してください。
Entra IDの有効化状態確認
2024年以降のMicrosoft Learnでは、「Azure AD」が「Entra ID」と名称変更されました。ただし、機能面は同じため、現行環境に影響はありません。連携時に注意すべきは以下の2点です:
- Entra ID(旧Azure AD)との信頼関係が確立されていること
- 同期ジョブ(Entra Connect)の設定状態
特に「Hybrid Azure AD Join」を利用する場合、オンプレミスActive DirectoryとEntra IDの両方でユーザーが認識される必要があります。ここでの同期エラーは、後述するトラブルシューティングポイントに直接影響するため、導入前には必ず確認してください。
Entra Connectによるユーザー同期設定手順
ユーザー同期を確実に行うためには、Entra Connect(旧Azure AD Connect)の適切な構成が不可欠です。以下では、信頼関係の構築から同期スコープの調整までの手順を解説します。
Azure ADとの信頼関係構築
ユーザー同期を開始するには、まずオンプレミスActive DirectoryとEntra ID間で信頼関係を確立する必要があります。具体的な手順は以下の通りです:
- Entra Connectのインストール
- オンプレミスサーバーにEntra Connectをインストールし、認証情報を入力します。
-
Microsoft 365管理者アカウントでログインし、信頼関係設定を行います。
-
同期ルールの定義
- ユーザー属性やグループの同期範囲を指定します(例:特定OUに属するユーザーのみ同期)。
- 「Password Hash Sync」または「Pass-through Authentication」を選択し、アカウント認証方式を設定します。
注意:2024年Q2以降のEntra Connectでは、「Password Hash Sync」が非推奨となっており、代わりに「Pass-through Authentication」の採用が強く推奨されています。Microsoft公式ドキュメント(リンク)を参照し、移行手順や代替手段の詳細を確認してください。
同期スコープの絞込み設定
同期範囲を限定することで、不要な同期エラーを抑えることができます。以下は具体的な調整例です:
| 項目 | 設定内容 | 補足 |
|---|---|---|
| 同期するOU | Sales部門のみ | 部門別の管理が容易になる |
| 同期する属性 | メールアドレス、ユーザー名 | 最低限の情報で管理を効率化 |
| 同期頻度 | 4時間毎(標準設定) | 実際には必要に応じて調整 |
同期エラーが発生する場合、Entra Connectのログから「Error ID」と「詳細説明」を確認し、原因を特定しましょう。代表的なエラー例としては、「DNS解決失敗」「アカウントロック」があります。
ハイブリッド参加デバイスの同期プロセス
オンプレミス環境とクラウド環境が混在する場合は、ハイブリッド参加デバイスの同期を確実に行う必要があります。以下では、統合確認と設定ベストプラクティスを解説します。
オンプレミスADとの統合確認
ハイブリッド構成でのデバイス管理は、オンプレミスADとEntra IDが無事に統合されていることが前提です。以下の点を確認してください:
- 「Hybrid Azure AD Join」が有効化されているか
- デバイスの同期状態(Azure Portalで確認)
- Active DirectoryとEntra IDのユーザー属性が一致しているか
特に、「Hybrid Azure AD Join」は、管理者としてオンプレミスADに登録されたユーザーアカウントでログインした際、自動的にクラウド環境との同期が行われます。この機能を有効化しないと、デバイスの管理ができないため注意が必要です。
Azure AD Join設定のベストプラクティス
Azure AD Joinは、ユーザーがオンプレミスADに登録されている状態でなくとも、クラウド環境のみでデバイスを管理できる仕組みです。以下はその導入ポイント:
- 「Intune」と「Azure AD」の連携を確実に行う
- 条件付きアクセスポリシー(Conditional Access)を活用し、非コンプライアンス端末を自動的にブロックする
- デバイスグループ管理で、特定部門の端末だけにポリシーを適用
最新情報:2024年Q3以降のMicrosoft Learnでは、「Azure AD Join」の設定手順が見直され、一部パラメータが変更されています。導入時には公式ドキュメントで再確認してください。
GPOによるIntune登録強制の構成方法
Windows 10/11環境の端末をIntuneに登録するには、GPO(グループポリシーオブジェクト)で強制的に設定を適用することが有効です。以下では、具体的な作成手順と条件設定のポイントを解説します。
グループポリシーオブジェクトの作成手順
GPOによるIntune登録は、管理者が事前に設定することで端末側で自動的に実行されます。手順は以下の通りです:
- Group Policy Management Console(GPMC)を開く
-
Windows Serverにログインし、「Group Policy Management」を開きます。
-
新しいGPOを作成
-
「Intune登録強制用」といった名前で新規作成し、適切なOUにリンクします。
-
Intune登録ポリシーを設定
- 「コンピューター構成」→「管理用テンプレート」→「Microsoft Intune」を選択し、「Intune登録を強制する」を有効化します。
- さらに「Intuneの使用条件」で、登録時に必要な認証手段(例:Azure ADパスワード)を指定します。
デバイス登録時の条件設定
GPOで設定した条件に基づき、端末がIntuneに自動的に登録されます。以下は主な設定項目です:
| 項目 | 設定内容 | 補足 |
|---|---|---|
| 登録方法 | Azure AD Join | ハイブリッド参加デバイスも対応 |
| 認証方式 | Azure ADパスワード | 2024年以降の推奨設定 |
| 端末コンプライアンス | Windows 10/11標準イメージのみ許可 | 動作不安定なカスタムイメージを排除 |
注意:GPOでの登録強制は、管理者が事前に「Azure AD Join」の設定を完了している必要があります。
条件付きアクセスポリシーの構成実例
セキュリティ体制を強化するには、条件付きアクセスポリシー(Conditional Access)の適切な設定が不可欠です。以下では、認証リスクとデバイスコンプライアンスに基づく設定例を紹介します。
認証リスクに基づくアクセス制限
認証リスクが高い場合、自動的にマルチファクター認証(MFA)を強制するポリシーを設定できます。具体的な構成は以下の通り:
- 「条件」タブで以下を設定
- リスクレベル:高リスクのみ対象
-
アプリ:すべてのアプリまたは特定のアプリ(例:Outlook Web App)
-
「アクセス制御」タブで以下を指定
- 証明方法:アプリ内認証(推奨)または通知(メール/アプリ)
- 操作:アクセス許可を強制、またはアクセス拒否
この設定により、高リスクでの認証失敗が発生した場合に、自動的にMFAを実施するよう端末に指示されます。
デバイスコンプライアンス要件の設定
デバイスがEntra IDで登録されていない場合や、セキュリティポリシーに違反している場合は、アクセスを制限します。以下は代表的な設定例です:
| 項目 | 条件 | 操作 |
|---|---|---|
| デバイスコンプライアンス | Entra ID登録済み端末のみ許可 | 登録されていない端末をブロック |
| セキュリティ設定 | BitLocker有効化、パスワードポリシー遵守 | 違反した端末を自動的に削除 |
注意:2024年Q3以降のMicrosoft Learnでは、「RBACによる権限管理」が必須となりました。誤った設定は、管理者アカウントの不正利用につながるため、導入時には公式ガイドで再確認してください。
最新版Microsoft Learnに記載の導入注意点
2024年以降、Microsoft LearnではAzure ADとIntuneの連携に関する重要な変更点や注意事項が追加されています。以下はその主なポイントです。
2024年Q2以降の変更事項
- Entra Connectの設定手順:「Password Hash Sync」が非推奨になったため、代替手段として「Pass-through Authentication」を採用することを強く推奨しています。
- ハイブリッド参加デバイスの同期頻度:デフォルトで6時間に変更され、これにより同期精度が向上しました(ただし、一部企業では90分間隔も可能)。
ロールベースアクセス制御(RBAC)の最適化
RBACを活用することで、管理者の権限を最小限に抑えることができます。具体的な設定例は以下の通り:
| ロール | 権限範囲 | 目的 |
|---|---|---|
| Intune グローバル管理者 | すべてのIntune設定を変更可能 | 全体管理用 |
| コンプライアンス管理者 | デバイスコンプライアンスとポリシーのみ | 安全性確保に特化 |
| アカウント管理者 | ウェブアクセス、メール設定など一部限定 | 管理の分離を目的とした |
注意:2024年Q3以降のMicrosoft Learnでは、「RBACによる権限管理」が必須となりました。誤った設定は、管理者アカウントの不正利用につながるため、導入時には公式ガイドで再確認してください。