Microsoft Intune

Microsoft Entra Connect インストールと初期設定ガイド

ⓘ本ページはプロモーションが含まれています

スポンサードリンク

Microsoft Entra Connectのインストールと初期設定

Microsoft IntuneとAzure ADを連携させる際には、まずMicrosoft Entra Connect(以前はAzure AD Connectと呼ばれた)の導入が不可欠です。オンプレミスのActive Directory(AD)とAzure ADとの同期を確立し、デバイス管理やユーザー認証の基盤となるため、設定手順の正確性が重要です。ここではインストール前提条件や手順をステップバイステップで解説します。

Microsoft Entra Connectは2023年4月に正式名称変更され、「Azure AD Connect」から「Microsoft Entra Connect」とブランド統一されました。これは、Microsoft Identity Platform(Azure ADとMicrosoft Entra ID)の統合的な利用を推進するための一環です。以下では、このリネームされたツールの導入手順を解説します。

Entra Connectのダウンロード・インストール手順

オンプレADとAzure ADとの同期を確立するには、Microsoft Entra Connectの導入が不可欠です。以下にインストール手順をステップバイステップで解説します。

  1. Microsoft Entra Connectのダウンロード
    Azure portal → 「ID管理」→ 「Microsoft Entra Connect」から最新バージョンを取得します。

  2. インストーラー起動と初期設定

  3. インストール時に「クライアントアクセス許可」を要求されるため、オンプレAD管理者権限を持つアカウントで実行してください。
  4. 「ユーザーの同期」または「パスワードハッシュ同期」を選択します(Hybrid Azure AD Join対応には前者が推奨)。

  5. 同期スケジュール設定
    デフォルトでは30分ごとに同期が実行されます。企業規模に応じて頻度を調整可能ですが、初期はデフォルトで運用し、異常があれば手動同期を試すと安定します。

注意: 「ユーザーの同期」を選択する場合、パスワードハッシュ同期(Pass-through Authentication)よりもセキュリティリスクが低く、ハイブリッド環境での長期的な運用に適しています。これは、オンプレAD側でしか管理されないパスワードをAzure ADに直接転送する必要がないためです。


ハイブリッドAzure AD参加の構成

オンプレADとAzure ADを同時に参加させるハイブリッドAzure AD参加は、Windows 10/11デバイスのセキュアな管理に不可欠です。設定ミスにより認証失敗が発生するため、手順を正確に実施することが重要です。

Azure portalでの参加タイプ選択

ハイブリッドAzure AD参加には以下の3つのオプションがあります:

参加タイプ 説明 推奨環境
Hybrid Azure AD Join デバイスがオンプレADとAzure AD両方に登録される Windows 10/11(Pro以上)
Cloud-only Join デバイスがAzure ADにのみ登録 移行中のオンプレ環境
No Hybrid Join すべての管理をAzure ADに依存 オンプレADを廃止する場合

Hybrid Azure AD Joinを選択した場合は、グループポリシー(GPO)で「ユーザーはデバイスをAzure ADに参加させることができます」を「すべて」に設定します。この設定はMicrosoft公式ドキュメント(Azure ADドキュメント)にも記載されており、正確な手順に従う必要があります。

デバイス認証プロトコル設定

デバイスがAzure ADに参加する際、以下の2種類のプロトコルが選択可能です:

  • Pass-through Authentication(パスワードハッシュ同期): オンプレADのパスワードをAzure ADに直接転送。セキュリティリスクがやや高めですが設定が単純です。
  • Password Hash Sync + Seamless Single Sign-On(SSO): Azure ADにパスワードをハッシュ化して同期し、SSOを実現。運用コストは若干増加します。

選択するプロトコルは企業のセキュリティポリシーとネットワーク環境に応じて決定してください。


オンプレADとAzure ADのデバイス同期

Hybrid Azure AD Joinを実施後、オンプレADとAzure AD間でデバイス情報の同期が自動的に行われます。ただし、設定ミスやネットワーク障害により同期エラーが発生する可能性があります。

同期フィルターの条件設定

デバイスの同期範囲を制限するには、「同期フィルターオブジェクト」を作成します。

  1. Azure portal → 「Azure Active Directory」→ 「ディレクトリ同期」→ 「同期フィルター」
  2. 以下の3つのタイプから選択:
  3. すべてのユーザーとグループ(デフォルト)
  4. 特定のOUに所属するオブジェクトのみ(例: IT部門専用)
  5. 特定のユーザー/グループを除外(例: テスト環境のデバイス)

同期フィルターは定期的な見直しが必要です。不要なデバイスが同期されると、Intuneのポリシー適用に混乱を招くことがあります。

同期エラー時のトラブルシューティング

同期失敗の場合、以下の手順で対応します:

  1. ログ確認
    Azure portal → 「Azure Active Directory」→ 「ディレクトリ同期」→ 「統合の診断と修復」から、「最近のイベント」をチェック。具体的なエラー内容が表示されます(例: DNS解決失敗、AD側の通信制限)。

  2. 手動同期実行
    管理コンソール → 「Microsoft Entra Connect」→ 「今すぐ同期」をクリックし、強制的に同期を実施します。

  3. ネットワーク環境の再確認
    ファイアウォールやDNS設定で、ADとAzure AD間の通信が遮断されていないかを再チェックしてください。

  4. 必要なネットワークポートは443です(HTTPS経由での通信)。


Intuneデバイスマネジメントでのポリシー適用

オンプレADとAzure ADに登録されたデバイスには、Intuneでセキュリティポリシーやアプリ管理設定を適用できます。ただし、ポリシーの競合やコンプライアンスチェックが複雑になるため、以下のポイントを押さえてください。

Azure ADグループベースのポリシー割当

Intuneのポリシーは「Azure ADグループ」に紐づけて割当てることが最適です:

  1. グループ作成
    Azure portal → 「Azure Active Directory」→ 「グループ」→ 新規グループを作成(例: 「IT部門用デバイス」)。

  2. ポリシーの割当て
    Intune管理コンソール → 「デバイス」→ 「ポリシー」→ 新規ポリシー作成 → 「対象ユーザー/デバイス」で先ほど作ったグループを選択。

ポリシー競合を避けるため、同一のデバイスに複数のポリシーを割当てることは避けます。

条件付きアクセスポリシー設定

セキュリティレベルを高めるには、「条件付きアクセス(Conditional Access)」を利用します:

  1. Azure portal → 「Security」→ 「Identity & access management」→ 「Conditional Access」
  2. 新規ポリシーを作成し、対象デバイスや場所(例: 企業ネットワーク外)を指定。
  3. 認証方法を「多要素認証(MFA)」に設定すると、リモートアクセス時にもリスクが軽減されます。

条件付きアクセスはセキュリティ強化の必須項目ですが、運用負荷も増加するため、最小限で効果的なルールを作成してください。


両環境でのデバイス管理の注意点

オンプレADとAzure ADに登録された同じデバイスは、2つの環境で別個に管理されることに注意が必要です。誤操作により情報が不整合になるリスクがあります。

削除処理時の同期タイミング

デバイスを削除する際は、以下の手順で実施してください:

  1. Intune側でのワイプ
    Intune管理コンソール → 「デバイス」→ 対象デバイスを選択 → 「ワイプ(Wipe)」ボタンを押下。これにより、Azure ADとオンプレADの両方から同期が解除されます。

  2. 同期の確認
    Azure portal → 「Azure Active Directory」→ 「デバイス」で該当デバイスが削除されているかを確認。

デバイスワイプを実施せずに、オンプレAD側のみ削除すると、Azure ADに残った情報と競合し、ポリシー適用の不具合が発生する可能性があります。

多重アカウント環境でのリスク回避

1台のデバイスで複数のユーザー(アカウント)が同時に使用する場合、セキュリティリスクが高まります。以下の対策を検討してください:

  • デバイスの所有者権限設定:Azure ADで「デバイスの管理者」を選択し、特定のユーザーのみが管理できるように制限。
  • 定期的なコンプライアンスチェック:Intuneで自動的にデバイスの状態を監視し、異常があれば通知するルールを作成。

企業内での共有PC環境では、この設定が漏れると情報漏洩や不正アクセスにつながるため、特に注意が必要です。


FAQ: 連携設定に関するよくある質問

導入時のトラブルシューティングに役立つQ&Aを以下にまとめます。

Q1. 同期が失敗する場合の対処法は?

A: Azure portal → 「Azure Active Directory」→ 「ディレクトリ同期」→ 「統合の診断と修復」で、ログを確認してください。DNS解決エラーやネットワーク障害が原因の場合が多いです。

Q2. デバイスがAzure ADに登録されないのはなぜ?

A: Hybrid Azure AD Joinを正しく設定していない可能性があります。グループポリシーで「ユーザーはデバイスをAzure ADに参加させることができます」を「すべて」に設定し、Intune側でデバイスの同期状態を確認してください。

Q3. ポリシーが適用されない場合の対応方法?

A: Azure ADグループの所属とポリシーの割当てが一致していない可能性があります。Intune管理コンソールで「アサインメント」タブを開き、正しいグループが選択されているか確認してください。

Q4. オンプレADからAzure ADに同期したユーザー情報が反映されない?

A: 「ユーザーの同期」を選択していない可能性があります。Entra Connectの設定画面で「同期オプション」を再確認し、必要であれば手動同期を実施してください。


導入時のトラブルシューティングが必要な場合は、記事下部のFAQをご確認ください。

スポンサードリンク

-Microsoft Intune