「もうできるんじゃないか?」「いや、まだ早いんじゃないか?」といつも論争になる(?)完全フルクラウド環境。もうオンプレミスのActive Directoryもファイルサーバーもプリンタサーバーも全部捨てて、フルクラウド環境で問題ないんじゃないか?そのように考えている方も多いと思います。
とはいえ、特にエンタープライズ環境では「いや、まだ無理だろう」という声も大きいですし、実際のところオンプレミスにある膨大な資産をどのように移行していくのか…ということで現実的に考えられない組織も多いと思います。
ですが!
規模が小さいところで既存資産も対してなく、これから環境を整えたいという状況であればMicrosoft 365をつかってフルクラウドで環境を整えるのは非常に現実的で有力な候補だと思います。というか私がIT環境を全部コントロールできるなら絶対にそうします。
ということで、フルクラウドの検証環境を作って色々と挙動を見ていってみたいとおもいます。シリーズもの的な位置づけになる予定です。
初回はまずAzure ADを新規に用意し、Windows 10をAzure ADに参加させるとから言ってみたいと思います。
dsregcmd /status
いきなりコマンドからで恐縮ですが、このコマンドで状況を確認しながら勧めていきたいと思います。
Win10の初期状態にローカルユーザーでログインすると下記のように、Device StateおよびUser StateはすべてNOとなります。
C:\Users\mebisuda>dsregcmd/status
+———————————————————————-+
| Device State |
+———————————————————————-+
AzureAdJoined : NO
EnterpriseJoined : NO
DomainJoined : NO
+———————————————————————-+
| User State |
+———————————————————————-+
NgcSet : NO
WorkplaceJoined : NO
WamDefaultSet : NO
AzureAdPrt : NO
AzureAdPrtAuthority : NO
EnterprisePrt : NO
EnterprisePrtAuthority : NO
+———————————————————————-+
| Ngc Prerequisite Check |
+———————————————————————-+
IsUserAzureAD : NO
PolicyEnabled : NO
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : NO
CertEnrollment : none
AadRecoveryNeeded : NO
PreReqResult : WillNotProvision
AzureADの作成
まずはAzureADに参加してみましょう。
それに先立ってテスト用の新規のAzure ADを作成してそこに参加させたいと思います。Azure Active DirectoryはAzure 管理ポータルから作成するのが簡単だと思います。
できました。
当たり前ですが、作成直後なのでまだデバイスは何も登録されていません。
テスト用ユーザーの作成
Azure AD(以下AAD)ではすべてのデバイスはユーザーに紐づくため、デバイスのみをAADに登録させることはできません。なのでまずユーザーを作成します。
ディレクトリを作成したときのユーザーが存在し管理者となっていますが、テストユーザーとしてそれとは別の新規ユーザーを作成します。
新規ユーザーを作成しました。
Windows 10のAADへの参加
ではいま作成したユーザーを使って、Win10をAADに参加させます。
デバイスをAzure Active Directoryに参加させていきます。
先程作成したユーザーのIDを入力します。
これでWin10がAADに参加できました!簡単ですね。
登録したデバイスの確認
AAD上のデバイス一覧にも参加したデバイスが表示されます。
きちんとデバイスとユーザーが紐付いた形になっているのがポイントですね。
デバイスのプロパティとしてOSが何なのか、バージョンは何なのか等も確認できます。
Win10側も状態変化を確認しましょう。
きちんとebisudaというAADに参加していることが確認できます。
当然dsregcmd /statusの結果にも変化が現れています。
+———————————————————————-+
| Device State |
+———————————————————————-+
AzureAdJoined : YES
EnterpriseJoined : NO
DeviceId : 392704b8-c227-40b0-8a44-daeec3cc44ce
Thumbprint : 0F852D1FEB45DF90FBBD5CEC051E3B94BEE53066
KeyContainerId : aa4c57b1-566e-4938-bf00-74d78ed4ef49
KeyProvider : Microsoft Software Key Storage Provider
TpmProtected : NO
KeySignTest: : PASSED
Idp : login.windows.net
TenantId : e2e06d42-fd4b-40f8-a9be-f94bc834bf47
TenantName : ebisuda
AuthCodeUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/token
MdmUrl :
MdmTouUrl :
MdmComplianceUrl :
SettingsUrl :
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVersion : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
DomainJoined : NO
+———————————————————————-+
| User State |
+———————————————————————-+
NgcSet : NO
WorkplaceJoined : NO
WamDefaultSet : NO
AzureAdPrt : NO
AzureAdPrtAuthority :
EnterprisePrt : NO
EnterprisePrtAuthority :
+———————————————————————-+
| Ngc Prerequisite Check |
+———————————————————————-+
IsUserAzureAD : NO
PolicyEnabled : NO
PostLogonEnabled : YES
DeviceEligible : YES
SessionIsNotRemote : NO
CertEnrollment : none
AadRecoveryNeeded : NO
PreReqResult : WillNotProvision
※ここまでAzure上のWin10端末で検証していたのですが、サインイン画面が取得できないことに気がついたので(いまさら)手元のNotePCをAAD Joinさせました。これからは物理NotePC上で検証しています。
AADに参加したWin10に組織アカウントでサインイン
サインイン先として直接「職場または学校アカウント」が選択できるようになりました。
これで、AADに参加したWin10にAAD上のユーザーでサインインした状態となりました。
この状態でdsregcmd /statusの結果を見たいと思います。
C:\Users\mebisuda>dsregcmd /status
+———————————————————————-+
| Device State |
+———————————————————————-+
AzureAdJoined : YES
EnterpriseJoined : NO
DeviceId : 01051e43-5270-484b-98c7-b6fd0e9dbeeb
Thumbprint : 59E3C3DC8DCB8132FABB4700BF2BEC94EBEFB051
KeyContainerId : 3e4e1542-5639-4a56-a52f-60e9e19b7795
KeyProvider : Microsoft Platform Crypto Provider
TpmProtected : YES
KeySignTest: : MUST Run elevated to test.
Idp : login.windows.net
TenantId : e2e06d42-fd4b-40f8-a9be-f94bc834bf47
TenantName : ebisuda
AuthCodeUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/authorize
AccessTokenUrl : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/oauth2/token
MdmUrl :
MdmTouUrl :
MdmComplianceUrl :
SettingsUrl :
JoinSrvVersion : 1.0
JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
KeySrvVersion : 1.0
KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
WebAuthNSrvVersion : 1.0
WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
DeviceManagementSrvVersion : 1.0
DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/e2e06d42-fd4b-40f8-a9be-f94bc834bf47/
DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
DomainJoined : NO
+———————————————————————-+
| User State |
+———————————————————————-+
NgcSet : YES
NgcKeyId : {76A8CFA5-A9F2-4324-8311-97DABD9055C3}
CanReset : DestructiveOnly
WorkplaceJoined : NO
WamDefaultSet : YES
WamDefaultAuthority : organizations
WamDefaultId : https://login.microsoft.com
WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
AzureAdPrt : YES
AzureAdPrtAuthority : https://login.microsoftonline.com/e2e06d42-fd4b-40f8-a9be-f94bc834bf47
EnterprisePrt : NO
EnterprisePrtAuthority :
Device Stateに加えてUser StateもAADに参加した状態にきちんとなりましたね。
この状態ではportal.office.com等にアクセスすれば認証を再度聞かれることなくwin10にサインインしているmebisuda@ebisudatest.onmicrosoft.comのユーザーでサインインできます。いわゆるSSOが実現されています。快適です!
実は、ここまでを実現するだけであればAzure ADは無料で使えてしまいます。無料でデバイスの登録とユーザー管理、ユーザーのパスワード管理等行えてしまうのです。小規模であってもWindows 10をそれぞれのローカルアカウントで利用するのは色々と面倒ですので、今回の内容だけでも利用価値がかなりあると思います!
このエントリではAADを新規に作成しつつ、そこにユーザーを作成し、そのユーザーを使ってWin10をAAD JoinさせてMicrosoft系のクラウドサービスへのSSOを実現しました。
次のエントリでは今回作った環境にドメインを割り当ててユーザーIDをもう少し短縮してみたいと思います。
シリーズの次の記事はこちら!
「Windows10をAzure ADに参加させる!【M365フルクラウド環境検証 その1】」への1件のフィードバック