前提条件
- 条件付きアクセスのアクセス許可でハイブリッド参加済みデバイスが必要を構成している
- 新規端末をEntra Hybrid Joinさせる
参加手順
1.新規端末をオンプレADに参加させ、Entra Connectで同期されているユーザーでログオンする。
2.初回のログオンでWindows端末のタスクスケジューラのタスクである「Automatic-Device-Join」が実行され、AD上のコンピュータオブジェクトのuserCertificate属性にこのデバイスの証明書が格納される。
※管理者ユーザーでの「dsregcmd /join」コマンドでも同様に可能
3.userCertificateに証明書が入っているコンピュータオブジェクトはEntra Connectで同期対象になり、同期サイクルに従って同期される。(単にEntra Connectで同期対象のOUにデバイスを追加しただけではデバイスは同期されない)
4.この時、Entra 管理センターでの新規端末の見え方は
参加の種類 > Hybrid Joined
登録済みの状態 > 保留中
となっている。
※保留中:オンプレAD → Entra IDへ同期はされているが、Entra デバイス登録サービスへの登録を完了していないデバイス。PRTやSSOのデバイスベース条件付きアクセスポリシーの適用ができない状態。
5.保留中の状態で端末を再度Windows ログオンすることで、「Automatic-Device-Join」タスクが再度走り保留中 → 登録済みになる。
この時点のEntra ID上へデバイス参加は完了しているものの、デバイス認証は完了していない。
6.再度、ログオン処理を行うタイミングで、Entra IDへの認証が行われる。これは「Automatic-Device-Join」タスクではなく、ログオン時の処理となる。
ここでMicrosoft Entra ハイブリッド参加としてのEntra IDへのデバイス認証が完了し、PRTが発行される。
つまりユーザーがHybrid Entra JoinでSSOできるようになるまでには、以下3回のWindowsログオンが必要。
- userCertificateを貰う1回目のログオン
- 保留済み > 登録済みに変えるための2回目のログオン
- 登録が完了してPRTを貰うためのログオン
Hybrid参加を必要とする条件付きアクセス配下で動作するか
上記の処理において、端末がまだHybrid Entra Joinしていない段階で
- Automatic-Device-JoinタスクでのEntra IDとのやり取り
- デバイス認証の際のEntra IDとのやり取り
という端末 → Entra IDの通信が発生するが、Hybrid Entra Joinの構成に関する通信については条件付きアクセスの影響を受けない(MS回答)
端末のHybrid Entra Joinに関するドキュメント
Hybrid Entra Joinの仕組み
Hybrid Entra Join失敗時の切り分け初動対応
コメント