ユーザーに各自のデバイスを Azure Active Directory Device Registration サービスに社内参加させるよう求めることにより、ユーザーが個人的に所有しているデバイスを組織で認識済みとしてマークすることができます。Windows Server 2012 R2 で Active Directory フェデレーション サービス (AD FS) を使用してオンプレミス アプリケーションへの条件付きアクセスを有効にするための手順を以下に示します。
Azure Active Directory Device Registration Service の条件付きアクセス ポリシーに登録されているデバイスを使用する場合は、Office 365 のライセンスまたは Azure AD Premium ライセンスが必要になります。これには、Active Directory フェデレーション サービス (AD FS) によってオンプレミス リソースに適用されるポリシーが含まれます。
オンプレミスの条件付きアクセス シナリオの詳細については、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな 2 要素認証」をご覧ください。
これらの機能は、Azure Active Directory Premium ライセンスを購入したお客様に提供されます。
このシナリオでは、Azure AD テナントとローカルの Active Directory で構成されたハイブリッド環境があることを前提としています。これらのテナントは、Azure AD の接続を使用して、確認済みドメインと SSO 対応 AD FS を介して接続されている必要があります。次のチェックリストを使用すると、上記で説明した段階に環境を構成できます。
ローカルの Active Directory と Azure AD テナントを接続します。
組織用に Azure Active Directory Device Registration Service をデプロイおよび構成するには、以下のガイドに従います。
ここでは、Windows Server Active Directory の構成および Microsoft Azure Active Directory へのサブスクライブが完了していることを前提とします。前記の前提条件をご覧ください。
Azure Active Directory Device Registration サービスを Azure Active Directory テナントと一緒にデプロイするには、以下のチェックリストに示す作業を順番に実行します。参照リンクをクリックして概要に関するトピックに移動した場合は、そのトピックを確認した後、このチェックリストに戻って、チェックリストの残りの作業に進んでください。一部のタスクには、手順が正常に完了したことを確認できるシナリオの検証手順が含まれています。
以下のチェックリストに従って、Azure Active Directory Device Registration サービスを有効にして構成します。
タスク | リファレンス |
Azure Active Directory テナント内の [デバイスの登録] を有効にして、デバイスがワークプレースに参加できるようにします。既定では、サービスに対して Multi-Factor Authentication は有効になっていません。ただし、デバイスを登録するときは Multi-Factor Authentication をお勧めします。ADRS で Multi-Factor Authentication を有効にする前に、Multi-Factor Authentication プロバイダー用に AD FS が構成されていることを確認します。 | Azure Active Directory Device Registration を有効にする |
デバイスは既知の DNS レコードを探すことにより、Azure Active Directory Device Registration サービスを検出します。デバイスが Azure Active Directory Device Registration サービスを検出できるように、会社の DNS を構成する必要があります。 | Azure Active Directory Device Registration の検出を構成する |
タスク | リファレンス |
Windows Server 2012 R2 スキーマ拡張で Active Directory ドメイン サービス ドメインをデプロイします。ドメイン コント ローラーを Windows Server 2012 R2 にアップグレードする必要はありません。スキーマのアップグレードのみが必要です。 | Active Directory ドメイン サービス スキーマをアップグレードする |
デバイスは既知の DNS レコードを探すことにより、Azure Active Directory Device Registration サービスを検出します。デバイスが Azure Active Directory Device Registration サービスを検出できるように、会社の DNS を構成する必要があります。 | デバイスをサポートするために Active Directory の準備を行う |
タスク | リファレンス |
「Azure AD Connect でのデバイスの書き戻しの有効化」のパート 2 を完了します。完了したら、このガイドに戻ります。 | Azure AD Connect でのデバイスの書き戻しの有効化 |
多要素認証に関するいくつかのオプションのいずれかを構成することを強くお勧めします。MFA が必要な場合は、「ユーザーに適した多要素のセキュリティ ソリューションの選択」をご覧ください。これには、各ソリューションの説明と、選択したソリューションの構成に役立つリンクが含まれています。
これでデプロイは完了しました。いくつかのシナリオを試せるようになりました。以下のリンクに従って、サービスを試し、機能をよく理解してください。
タスク | リファレンス |
Azure Active Directory Device Registration を使用して、いくつかのデバイスをワークプレースに参加させます。iOS、Windows、Android の各デバイスを参加させることができます。 | Azure Active Directory Device Registration を使用してワークプレースにデバイスを参加させる |
管理者ポータルを使用して、登録されているデバイスを表示し、有効または無効にできます。このタスクでは、管理者ポータルを使用して一部の登録済みデバイスを表示します。 | Azure Active Directory Device Registration Overview |
デバイス オブジェクトが Azure Active Directory から Windows Server Active Directory に書き戻されることを確認します。 | 登録済みのデバイスが Active Directory に書き戻されていること確認する |
ユーザーがデバイスを登録できるようになったので、AD FS で登録済みデバイスのみを許可するアプリケーション アクセス ポリシーを作成できます。このタスクでは、アプリケーション アクセス ルールと、カスタム アクセス拒否メッセージを作成します。 | アプリケーションのアクセス ポリシーとカスタム アクセス拒否メッセージを作成する |
これにより、Azure AD Connect を使用して Azure AD テナントをローカルの Active Directory と統合できます。これらの手順は Azure ポータルで使用できますが、このセクションに記載されている特別な指示に留意してください。
これは、デバイスをサポートするために Active Directory フォレストを準備する際に実行する必要のある 1 回限りの操作です。この手順を完了するには、エンタープライズ管理者権限を使用してログオンする必要があり、Active Directory フォレストに Windows Server 2012 R2 スキーマが組み込まれている必要があります。
これは、デバイスをサポートするために Active Directory フォレストを準備する際に実行する必要のある 1 回限りの操作です。この手順を完了するには、エンタープライズ管理者権限を使用してログオンする必要があり、Active Directory フォレストに Windows Server 2012 R2 スキーマが組み込まれている必要があります。
Azure Active Directory Device Registration では、iOS デバイスに対して無線プロファイル登録プロセスを使用します。このプロセスは、ユーザーによる Safari Web ブラウザーからプロファイル登録用 URL への接続で始まります。URL の形式は次のとおりです。
https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/"yourdomainname"
ここで yourdomainname
は、Azure Active Directory で構成したドメイン名です。たとえば、ドメイン名が contoso.com の場合、URL は次のようになります。
https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/contoso.com
この URL は、さまざまな方法ユーザーに伝えることができます。その 1 つとして、AD FS 内のカスタム アプリケーション アクセス拒否メッセージで、この URL を発行する方法が推奨されます。これについては、以降のセクションで説明します: アプリケーションのアクセス ポリシーとカスタム アクセス拒否メッセージを作成する。
「Android 用の Azure Authenticator」トピックに、Android デバイスに Azure 認証アプリをインストールして、仕事用アカウントを追加するための手順が説明されています。Android デバイスで仕事用アカウントが正常に作成されると、そのデバイスを組織に社内参加させることができます。
LDP.exe または ADSI Edit を使用して、デバイス オブジェクトが Active Directory に書き戻されたことを表示し、確認することができます。どちらも、Active Directory 管理ツールで利用できます。
既定では、Azure Active Directory から書き戻されるデバイス オブジェクトは、AD FS ファームと同じドメインに配置されます。
CN=RegisteredDevices,defaultNamingContext
次のシナリオを考慮します。AD FS でアプリケーションの証明書利用者の信頼を作成し、登録されたデバイスのみを許可する発行承認規則を構成します。これで、登録されたデバイスのみにアプリケーションへのアクセスが許可されます。ユーザーがアプリケーションに容易にアクセスできるようにするには、ユーザーのデバイスを参加させる手順を含むカスタム アクセス拒否メッセージを構成します。これで、ユーザーはアプリケーションにアクセスするために、シームレスな方法でデバイスを登録できます。
次の手順に、このシナリオを実装する方法を示します。
これで、ユーザーが自身で登録しワークプレースに参加させたデバイスからアクセスする場合に限り、アクセスを許可するようにアプリケーションが構成されます。より高度なアクセス ポリシーについては、「多要素アクセス制御を使用したリスク管理」をご覧ください。
次に、アプリケーションのカスタム エラー メッセージを構成します。エラー メッセージは、アプリケーションにアクセスするには事前にユーザーのデバイスをワークプレースに参加させなければならないことをユーザーに通知するものです。カスタム HTML および Windows PowerShell を使用してカスタム アプリケーション アクセス拒否メッセージを作成できます。
フェデレーション サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のコマンドを入力します。コマンドの一部をシステムに固有の項目に置き換えます。
Set-AdfsRelyingPartyWebContent -Name "relying party trust name" -ErrorPageAuthorizationErrorMessage
このアプリケーションにアクセスするには、事前にデバイスを登録する必要があります。
iOS デバイスを使用している場合は、このリンクを選択してデバイスを参加させてください:
a href='https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/yourdomain.com
この iOS デバイスを職場に参加させる。
Windows 8.1 デバイスを使用している場合は、[PC 設定]、[ネットワーク]、[ワークプレース] にアクセスすると、デバイスを参加させることができます。
ここで、"relying party trust name" は、AD FS にあるアプリケーション証明書利用者の信頼オブジェクトの名前です。ここで、yourdomain.com は、Azure Active Directory で構成したドメイン名です。たとえば、contoso.com です。Set-AdfsRelyingPartyWebContent コマンドレットに渡す html コンテンツからは、改行 (ある場合) を必ず削除します。
これで、ユーザーが Azure Active Directory Device Registration Service に登録していないデバイスからアプリケーションにアクセスすると、以下のスクリーン ショットのようなページが表示されるようになります。