オンプレとAzure間のAD連携「HAAD参加」の落とし穴と対策

今回は「オンプレとAzure間のAD連携「HAAD参加」の落とし穴と対策」についてご紹介します。

関連ワード （モバイル、新潮流Device as a Serviceの世界等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　今回は、「Hybrid Azure Active Directory Join」（ハイブリッド Azure AD 参加。以下HAAD参加）について解説します。なお、あらかじめ申し上げますと、HAAD参加はあくまで最終手段であり、HAAD参加ありきで検討するものではありません。

　Azure ADや「Windows Autopilot」（以下、Autopilot）の世界は、「Azure AD 参加」がスタンダードです。HAAD参加は、どうしてもオンプレミスのActive Directory（以下、オンプレAD）に参加しなければならないケースのために、緊急避難的に用意されているものです。ですから、「既存のオンプレADがよく分からないし、必要かどうかも分からないから、とりあえずHAAD参加で！」と検討するものではありません。

　HAAD参加には、前提となるOU（Organizational Unit：組織単位）の構成など複雑な前提条件があり、「よく分からないからHAAD参加で」とするようなものではないのです。またHAAD参加は、後から加わった機能ということも認識しておきましょう。たぶん困った顧客がおり、Microsoftも最初からHAAD参加の提供を想定していたわけではないのだと思います（筆者の私見ですが）。

　つまり後付けですから、かなり無理な部分があります。特にAutopilot中のAzure ADとオンプレAD間の「コンピューター オブジェクト」の同期には、かなりの時間がかかります。そもそもクラウドはオンプレとの連携が苦手ですので、HAAD参加の導入は、いたずらにユーザーの負担を増やすことになりかねません。

　よくある思い違いに、「オンプレADに参加しない＝オンプレADを廃止する」と思ってしまうケースがあります。これは、正しくありません。あくまでAutopilotによりセットアップしたPCをオンプレADに参加させるか否かだけの話です。オンプレADを必ずしも廃止する必要はありません。

　オンプレADとAzure ADを同期させるには、「Azure AD Connect」（以下、AAD Connect）が構築されていればOKです。前回説明した通り、AAD ConnectさえあればオンプレADに参加しているファイルサーバーとの認証には差し支えありません。認証に問題なければ、あとはPCの制御（オンプレADのグループポリシー）を「Microsoft Intune」（以下、Intune）で行えれば、基本的にはオンプレADに参加する必要はありません。

　Autopilotの導入では、原則として「Azure AD参加（＝オンプレADに参加しない）」を検討しましょう。オンプレADへの参加が不要かどうかの確認は、PCをAzure AD参加のみにした状態で使ってみてください。AAD Connectでアカウントが同期されていれば、ほとんどのシステムを問題なく利用できるはずです。検討においては、グループポリシーも重要ですので、その辺は前回の記事をご覧ください。

　その上でどうしても、オンプレADの参加が必要な場合に、HAAD参加を検討します。