オンプレミスにおけるWindows 10のデバイス認証は、2015年11月のWindows 10 バージョン1511でサポートされたばかりであり、前提となるサーバ環境は開発中という状況です。Windows Server 2016 Technical Preview(TP)4で評価できるのかどうか、実際に試してみました。ただし、詳しい手順は今後変更になる可能性もあるため説明しません。ここでは、幾つかのポイントだけを説明します。
Windows Server 2016 TP4でActive Directoryフォレスト/ドメインを新規作成し、AD FSおよびWebアプリケーションプロキシの環境をセットアップします。この手順は、Windows Server 2012 R2でWindows 8.1のワークプレース参加をサポートするための環境を構築する場合と大部分が同じです。
実際、同じ環境でWindows 8.1のワークプレース参加をサポートすることができました。Windows 10をサポートするためには、追加でWindows PowerShellによる操作が必要になります(画面4)。
「Azure AD Connect」をインストールして実行し、Azure ADとのディレクトリ同期をセットアップします(画面5)。
Azure AD側でワークプレース参加で登録されたデバイスをオンプレミスに書き戻すために、Azure AD Connectを再実行して「デバイスの書き戻し」を有効化します(画面6)。
グループポリシーで「ドメインに参加しているコンピューターをデバイスとして登録する」ポリシーを有効化し、Windows 10 バージョン1511を実行するPCにポリシーを適用する(画面7)。
このような設定を行うことで、ドメインに参加したWindows 10クライアントがActive Directoryに自動でデバイス登録されます。登録されたデバイスは、Active Directoryの「RegisteredDevices」コンテナで確認できます。このデバイスの情報は、次回のディレクトリ同期のタイミングでAzure AD側に反映されます(Azure ADのUIには表示されません)。
また、Azure AD側でワークプレース参加されたWindows 10のデバイス情報は、ディレクトリ同期でのデバイスの書き戻しによって、Active Directoryの「RegisteredDevices」コンテナに反映されます(画面8)。
なお、ドメイン参加PCのデバイス登録は、グループポリシーによって有効化される「¥Microsoft¥Windows¥Workplace Join¥Automatic-Device-Join」タスクによって、ユーザーのサインイン時に実行されます。具体的には、「%Windir%¥System32¥dsregcmd.exe」を実行することで実現されています。「dsregcmd /status」コマンドを実行することで、登録状況を確認できました(画面9)。
Windows 10は、クラウド時代に対応した「Microsoft Passport」と呼ばれる新しい認証テクノロジーを備えています。従来、クラウドのアプリケーションを利用するには、IDとパスワードによる認証が必要でした。これに別の認証方法を追加して、多要素認証で認証を強化することはできますが、IDとパスワードが不要になるわけではありません。
Microsoft Passportを利用すると、パスワードを入力することなく、アクセス元のデバイスだけに保存されているPIN入力、または「Windows Hello」(指紋や顔認識などの生体認証)によるWindows 10へのサインインで、さまざまなクラウドアプリへのSSOアクセスを実現することができます。
Microsoft Passportは現状、MicrosoftアカウントでセットアップしたWindows 10、およびAzure AD参加をセットアップしたWindows 10で利用可能です。後者は、「Microsoft Passport for Work」と呼ばれます(図2)。
Microsoft Passport for Workは、オンプレミスのActive Directoryドメイン環境でもサポートされる予定です。今回説明したオンプレミスのWindows 10のデバイス認証環境は、Microsoft Passport for Workの基盤にもなります。
オンプレミスではさらに、ユーザーの証明書ベース(スマートカードとの組み合わせ)または鍵ベースのMicrosoft Passport for Workを利用可能にするために、証明書や鍵のプロビジョニングや配布のために追加の構成が必要なようです。それには、最新のSystem Center Configuration Manager(バージョン1509以降)の管理環境と「Active Directory証明書サービス」の展開が必要です。また、Windows 10の現在のリリース(少なくともWindows 10 バージョン1511以前)やWindows Server 2016 Technical Previewにまだ実装されていない部分もあるようです。
Microsoft Passportの詳細、およびMicrosoft Passport for Workの実装状況については、以下のドキュメントで確認できます。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.