Windows 10でしれっと削除、変更された機能：その知識、ホントに正しい？ Windowsにまつわる都市伝説（50：特別編）（2/5 ページ）

以前のWindowsにはあったのに、Windows 10で削除／変更された機能は、マイクロソフトのWebサイトでも説明されています。ですが、そこに記載されていない変更点も多々あります。また、Windows 10の更新やアップグレードでひっそりと変更されていることも……。

[山市良，テクニカルライター]

Windows 8.1の新機能「ワークプレース参加」はWindows 10にはナシに

　Windows 8.1で新機能として追加された「Workplace Join（ワークプレース参加、社内ネットワークへの参加）」は、PCをActive Directoryドメインに参加させずに、ドメインのIDにひも付けてデバイスとしてディレクトリに登録し、デバイス認証に基づいてクレームベースのアプリやサービスへのアクセスを許可する機能でした。

　この機能は、Windows Server 2012 R2の「Active Directoryフェデレーションサービス（AD FS）」のデバイス登録サービスをオンプレミスにセットアップすることで導入できましたが、その後、Azure Active Directory（Azure AD）にも実装されました。また、対応デバイスも当初のWindows 8.1とiOSだけでなく、Androidとドメインに参加済みのWindows 7にまで拡大されました。

　Azure ADでは現在、この機能を「Azure AD Join」という名称で提供し、Windows 10のAzure AD Joinを可能にしていますが、Windows 7、Windows 8.1、iOS、Androidに対しては従来のWorkplace Joinのデバイス登録とデバイス認証で対応しています。

　さて、本連載の第39回では「ネットワークアクセス保護（Network Access Protection：NAP）」のクライアント機能とともに、Workplace Join機能もまたWindows 10から削除されたのではないかと書きました。

• NAPとワークプレース参加はどこに？ ――Windows 10から消えた二つの企業向けネットワークセキュリティ機能（本連載 第39回）

　Windows 8.1の「PC設定」→「ネットワーク」→「社内ネットワーク」のユーザーインタフェース（UI）は、Windows 10の「設定」→「アカウント」→「職場のアクセス」のUIと非常によく似ていますが、Windows 10のデバイスをオンプレミスのAD FS環境に登録しようとしても失敗します（画面4）。

画面4　Windows 10 Pro／Enterpriseで「接続」をクリックして、ユーザーIDを指定しても、Windows 8.1と同じようにWorkplace Joinできない

　さらに、Windows 10 バージョン1511（ビルド10586）では、「設定」→「アカウント」→「職場のアクセス」のUIが変更されました（画面5）。

画面5　Windows 10 バージョン1511の変更されたUI。以前の「接続」ボタンは、「デバイス管理に登録する」のことだった。Windows 8.1の「デバイス管理をオンにする」に相当するMDM登録機能

　新しいUIは、Homeエディションを含む全てのPC向けエディションで共通しています。この新しいUIを見ると、Windows 10リリース時（ビルド10240）の「接続」ボタンは、「デバイス管理に登録する」ボタンだったことが分かります。つまり、Windows 8.1のUIのWorkplace Joinの参加設定ではなく、「デバイス管理をオンにする」の設定のことだったのです。

　Windows 10 Homeは、Active Directoryドメイン参加機能やAzure AD Join機能を搭載していませんが、Microsoft IntuneやSystem Center Configuration Managerによるモバイルデバイス管理（MDM）機能はサポートしています。Windows 10 Homeの以前のビルドでは「この機能はWindows 10 Proで利用できます」と書かれていましたが、Windows 10 バージョン1511からはHomeエディションにもMDM機能が実装されました。

　ところで、新しいUIの中央には「職場または学校アカウントを追加」という項目があります。もしかすると、こちらがWorkplace Join機能なのではないかと試してみましたが、オンプレミスのAD FS環境でデバイス登録が行われることはありませんでした。

　こちらの登録は、Azure ADのアカウント、またはAzure ADとディレクトリ統合されたオンプレミスのActive Directoryアカウントを使用した“クラウドアプリのシングルサインオン”に利用できるようです。Azure ADアカウントを追加すると、Azure AD側には「社内参加済」という状態でデバイスは登録されますが、クライアント側のイベントログ「Microsoft-Windows-Workplace Join￥Admin」には何も記録されていません。少なくとも、Windows 8.1スタイルのWorkplace Joinの機能とは違うようです。

　Windows 10をオンプレミスのAD FS環境に直接デバイス登録することはできないようですが、Azure ADにデバイス登録したものを、オンプレミスのActive Directoryとディレクトリ同期して、「デバイス書き戻し（Device Writeback）」を行うことで、オンプレミスのAD FS環境でデバイス認証を実現できるようです。詳しくは、以下の筆者の個人ブログをご覧ください。

• Windows 10 に Workplace Join 機能はあるの？ないの？(追記あり)（筆者ブログ：山市良のえぬなんとかわーるど）