Windows 10の「ワークプレース参加」はどうなる?[前編]:vNextに備えよ! 次期Windows Serverのココに注目(43)(2/2 ページ)
Windows 10のデバイス認証は、Windows 8.1に新機能として追加された「ワークプレース参加(Workplace Join)」機能を発展させたものであり、Windows 10の新機能「Microsoft Passport for Work」の要素技術でもあります。しかし、Windows 10におけるデバイス認証の仕組みや導入方法は、Windows 8.1のワークプレース参加から大きく変更されています。
Azure ADとの統合でワークプレース参加はハイブリッド環境へ
ワークプレース参加機能はその後、Microsoft Azureの「Azure Active Directory」(以下、Azure AD)でもサポートされるようになりました(画面3)。
Azure ADは、Office 365やMicrosoft Intuneでも利用されている、クラウドベースのID基盤サービスです。Azure ADのワークプレース参加機能は、企業のデバイスポリシーに準拠する登録済みデバイスからのみのアクセスを許可するといったような、Office 365のアプリやサービスへの条件付きアクセスに利用できます。
また、Azure ADはオンプレミスのWindows ServerのActive Directoryとディレクトリ同期ができるため、社外のPCやデバイスはAzure ADでワークプレース参加をセットアップし、オンプレミスのPCやデバイスはオンプレミスのAD FSのデバイス登録サービスでワークプレース参加をセットアップするといった運用も可能になります。
これにより、オンプレミスのユーザーはドメインの認証でOffice 365にアクセスでき、社外のPCやデバイスはデバイス認証に基づいてオンプレミスのアプリケーションやリソースに安全にアクセスできるといった環境を実現できます(図3)。
Windows 10で利用可能になった新しい認証方式
Windows 7以前のWindowsの認証は、ローカルアカウント(ワークグループ構成)またはWindows ServerのActive DirectoryにPCを参加させて行うドメインアカウントのいずれかでした。Windows 8以降では、非ドメイン環境の選択肢として、Microsoftアカウントによるサインインが利用可能になりました。
Windows 10では、Microsoftアカウントを使用する場合、「Microsoft Passport」という新しい認証方法がサポートされます。Microsoft Passportでは、2段階の認証でMicrosoftアカウントのクラウドサービスにデバイスが登録され、ローカルデバイス(TPMの使用を推奨)にMicrosoft Passportがセットアップされます。ユーザーは、PIN入力やWindows Helloの生体認証を用いて、パスワードを入力することなく、そしてクラウド側にパスワードが送信されることなく、Windowsにサインインすることができ、クラウドアプリにSSO(シングルサインオン)アクセスできます。
Windows 10 Pro、Enterprise、およびEducationエディションでは、「Azure AD参加(Azure AD Join)」という、Microsoftアカウントやドメイン参加とは別の認証方法も利用可能になりました。
Azure AD参加は「クラウドドメイン参加」とも呼ばれるもので、Azure ADにPCを参加させ、Azure ADのID認証でWindowsにサインインし、クラウドアプリにSSOアクセスできるようにします。Azure AD参加でもMicrosoft Passportがサポートされます。こちらは、「Microsoft Passport for Work」と呼ばれます(図4)。
図4 Windows 10 Pro以上のエディションは、Azure AD参加という方法で、Microsoft Passportを利用したパスワードを使用しないログオンとクラウドアプリへのSSOアクセスが可能になる
Office 365のサブスクリプションを利用できるのであれば、Office 365のIDでAzure AD参加をセットアップできます。Azure ADをオンプレミスのActive Directoryとディレクトリ同期している場合は、オンプレミスのIDでAzure AD参加をセットアップできます(画面4)。
以下の連載記事でも指摘したように、「Windows 8.1スタイル」のワークプレース参加機能はWindows 10には存在しません。
- Windows 10でしれっと削除、変更された機能(連載:その知識、ホントに正しい? Windowsにまつわる都市伝説 第50回)
Windows 8.1スタイルとは、電子メールアドレスを指定して、オンプレミスのAD FSのデバイス登録サービスにワークプレース参加する方法です。しかしながら、Windows 10からワークプレース参加機能が完全に削除されたわけではありません。
Windows 10をワークプレース参加でオンプレミスのActive Directoryにデバイス登録する方法は幾つかありますが、運用環境に実装するためにはWindows Server 2016の登場を待つ必要があります。その環境は、オンプレミスでMicrosoft Passport for Workを実装する基盤にもなります。詳しくは、次回説明します。
- 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その6)
- 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その5)
- 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その4)
- 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その3)
- 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その2)
- 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その1)
- ついに完成、Windows Server 2016 評価版をインストールしてみた
- Windows Server 2016の「サーバー管理ツール」に追加された4つの新機能
- 小規模ビジネス専用エディション、Windows Server 2016 Essentialsの機能と役割
- 管理者権限をコントロールする2つのアプローチ――必要最低限の管理(JEA)と特権アクセス管理(PAM)
- Hyper-Vホストクラスタの新機能(2)──仮想マシンの開始順序
- 速報! Windows Server 2016の正式リリースは2016年9月末に
- Hyper-Vホストクラスタの新機能──仮想マシンのノードフェアネス
- Dockerとの相互運用性が向上したWindowsコンテナ[後編]
- Dockerとの相互運用性が向上したWindowsコンテナ[前編]
- いつでも、どこからでも使える、Windows Server 2016向けリモート管理ツール「サーバー管理ツール」
- Windows Server 2016 TP5の「サーバーの役割と機能」、TP4からの変更点まとめ
- Windows Server 2016 Technical Preview 5の評価方法と注意点
- Hyper-V上のLinux仮想マシンで新たにサポートされる機能
- 実録:Windows ServerコンテナでSQL Serverを動かしてみた
- Windows Server 2016で大きく変わるライセンスモデル
- Windows 10の「ワークプレース参加」はどうなる?[後編]
- Windows 10の「ワークプレース参加」はどうなる?[前編]
- 意外と賢くなったWindows Server 2016のWindows Defender
- パブリッククラウドでDaaSを可能にするWindows Server 2016の新機能
- 実運用への道に近づいた、新しい「Nano Server」[後編]
- 実運用への道に近づいた、新しい「Nano Server」[前編]
- 明らかになった「Hyper-Vコンテナー」の正体(2)――コンテナーホストのセットアップ方法
- 明らかになった「Hyper-Vコンテナー」の正体(1)――その仕組みと管理方法
- ついに日本語版が登場、Windows Server 2016テクニカルプレビューこれまでのまとめ
- 仮想マシンのための「仮想TPM」――仮想化ベースのセキュリティ(その2)
- 物理マシンとユーザーのための「デバイスガード」と「資格情報ガード」――仮想化ベースのセキュリティ(その1)
- “Hyper-Vの中のHyper-V”で仮想マシンを動かす
- ADドメインはもう不要? ワークグループでクラスター作成が可能に――フェイルオーバークラスターの新機能(その3)
- 可用性をさらに高めるクォーラム監視オプション「クラウド監視」――フェイルオーバークラスターの新機能(その2)
- 短時間のノード障害に耐える仮想マシン――フェイルオーバークラスターの新機能(その1)
- WindowsコンテナーをDockerから操作するには?――あなたの知らないコンテナーの世界(その4)
- IISコンテナーの作成で理解するコンテナーのネットワーク機能――あなたの知らないコンテナーの世界(その3)
- 所要時間は1分未満! 今すぐできるWindows Serverコンテナーの作り方――あなたの知らないコンテナーの世界(その2)
- Windows ServerのDockerサポートとは?――あなたの知らないコンテナーの世界(その1)
- 注目のDockerサポートは? Nano Serverは?――Windows Server 2016 Technical Preview 3登場! 新機能ピックアップ
- 「Webアプリケーションプロキシ」はマルチデバイス環境におけるリモートアクセスの“要”
- クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる?
- 4ステップで理解する「ストレージレプリカ」のセットアップと構成方法
- 低コストでデータの災害復旧対策を実現する新たなSDS「ストレージレプリカ」とは
- 記憶域スペースの新機能「記憶域スペースダイレクト」を理解する(後編)
- 記憶域スペースの新機能「記憶域スペースダイレクト」を理解する(前編)
- Hyper-Vホストから仮想マシンゲストの操作を可能にするPowerShell Directとは
- Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは
- 注目のNano Server、その謎に迫る――コンテナー技術との関係はいかに?
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“Windows Defenderにスケジュールスキャン機能がない”ってホント?
Windows 8以降に標準搭載されている「Windows Defender」は、ウイルス対策も可能なマルウェア対策ソフトです。今回と次回は、Windows 8以降のWindows Defenderの“二つの謎”に迫りたいと思います。今回は「スケジュールスキャンの謎」を解き明かします。
“Windows Defenderの定義更新は少ない?”の怪
前回は「Windows Defender」の「スケジュールスキャンの謎」を解明しました。今回はもう一つの謎、「定義ファイルの更新」に関する疑問に迫ります。
オンラインで駆除できないマルウェアをオフラインでやっつける
Windows PCにマルウェア対策ソフトを入れることは、PCやデータを保護するための常識です。しかし、それで全てのマルウェアを排除できるとは限りません。すでに入り込んだマルウェアが、対策ソフトを欺きながらPCに居座り続けているかもしれませんよ。
厳選! 人に教えたくなる、Windows 10の七不思議
今回は、Windows 10の新しい仕様や既知の不具合について、ちょっと気になるもの、思わず目を疑いたくなるものなど、“七不思議”を紹介します。
Windows 8、古いInternet Explorerのサポートが終了した日
2016年1月13日は、いろいろな意味でWindowsの長い歴史の中のメモリアルな1日となりました。この日、Windows 8、古いバージョンのInternet Explorer、.NET Framework 4/4.5/4.5.1のサポートが終了しました。記念にスクリーンショットでも残しておきましょう。