Windows 10の「ワークプレース参加」はどうなる？［後編］：vNextに備えよ！次期Windows Serverのココに注目（44）（2/2 ページ）

Windows 10におけるデバイス認証の仕組みや導入方法は、Windows 8.1の「ワークプレース参加」から大きく変更されています。前回に続き、今回もWindows 10におけるワークプレース参加について説明します。

[山市良，テクニカルライター] PC用表示関連情報

LINE

Hatena

オンプレミスにおけるWindows 10のデバイス認証のサポートは結構大変

　オンプレミスにおけるWindows 10のデバイス認証は、2015年11月のWindows 10 バージョン1511でサポートされたばかりであり、前提となるサーバ環境は開発中という状況です。Windows Server 2016 Technical Preview（TP）4で評価できるのかどうか、実際に試してみました。ただし、詳しい手順は今後変更になる可能性もあるため説明しません。ここでは、幾つかのポイントだけを説明します。

●ポイントその1

　Windows Server 2016 TP4でActive Directoryフォレスト／ドメインを新規作成し、AD FSおよびWebアプリケーションプロキシの環境をセットアップします。この手順は、Windows Server 2012 R2でWindows 8.1のワークプレース参加をサポートするための環境を構築する場合と大部分が同じです。

　実際、同じ環境でWindows 8.1のワークプレース参加をサポートすることができました。Windows 10をサポートするためには、追加でWindows PowerShellによる操作が必要になります（画面4）。

画面4　Windows Server 2016のAD FS環境を構築し、ディレクトリ同期におけるWindows 10のサポートを有効化する。この他にも、Windows 10のために証明書利用者信頼の構成やエンドポイントの有効化なども必要

●ポイントその2

　「Azure AD Connect」をインストールして実行し、Azure ADとのディレクトリ同期をセットアップします（画面5）。

画面5　Azure ADとオンプレミスのActive Directoryをディレクトリ同期する

●ポイントその3

　Azure AD側でワークプレース参加で登録されたデバイスをオンプレミスに書き戻すために、Azure AD Connectを再実行して「デバイスの書き戻し」を有効化します（画面6）。

画面6　Azure ADからオンプレミスへのデバイスの書き戻しを有効化する。なお、画面では「プレビュー」と表示されているが、2016年2月29日にリリースされたAzure AD Connectの新しいバージョン（バージョン1.1.105.0以降）では正式対応になった

［参考］Azure AD Connect：Version Release History［英語］（Microsoft Azure）

●ポイントその4

　グループポリシーで「ドメインに参加しているコンピューターをデバイスとして登録する」ポリシーを有効化し、Windows 10 バージョン1511を実行するPCにポリシーを適用する（画面7）。

画面7　ドメインに参加するWindows 10クライアントをオンプレミスのAD FSに自動でデバイス登録するようにグループポリシーを設定する

　このような設定を行うことで、ドメインに参加したWindows 10クライアントがActive Directoryに自動でデバイス登録されます。登録されたデバイスは、Active Directoryの「RegisteredDevices」コンテナで確認できます。このデバイスの情報は、次回のディレクトリ同期のタイミングでAzure AD側に反映されます（Azure ADのUIには表示されません）。

　また、Azure AD側でワークプレース参加されたWindows 10のデバイス情報は、ディレクトリ同期でのデバイスの書き戻しによって、Active Directoryの「RegisteredDevices」コンテナに反映されます（画面8）。

画面8　ドメインに参加するPCが、自動的にActive Directoryにデバイス登録された

　なお、ドメイン参加PCのデバイス登録は、グループポリシーによって有効化される「￥Microsoft￥Windows￥Workplace Join￥Automatic-Device-Join」タスクによって、ユーザーのサインイン時に実行されます。具体的には、「%Windir%￥System32￥dsregcmd.exe」を実行することで実現されています。「dsregcmd /status」コマンドを実行することで、登録状況を確認できました（画面9）。

画面9　ドメインに参加したWindows 10からは、クラウドアプリやオンプレミスのクレームベースのアプリへのSSOアクセスが可能に

オンプレミスでのMicrosoft Passport for Workは？

　Windows 10は、クラウド時代に対応した「Microsoft Passport」と呼ばれる新しい認証テクノロジーを備えています。従来、クラウドのアプリケーションを利用するには、IDとパスワードによる認証が必要でした。これに別の認証方法を追加して、多要素認証で認証を強化することはできますが、IDとパスワードが不要になるわけではありません。

　Microsoft Passportを利用すると、パスワードを入力することなく、アクセス元のデバイスだけに保存されているPIN入力、または「Windows Hello」（指紋や顔認識などの生体認証）によるWindows 10へのサインインで、さまざまなクラウドアプリへのSSOアクセスを実現することができます。

　Microsoft Passportは現状、MicrosoftアカウントでセットアップしたWindows 10、およびAzure AD参加をセットアップしたWindows 10で利用可能です。後者は、「Microsoft Passport for Work」と呼ばれます（図2）。

図2　Microsoft Passportを利用した、パスワードをやりとりしないアプリへのSSOアクセス

　Microsoft Passport for Workは、オンプレミスのActive Directoryドメイン環境でもサポートされる予定です。今回説明したオンプレミスのWindows 10のデバイス認証環境は、Microsoft Passport for Workの基盤にもなります。

　オンプレミスではさらに、ユーザーの証明書ベース（スマートカードとの組み合わせ）または鍵ベースのMicrosoft Passport for Workを利用可能にするために、証明書や鍵のプロビジョニングや配布のために追加の構成が必要なようです。それには、最新のSystem Center Configuration Manager（バージョン1509以降）の管理環境と「Active Directory証明書サービス」の展開が必要です。また、Windows 10の現在のリリース（少なくともWindows 10 バージョン1511以前）やWindows Server 2016 Technical Previewにまだ実装されていない部分もあるようです。

　Microsoft Passportの詳細、およびMicrosoft Passport for Workの実装状況については、以下のドキュメントで確認できます。

Microsoft Passportガイド（マイクロソフト TechNet）
組織でのMicrosoft Passportの実装（マイクロソフト TechNet）
Microsoft Passportを使った本人確認の管理（マイクロソフト TechNet）
Enable Microsoft Passport for work in the organization［英語］（Microsoft Azure）
Azure AD + Domain Join + Windows 10［英語］（Active Directory Team Blog）

「vNextに備えよ！次期Windows Serverのココに注目」バックナンバー

筆者紹介

山市良（やまいちりょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。

Windows 10の「ワークプレース参加」はどうなる？［後編］：vNextに備えよ！次期Windows Serverのココに注目（44）（2/2 ページ）