ハイブリッド アジュール アクティブ ディレクトリ参加済み

注:

2023年7月以降、マイクロソフトはアジュール アクティブ ディレクトリ (Azure AD) をマイクロソフト Entra ID に名称変更しました。このドキュメントでは、アジュール アクティブ ディレクトリ、Azure AD、または AAD へのすべての参照は、マイクロソフト Entra ID を指します。

この記事では、システム要件セクションで概説されている要件に加えて、ハイブリッド Azure Active Directory (HAAD) 参加済みカタログと Microsoft Intune に登録されたハイブリッド Azure AD 参加済みカタログの ID プールを作成するための要件について説明します。

ハイブリッド Azure AD 参加済みマシンは、オンプレミスの AD を認証プロバイダーとして使用します。それらをオンプレミスの AD のドメインユーザーまたはグループに割り当てることができます。Azure AD のシームレスな SSO エクスペリエンスを有効にするには、ドメインユーザーを Azure AD に同期する必要があります。

注:

ハイブリッド Azure AD 参加済み VM は、フェデレーション ID インフラストラクチャとマネージド ID インフラストラクチャの両方でサポートされています。

ハイブリッド アジュール アクティブ ディレクトリ 参加済みの要件

• VDA タイプ: シングルセッション (デスクトップのみ) またはマルチセッション (アプリとデスクトップ)
• VDA バージョン: 2212 以降
• プロビジョニングタイプ: Machine Creation Services™ (MCS)、永続的および非永続的
• 割り当てタイプ: 専用およびプール型
• ホスティングプラットフォーム: 任意のハイパーバイザーまたはクラウドサービス

ハイブリッド Azure Active Directory 参加済みの制限事項

• Citrix Federated Authentication Service (FAS) を使用する場合、シングルサインオンは Azure AD ではなくオンプレミスの AD に向けられます。この場合、ユーザーログオン時にプライマリ更新トークン (PRT) が生成されるように Azure AD 証明書ベース認証を構成することをお勧めします。これにより、セッション内の Azure AD リソースへのシングルサインオンが容易になります。そうしないと、PRT が存在せず、Azure AD リソースへの SSO は機能しません。Citrix Federated Authentication Service (FAS) を使用してハイブリッド参加済み VDA への Azure AD シングルサインオン (SSO) を実現する方法については、「ハイブリッド参加済み VDA」を参照してください。
• マシンカタログの作成または更新中にイメージの準備をスキップしないでください。イメージの準備をスキップしたい場合は、マスターVMがAzure ADまたはハイブリッドAzure ADに参加していないことを確認してください。

ハイブリッドAzure Active Directory参加に関する考慮事項

• ハイブリッドAzure Active Directory参加済みマシンを作成するには、ターゲットドメインでWrite userCertificate権限が必要です。カタログ作成時に、その権限を持つ管理者の資格情報を入力していることを確認してください。

• ハイブリッドAzure AD参加プロセスはCitrixによって管理されます。マスターVMでWindowsによって制御されるautoWorkplaceJoinを次のように無効にする必要があります。autoWorkplaceJoinを手動で無効にするタスクは、VDAバージョン2212以前の場合にのみ必要です。

  1. gpedit.mscを実行します。
  2. コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > デバイス登録に移動します。
  3. ドメイン参加済みコンピューターをデバイスとして登録するを無効に設定します。

• マシンIDを作成する際に、Azure ADと同期するように構成されている組織単位 (OU) を選択します。

• Windows 11 22H2ベースのマスターVMの場合、システム起動時にSYSTEMアカウントを使用して次のコマンドを実行するスケジュールされたタスクをマスターVMに作成します。マスターVMでタスクをスケジュールするこのタスクは、VDAバージョン2212以前の場合にのみ必要です。

   $VirtualDesktopKeyPath = 'HKLM:\Software\AzureAD\VirtualDesktop'
   $WorkplaceJoinKeyPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin'
   $MaxCount = 60
  
   for ($count = 1; $count -le $MaxCount; $count++)
   {
     if ((Test-Path -Path $VirtualDesktopKeyPath) -eq $true)
     {
       $provider = (Get-Item -Path $VirtualDesktopKeyPath).GetValue("Provider", $null)
       if ($provider -eq 'Citrix')
       {
           break;
       }
  
       if ($provider -eq 1)
       {
           Set-ItemProperty -Path $VirtualDesktopKeyPath -Name "Provider" -Value "Citrix" -Force
           Set-ItemProperty -Path $WorkplaceJoinKeyPath -Name "autoWorkplaceJoin" -Value 1 -Force
           Start-Sleep 5
           dsregcmd /join
           break
       }
     }
  
     Start-Sleep 1
   }
   <!--NeedCopy-->
  

• デフォルトでは、Azure AD Connectは30分ごとに同期します。プロビジョニングされたマシンが最初の起動時にハイブリッドAzure ADに参加するまで、最大30分かかる場合があります。

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログ

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログ、永続的なシングルセッションおよびマルチセッションVMは、共同管理機能を持つデバイス資格情報を使用します。

共同管理により、Configuration ManagerとMicrosoft Intuneの両方を使用して、Windows 10以降のデバイスを同時に管理できます。詳細については、共同管理を参照してください。

Microsoft Intuneに登録されたハイブリッドAzure AD参加済みカタログの前提条件

この機能を有効にする前に、以下を確認してください。

• お使いの Azure 環境が Microsoft Intune を使用するためのライセンス要件を満たしていること。詳細については、Microsoft ドキュメントを参照してください。
• 共同管理が有効になっている有効な Configuration Manager 展開があること。詳細については、Microsoft ドキュメントを参照してください。

Microsoft Intune に登録されているハイブリッド Azure AD 参加済みカタログの要件

• VDA タイプ: シングルセッションまたはマルチセッション
• VDA バージョン: 2407 以降
• プロビジョニングタイプ: Machine Creation Service (MCS)、永続的。非永続的なシングルおよびマルチセッション VM 用の Microsoft Intune に登録されたハイブリッド Azure AD 参加済みカタログは、現在プレビュー中です。ハイブリッド Entra ID 参加済み非永続 VM の Microsoft Intune への登録を参照してください。
• 割り当てタイプ: 専用およびプール
• ホスティングプラットフォーム: 任意のハイパーバイザーまたはクラウドサービス

Microsoft Intune に登録されているハイブリッド Azure AD 参加済みカタログの制限事項

• マシンカタログの作成または更新時に、イメージの準備をスキップしないでください。
• Configuration Manager のインターネットベースのクライアント管理 (IBCM) はサポートされていません。

Microsoft Intune に登録されているハイブリッド Azure AD 参加済みカタログに関する考慮事項

• カタログ内の多数のマシンが同時に電源オンになると、Intune 登録が遅れる可能性があります。

  Microsoft は、特定の時間枠内に登録できるデバイスの数を制限する、テナントごとの Intune 登録制限を課しています。許可されるデバイスの数は、テナントに関連付けられている Microsoft Intune ライセンスの数によって異なります。テナントの許容制限については、Microsoft アカウントチームにお問い合わせください。このアプローチにより、大規模な環境での Microsoft Intune 登録のスケーリングが向上します。

  永続的なマシンの場合、すべてのデバイスが Intune 登録を完了するまでに初期の待機時間が必要になる場合があります。

  非永続マシンについては、Autoscale™ または手動電源操作のいずれかで、同時電源操作を制限することを検討してください。

• Configuration Manager のクラウドアタッチを構成します。詳細については、Microsoft ドキュメント を参照してください。
• マスター VM に Configuration Manager クライアントを手動でインストールし、サイトコードを .\CCMSetup.exe /mp:SCCMServer /logon FSP=SCCMServer で割り当てないでください。SCCMServer は、お使いの環境の SCCM サーバー名です。詳細については、Microsoft ドキュメント を参照してください。

• MCS で作成されたマシンは、Active Directory Domain Services に公開されているサイト境界グループを見つけるために、自動サイト割り当てメカニズムを使用します。お使いの環境で Configuration Manager の 境界と境界グループ が構成されていることを確認してください。自動サイト割り当てが利用できない場合は、次のレジストリ設定を通じて、マスター VM で静的な Configuration Manager サイトコードを構成できます。

  キー:

   HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MachineIdentityServiceAgent\DeviceManagement
   <!--NeedCopy-->
  

  値の名前: MdmSccmSiteCode

  値の型: 文字列

  値のデータ: the site code to be assigned

次のステップ

Hybrid Azure Active Directory 参加済みカタログの ID プール作成の詳細については、Hybrid Azure Active Directory 参加済みマシン ID の ID プール を参照してください。