2015/09/05

Windows 10 に Workplace Join 機能はあるの?ないの?(追記あり)

Workplace Join (ワークプレース参加) は Windows 8.1 で登場したデバイス認証機能です。この機能は、 [PC 設定 Azure AD Join (旧ワークプレース参加)を有効> ネットワーク > 社内ネットワーク]で設定することができます。

また、この機能を利用するには、Azure AD Join (以前は、デバイス登録やワークプレース参加と表記されていました)を有効化した Azure Active Directory (Azure AD) の ID、またはオンプレミスの Device Registration Service を有効化した Active Directory Federation Services (AD FS) を展開している Active Directory の ID が必要です。

Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications
[URL] https://technet.microsoft.com/en-us/library/Dn280945.aspx

Windows 10 では、 [設定 > アカウント > 職場のアクセス]が Workplace Join だと思うのですが、Windows 8.1 が参加できるオンプレミスの環境 (AD DS+AD FS)に、Windows 10 を参加させようとしても「職場または学校が見つかりませんでした」と拒否されてしまいます。ちなみに、 [設定 > アカウント > 職場のアクセス]は、Windows 10 Home ではサポートされず、Pro 以上のエディションが必要です。


以下のフォーラムのやり取りを見ると(かみ合っていないような気がしますが)、Windows 10 の新機能である Azure AD Join (Azure AD Join が有効な Azure AD が必須) に置き換わってしまったのでしょうか?

Does Windows 10 support Workplace Join feature?
[URL] https://social.technet.microsoft.com/Forums/en-US/3cf36646-40c0-477c-81d1-be22e1550ba2/does-windows-10-support-workplace-join-feature?forum=win10itprogeneral




昨日まで開催されていた FEST 2015 では、Microsoft Intune や System Center 2016 Configuration Manager (SCCM、現在、Technical Preview 3)の OMA-DM によるモバイルデバイス管理(MDM)をセットアップするのに、Windows 10 の [設定 > アカウント > 職場のアクセス]を使っているのを目にしました。

こちらは、Windows 8.1 の [PC 設定 Azure AD Join (旧ワークプレース参加)を有効> ネットワーク > 社内ネットワーク]の画面です。Windows 8.1(右)とWindows 8.1 Update(左)でモバイルデバイス管理関連の設定項目が増えています。もしかして、Windows 10 の [設定 > アカウント > 職場のアクセス]の画面には、Windows 8.1 Update の[デバイス管理をオンにする]にする設定しかないのかもしれません。


Windows 8.1 は Azure AD なしのオンプレミスだけで Workplace Join をセットアップし、アプリへのアクセスをデバイス認証で許可/拒否できました。Windows 10 で Azure AD 必須になったのだとしたら、困る企業さんもいると思うのですが、どうなんでしょう。(オンプレミスの、Windows 8.1スタイルの)Workplace Join の機能が Windows 10 に存在するのか、しないのか、Azure AD Join に置き換わってしまったのか、はっきりしませんね。

(たぶん、“Workplace Join は Azure AD Join に置き換わって、オンプレだけの Workplace Join には対応できなくなった、 [設定 > アカウント > 職場のアクセス]は Microsoft Intune (with/without SCCM) の MDM のセットアップ用で、Microsoft Intune の ID (= Azure AD の ID) が必要。結局、Azure AD が必要なのだ”って感じかな)

追記)
Workplace Join 関連のポリシー設定 (コンピューターの構成\管理用テンプレート\Windows コンポーネント\Workplace Join) が、Windows 10 から消えて無くなってる!Windows Server 2016 TP3のグループ ポリシーにも無い...

...と思ったら、コンピューターの構成\管理用テンプレート\Windows コンポーネント\デバイスの登録(Device Registration)にありました。管理用テンプレートは C:\Windows\PolicyDefinitions\WorkplaceJoin.admx と en-us\WorkplaceJoin.adml。でも、説明の「自動的にワークプレースに参加します」が「自動的に Azure Active Directoryにデバイスとして登録されます」に変更されてる。


ちなみに、このポリシーを有効にしてもオンプレミスの AD+AD FS 環境にデバイスは自動登録されませんでした。

さらに追記)
Windows 10 のデバイス認証には Azure AD+オンプレ AD のハイブリッド環境が必要!?

Azure AD Connect を使用すると、Azure AD Join で Azure AD に登録された Windows 10 デバイスを、オンプレミスの AD の RegisteredDevices コンテナーに書き戻す、デバイスの書き戻し (Device writeback) 機能により、オンプレミスのAD+AD FS (デバイス登録サービス: DRS が有効) のデバイス認証と連携させることができるようです。デバイスの書き戻し (Device writeback) は現在、プレビュー中で、利用するには Office 365 または Azure AD Premium ライセンスが必要なようです(つまり、お金がかかる)。


Custom installation of AD Connect
[URL] http://go.microsoft.com/fwlink/?LinkId=530298

Azure Active Directory Device Registration を使用してオンプレミスの条件付きアクセスを設定する
[URL] https://msdn.microsoft.com/ja-jp/library/azure/Dn788908.aspx 
 


Windows 10をオンプレミスのデバイス登録サービス(DRS)でデバイス認証するには、オンプレミスのワークプレース参加ではなく、Azure AD Join への参加をオンプレに書き戻すという、この方法を使用するというのがどうやら正解っぽいです。

Windows 10 → Azure AD Join → Azure AD ← Azure AD Connect → オンプレミスの AD (AD DS, AD FS with DRS, Web Application Proxy) のような感じで。

Windows Server 2016 TP3 > Azure AD Connect で Device Writeback に挑戦(成功と失敗)

1 件のコメント:

山市 良 さんのコメント...

AD FS、Win10 ともに 10586 以降だとできるかも
https://technet.microsoft.com/en-us/library/mt593303.aspx