2015/09/10

Windows Server 2016 TP3 > Azure AD Connect で Device Writeback に挑戦(成功と失敗)


Windows 10 は Workplace Join に対応しているのか?(=デバイス認証でオンプレのリソース制御できるのか?) が気になって追いかけているシリーズ。

Windows 10 に Workplace Join 機能はあるの?ないの?(追記あり) 」「Windows Server 2016 TP3 > Azure AD Connect でディレクトリ同期 」の続き。

Windows 10 を直接 Workplace Join するのではなく、Azure Active Directory (Azure AD) の Azure AD Join とオンプレミスの Active Directory (AD) のデバイス登録サービス (Device Registration Service: DRS) を連携させるという方法が使えそうな感じ。


Windows Server 2016 テクノロジ入門-Technical Preview エディション』の第 4 章「4.3 エンタープライズモビリティのインフラストラクチャ」で説明している Windows Server 2016 Technical Preview 3 (書籍は TP2 ですが TP3 で作り直しました) ベースの AD DS + AD FS + WAP 環境に追加でセットアップしてみました。

ところが、既に Azure AD Connect (→ http://www.microsoft.com/en-us/download/details.aspx?id=47594) を使用して Azure AD とオンプレミスの AD のディレクトリ同期をしている場合、デバイスの書き戻し(Device writeback) 機能を有効化しようとしても次のように表示され、簡単には有効化できませんでした。
This feature is disabled because there is no eligible forest with appropriate permissions for device writeback.
何とかして、この状況から先に進んでみたいと思います。

以下の手順は、Azure AD Connect で既にディレクトリ統合をセットアップ済みの環境に Device writeback オプションを追加で構成する手順になります。新規で最初からセットアップするには、Azure AD Connect の Express Settings ではなく、Customize で進めればいいと思います。

Azure AD で Azure AD Join を有効化する。(Device writeback のためには Azure AD Premium ライセンスとユーザーへの割り当てが必要みたいです。30 日間の無料評価版あり)

AD FS と Web Application Proxyを展開し、AD FSのデバイス登録サービス(Device Registration Service)を有効化する。AD FS と Web Application Proxy の展開については、新刊『Windows Server 2016 テクノロジ入門 ― Technical Preview エディション』の第 4 章で詳しく説明しています。


AD FS でオンプレミス側での未使用のデバイスのクリーンアップを無効にする。(既定は 90 日後に自動削除)

PS C:\> Set-AdfsDeviceRegistration -MaximumInactiveDays 0

Azure AD Connect がインストールされているサーバーの PowerShell で以下を実行して、オンプレミス側の AD のフォレスト/ドメインを Windows 10 対応のデバイスの書き戻し用に準備する。

PS C:\> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

PS C:\> $accountName = "<オンプレADドメイン名>\administrator" 

PS C:\> $azureADCreds = Get-Credential 

PS C:\> Initialize-ADSyncDeviceWriteBack -AdConnectorAccount $accountName -DomainName <オンプレADドメインのFQDN> 
Initializing your Active Directory forest and domain for device object write-back from Azure AD.


PS C:\> Initialize-ADSyncDomainJoinedComputerSync -ADConnectorAccount $accountName -AzureADCredentials $azureADCreds 
Initializing your Active Directory forest to sync Windows 10 domain joined computers to Azure AD
 

PS C:\> Initialize-ADSyncNGCKeysWriteBack -AdConnectorAccount $accountName 
Initialize all domains in your Active Directory forest for NGC keys write-back from Azure AD.

※ Azure AD を Windows 8.1/7/iOS/Android の Workplace Join だけの場合、Initialize-ADSyncDomainJoinedComputerSync と Initialize-ADSyncNGCKeysWriteBack の 2 つは不要だと思います。

Azureポータル (https://manage.windowsazure.com/) の active directory > ディレクトリ > ディレクトリ統合を開き、ディレクトリ同期を非アクティブ化する。


Azure AD Connect がインストールされているサーバーの PowerShell で以下を実行して現在の同期設定を削除する。これからディレクトリ同期を初めてセットアップするという場合は、Azure AD Connect の Express Settings ではなく、Customize で進めればいいと思います。

PS C:\> Get-AdSyncConnector|Remove-AdSyncConnector

デスクトップ上の Azure AD Connect アイコン(スタート メニューの Azure AD Connect\Azure AD Connect)をクリックして、ディレクトリ同期を再セットアップ。これで、Device writeback (Preview) をチェックできました。



※フォレストの機能レベルが Windows Server Technical Preview だと構成できないので注意(Windows Server 2016 TP3 > Azure AD Connect でディレクトリ同期

オンプレミスの ID を指定して Windows 10 デバイスを Azure AD に参加。Web Application Proxy の AD FS プロキシにリダイレクトされるので、オンプレミスの ID とパスワードで認証して参加完了。



Azureポータル (https://manage.windowsazure.com/) の active directory > ディレクトリ > ユーザー > ユーザー ID > デバイスを開き、デバイスが登録済みになったことを確認。



オンプレミスの Active Directory の RegisteredDevices コンテナーにデバイスが同期されていることを確認する。同期されるまで、最大 3 時間かかることがある。これは、同期タスクが 3 時間ごとの実行のため。お急ぎなら、同期タスクを手動実行すればよい。

キター!!


これで、オンプレミスの Workplace Join 環境に Azure AD Join な Windows 10 デバイスを登録することができました。

この時点で、インターネット上の Windows 10 デバイスでは、オンプレミスの ID で Windows にサインインでき、Microsoft Passport も使用できる状態。Office 365 ポータルには Windows にサインインした資格情報でシングルサインオンできました。

一方、オンプレミス側では、Windows 10 デバイスを Workplace Join の Windows 8.1/7/iOS/Android デバイスと同じようには、AD FS 認証による社内リソースへのアクセス制御にデバイス認証を適用できるようになるはず。

例えば、こんな感じ...(詳しくは、カッツアイ)

参考:
Azure Active Directory Device Registration Overview
[URL] https://msdn.microsoft.com/ja-jp/library/azure/6a14cb1f-a058-4453-8ede-d9f4a66a7073#BKMK_ConfigureAzureDRSDiscovery
Azure Active Directory Device Registration を使用してオンプレミスの条件付きアクセスを設定する
[URL] https://msdn.microsoft.com/ja-jp/library/azure/dn788908


 ・・・

のはずなんですが... 追加のセキュリティ云々のエラーで失敗。エラーを切り分けようと、デバイス認証のみでアクセス許可するようにしてみたところ、「デバイス認証に失敗しました」と。残念。





オンプレミスのデバイス登録サービス (DRS) に直接または Web Application Proxy 経由で Workplace Join した Windows 8.1 PC だと、同じ AD FS 環境で問題なくデバイス認証できます。
 
また、外部用 DNS に enterpriseregistration.<dnssufix> とenterpriseregistration.region.<dnssufix> の CNAME をenterpriseregistration.windows.net に設定すると (※Windows 10 の Azure AD Join には不要な設定)、Windows 8.1/7/iOS/Android デバイスを Azure AD で Workplace Join することができるのですが、この方法で Azure AD に Workplace Join した Windows 8.1 デバイスは、オンプレミスの AD FS で期待どおりにデバイス認証できました。


まとめると、いまココ↓ Windows 10 とだけお友達になれない。





2 件のコメント:

山市 良 さんのコメント...

AD FS TP4(10586) or newer、Azure AD Connect Nov 2015 or later、Windows 10 client 1511(10586) or newer, joined AD domain という要件がありました。TP3とWIN10(10240) でできないはずです。

Windows 10 Sign on – enabling device authentication with AD FS
https://technet.microsoft.com/en-us/library/mt593303.aspx

山市 良 さんのコメント...

ようやく成功しました。
Windows 10 のデバイス認証と Microsoft Passport for Work をオンプレに展開 (成功)