Microsoft Entra Hybrid Joinの構成およびサインインの処理の流れ(※25000文字強の記事)

この記事では、Hybrid Entra ID Join（旧称：Hybrid Azure AD Join、以下HMEJと呼びます）がどのような仕組みで構成され、構成後にどのような流れでユーザーの Primary Refresh Token（以下PRT）を取得してシングルサインオン（SSO）が実現されるのか、具体的なプロセスとともに解説します。以下、オンプレミス環境とMicrosoft Entra ID（Azure AD）の連携から、ユーザー認証時のトークン発行までの全体像を順を追って説明します。

1. はじめに

Hybrid Entra ID Join (旧称：Hybrid Azure AD Join) とは、オンプレミスの Active Directory (AD) にドメイン参加している Windows 10 以降のデバイスを、同時に Microsoft Entra ID (Azure AD) にも参加させる仕組みです。
これにより、オンプレミスとクラウド双方の環境にシームレスなシングルサインオン (SSO) を実装でき、ユーザーの利便性とセキュリティを同時に向上させることが可能になります。

1.1 デバイス ID の保護と Microsoft Entra ID

Microsoft Entra ID (Azure AD) は、ユーザーのみならずデバイスも「アイデンティティ」として管理します。デバイスオブジェクトを作成する方法は下記の3つがあります。

• Microsoft Entra Join

• Hybrid Microsoft Entra Join (Hybrid Entra ID Join)

• Entra ID Registration (職場または学校アカウント登録)

それぞれの方式がありますが、本記事の焦点は Hybrid Entra ID Join です。オンプレミスのActive Directoryに参加済みのデバイスをクラウドにも参加させ、シングルサインオン (SSO) や条件付きアクセス (Conditional Access) を適用可能にします。

これから完全にクラウドサービスのみで環境を構成するならMicrosoft Entra Joinのみで構成が可能ですが、Active Directoryに参加している大量のWindows PCがあり、エンドユーザーには何もさせずに自動的にActive Directoryに加えてMicrosoft Entra IDの管理化に移行したい組織は多いでしょう。そのような組織にHybrid Entra ID Join構成はとても適しています。非常に多くのActive Directoryを持つ企業がHybrid Entra ID Join構成に移行しています。

---

2. ハイブリッド参加 (HMEJ) の構成フロー

本章では、HMEJ の設定から最終的にデバイス上でサインインが完了し、PRT (Primary Refresh Token) を取得するまでの流れを解説します。重要なポイントは、Automatic-Device-Join が 1 回では完結しない点です。

記事購入を検討される方への注意
記事単体では3000円という値付けになっていますが、メンバーシップに入れば当月300円で、この記事含めてその他100本以上の有料記事が全部読めますのでメンバーシップ加入が圧倒的にお得です。というか個別に購入するのはあり得ないレベルになっております…