ドメイン参加、Entra参加、Entra Hybrid参加について考える

みなさんこんにちは。

Windowsには、組織で集中管理を行うための手法がいくつかあります。

オンプレミス時代のスタンダードであるドメイン参加（AD参加）に加え、クラウドネイティブなMicrosoft Entra参加、そしてその2つを融合させたMicrosoft Entra Hybrid参加もあります。(以降Microsoftは省略)

今回はユーザー管理と認証の観点から、それぞれの違いを整理したいと思います。

ワークグループ(ローカルアカウント・Microsoftアカウント)

本題に入る前に、デフォルト状態であるワークグループについてふれます。

ローカルアカウントまたは個人のMicrosoftアカウントでWindowsログインして使う場合、ワークグループという状態になっています。

Windowsには元々同一ネットワーク内でファイルなどを共有する仕組みが備わっています。
それがワークグループという機能です。

システムのプロパティを見ると、所属するグループの欄がワークグループとなっていることがわかります。

正直なところ、個人で使っている限り特に意識することもないとは思いますが、何もしない場合は自然にワークグループ状態になっていると思ってください。

ドメイン参加（AD参加）

ワークグループに対し、Windowsのアカウントやアクセス権を管理者が一元管理できるようにする仕組みがドメイン参加です。
ドメイン参加するにはActive Directory（ADDS、ドメインコントローラー）を用意する必要があります。

端末側からは前項のシステムのプロパティから参加するドメインを指定し、画面に沿って操作を行うことでドメイン参加ができます。

ドメイン参加すると、その端末にはAD上のどのユーザーでもログインできる状態になります。
同じデスクトップPCに、職場のAさんとBさんがそれぞれ自分のアカウントでログインして使用する、といった使い方ができます。

アカウントの作成・停止はAD側で管理者が一元管理できるため、端末側のアカウント管理が不要になります。

またもう一つのポイントとして、Kerberos認証が利用できるようになります。

ADではKerberos認証という認証方式が使われており、ドメイン参加したPCに対しKerberos TGTというチケットが発行されます。

このチケットがアクセス許可証のような役割を果たし、ファイルサーバーやKerberos認証に対応するリソースに対して、認証なしでのアクセスを可能とします。
ファイルサーバーを運用する場合はほぼ必須の機能と言ってもいいのではないでしょうか。

Entra参加

Windows10から登場したEntra参加（旧Azure AD参加）は、ドメイン参加の概念をクラウドの世界に最適化したものと言えます。
オンプレミスADに代わって、Entra IDが新たなID基盤となっています。

端末をEntra参加させるには、OOBE中に職場アカウントでサインインするか、あるいはローカルアカウントから設定アプリを利用して行う方法が一般的です。

このデバイスをMicrosoft Entra IDに参加させる をクリック

ドメイン参加ではADユーザーでログインしていたところ、Entra参加ではEntra ID（旧Azure Active Directory）のユーザーアカウントを利用してログインすることになります。
そのため、Entra IDのロールには「Entra 参加済みデバイス ローカル管理者」なんてものが用意されていたりします。

またKerberos TGTに代わる認証手段として、Primary Refresh Token（PRT）という仕組みが使われます。

プライマリ更新トークン (PRT) と Microsoft Entra ID - Microsoft Entra ID

これはオンプレミスのKerberos認証から、WebのOAuth/OIDCに対応するための変更と言えるでしょう。

PRTの実体はいわゆるJSON Web Tokenのようです。
Entra IDアカウントでPCにログインするとEntraからPRTが発行され、それを利用してMicrosoft 365などの認証が行われます。

そのためEntra参加したPCでは、OfficeアプリやEdgeなどの1stParty製品でEntra IDの認証が不要となります。
Entra IDを認証基盤とするSSOを構成することで、Microsoft以外のサービスに対してもPRTを利用した認証が可能となります。

PRTにはEntra IDが発行するデバイスIDという値が含まれており、それを使って条件付きアクセスのデバイス準拠判定が行われる点もポイントです。

Entra Hybrid参加

以上をふまえると、ドメイン参加とEntra参加では下図のような対比関係にあることがわかります。

これらの両方を取り込んだ仕組みがEntra Hybrid参加です。

Hybrid参加させるためには、前提としてMicrosoft Entra Connect（旧AzureAD Connect、MEC）を利用したAD→Entraへのオブジェクト同期が必要です。
ユーザーとデバイス両方を同期する必要があります。
詳細についてはこちらをご覧ください。

マネージド ドメイン用(AD FS なし) Hybrid Azure AD Join を一から構成する

端末側の手順としては、まずドメイン参加を行います。

これにより、ADユーザー = Entra IDユーザーとなっているアカウントでPCにログインできるようになります。
ドメイン参加しているので、ADからKerberos TGTが発行されます。

その後MEC経由でEntra IDにデバイスが同期され、Entra IDからPRTが発行されるとHybrid参加構成が完成します。

つまりHybrid参加の実態は、ドメイン参加にプラスしてPRTを取得した状態と考えることもできます。
Hybridという名はつけられているものの、ユーザーやデバイス管理の実権はADが握っていると言っていいでしょう。

何となくHybrid参加と聞くとオンプレミスとクラウド両方にアクセスできて便利そうな気がしますが、実際はオンプレミスへの依存度がかなり高い点に注意が必要です。
近い将来ADを廃止したいとお考えの場合は、最初からEntra参加を検討した方がいいかもしれません。

まとめ

今回はユーザー管理と認証に焦点を当ててドメイン参加、Entra参加、Entra Hybrid参加を考えてみました。

Entra参加は長いWindowsの歴史からすると比較的新しい管理手法ではありますが、多様な働き方が浸透してきた現在では少しずつ現実的な選択肢となってきたように思います。

ぜひ組織にあった管理手法をご検討いただければと思います。