ご質問
Access Control と Microsoft Entra Join (Microsoft Entra 参加) を併用したいが、運用に関して何か注意点はありますか。
回答
Access Control と Microsoft Entra Join (Microsoft Entra 参加) を併用する場合、認証に関していくつかの注意事項があります。
詳細は 概要 を確認してください。
注意事項
- 本記事における Access Control の仕様は 2025 年 12 月時点での製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
- この記事は 2025 年 1 月の Microsoft Entra Join の仕様に基づいて弊社で検証した内容をもとに記載しており、確実な動作を保証するものではありません。
Microsoft Entra Join との併用にあたっては、事前に動作確認を実施することを強く推奨します。
想定通りの動作が確認できなかった場合でも弊社は責任を負いかねます。
概要
Microsoft Entra Join (Microsoft Entra 参加) とは何か
Microsoft Entra Join (Microsoft Entra 参加、旧 Azure AD Join) とは、Windows 10 / 11 などのデバイスを Microsoft Entra ID (旧 Azure Active Directory) に直接参加させることです。
従来の Windows デバイスは、Active Directory (AD) ドメインに参加させていましたが、クラウドサービスの利用が増えるにつれて、クラウドベースの ID 管理システムである Microsoft Entra ID に参加させるケースが増加しています。
参考: Microsoft Entra 参加済みデバイスとは
Microsoft 365 にて Access Control によるフェデレーションを実施した状態で、Microsoft Entra Join (Microsoft Entra 参加) を行うとどうなるか?
Windows サインイン時に Access Control の認証画面は表示されませんが、認証は Access Control となります。
Windows サインイン時は Access Control のユーザ情報 (UPN とパスワード) を利用します。
※ 実際の運用時には Access Control でも別途設定が必要です。詳細はこちらを参照してください。
Access Control のパスワードを変更したら、Windows サインイン時のパスワードも変更されるか?
変更されます。
しかし、Windows にはキャッシュログオンの機能があり、一度 Windows サインインに成功すると、Access Control でパスワードを変更しても、古いパスワードでサインインできてしまうという事象が発生することを確認しています。
(新しいパスワードでサインインすると、古いパスワードではサインインできないという検証結果を確認しています。)
参考: Microsoft Entra のデバイス管理に関する FAQ
Microsoft Entra Join (Microsoft Entra 参加) した場合、Microsoft Edge や拡張機能を入れた Google Chrome で Microsoft 365 Web アプリや、Microsoft Teams・Microsoft Office などのクライアントアプリケーションにダイレクトログインが可能になるか?
可能になります。
Microsoft Edge や拡張機能を入れた Google Chrome での Microsoft 365 Web アプリや、Microsoft Teams・Microsoft Office などのクライアントアプリケーションには、Access Control の認証を経由することなく、ダイレクトログインされます。
こちらの挙動は Microsoft Entra Join の技術仕様に依存しますので、詳細は Microsoft 社にお問い合わせください。
Windows 端末において PIN を設定した場合はどうなるか?
PIN を設定した場合、Windows サインイン時に Access Control のユーザ情報および認証は利用されません。
Windows サインイン時に Access Control のユーザ情報および認証を利用する場合、Access Control のアクセスログにログは残るか?
Windows サインイン時にはレガシー認証 (WS-Trust) が用いられます。
Access Control にて認証が行われた場合、アクセスログには「Windows-AzureAD-Authentication-Provider/1.0」のログが表示されます。
レガシー認証 (WS-Trust) のログは 2025 年 12 月 1 日以降のものに限り Access Control 管理画面から閲覧が可能です。
上記以前のサインインのログを確認したい場合や、詳細を確認したい場合、Microsoft Entra 管理センターのサインインログを確認してください。
参考: 方法: Microsoft Entra 参加の実装を計画する(外部リンク)
Windowsサインイン時に HENNGE Device Certificate (デバイス証明書) を利用した認証を構成することは可能か?
Windows サインイン時にはレガシー認証 (WS-Trust) が用いられますが、レガシー認証 (WS-Trust) では、デバイス証明書を使用することはできません。
Microsoft 社のサービス以外に対してはデバイス証明書を利用した認証を構成することは可能か?
当該サービスが Access Control のデバイス証明書を読み込むことができれば、構成は可能です。
ただし、デバイス証明書は Windows プロファイルごとに必要な点に注意してください。
これから Microsoft Entra 参加をするという状況の場合、まずローカルユーザーで Windows サインインを行います。
その後、Microsoft Entra 参加時に Access Control の認証が求められ、Microsoft Entra 参加後プロファイルが作成されるという動きになりますので、以下の通り、1 ユーザーあたりデバイス証明書が 2 枚必要になります。
・ローカルユーザーでデバイス証明書が 1 枚必要
・Microsoft Entra ユーザーで Windows サインインした先でデバイス証明書が 1 枚必要
上記を解消するためには Microsoft Entra 参加時はアクセスポリシーテンプレートでデバイス証明書必須の条件式を記載せず、Microsoft Entra 参加後に記載する対応が必要となります。
Access Control と Microsoft Entra Join (Microsoft Entra 参加)を併用するためには、追加で設定が必要か?
Access Control と Microsoft Entra Join (Microsoft Entra 参加) を併用する場合は、Access Control 上で以下の設定が別途必要となります。
1. [uastr:"%Windows-AzureAD-Authentication-Provider%"] と条件式が入ったアクセスポリシーテンプレートを新規作成する。
2. Microsoft Entra Join を利用するユーザーの所属するアクセスポリシーグループを開き [レガシー認証を許可する条件] で [下記の条件で許可する] を選択し、1. の [uastr:"%Windows-AzureAD-Authentication-Provider%"] と条件式が入ったアクセスポリシーテンプレートを選択し、保存する。
※ [Windows-AzureAD-Authentication-Provider/1.0] とは、Microsoft Entra Join 経由でのライセンス認証を行った場合のユーザーエージェントです。
今後の Microsoft 社のアップデートにより、事前に予告なく、当該ユーザーエージェントの文字列は変更される可能性があります。