ご質問
HENNGE Access Control と Microsoft Entra Join (Microsoft Entra 参加) を併用したいが、運用に関して何か注意点はありますか。
回答
HENNGE Access Control と Microsoft Entra Join (Microsoft Entra 参加) を併用する場合、認証に関していくつかの注意事項があります。
詳細は 概要 を確認してください。
注意事項
- 本記事の内容は 2025 年 1 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
概要
Microsoft Entra Join (Microsoft Entra 参加) とは何か
Microsoft Entra Join (Microsoft Entra 参加、旧 Azure AD Join) とは、Windows 10 / 11 などのデバイスを Microsoft Entra ID (旧 Azure Active Directory) に直接参加させることです。
従来の Windows デバイスは、Active Directory (AD) ドメインに参加させていましたが、クラウドサービスの利用が増えるにつれて、クラウドベースの ID 管理システムである Microsoft Entra ID に参加させるケースが増加しています。
参考: Microsoft Entra 参加済みデバイスとは
Microsoft 365 にて HENNGE Access Control によるフェデレーションを実施した状態で、Microsoft Entra Join (Microsoft Entra 参加) を行うとどうなるか?
Windows サインイン時に HENNGE Access Control の認証画面は表示されませんが、認証は HENNGE Access Control となります。
Windows サインイン時は HENNGE Access Control のユーザ情報 (UPN とパスワード) を利用します。
※ 実際の運用時には HENNGE Access Control でも別途設定が必要です。詳細はこちらを参照してください。
HENNGE Access Control のパスワードを変更したら、Windows サインイン時のパスワードも変更されるか?
変更されます。
しかし、Windows にはキャッシュログオンの機能があり、一度 Windows サインインに成功すると、HENNGE Access Control でパスワードを変更しても、古いパスワードでサインインできてしまうという事象が発生することを確認しています。
(新しいパスワードでサインインすると、古いパスワードではサインインできないという検証結果を確認しています。)
参考: Microsoft Entra のデバイス管理に関する FAQ
Microsoft Entra Join (Microsoft Entra 参加) した場合、Microsoft Edge や拡張機能を入れた Google Chrome で Microsoft 365 Web アプリや、Microsoft Teams・Microsoft Office などのクライアントアプリケーションにダイレクトログインが可能になるか?
可能になります。
Microsoft Edge や拡張機能を入れた Google Chrome での Microsoft 365 Web アプリや、Microsoft Teams・Microsoft Office などのクライアントアプリケーションには、HENNGE Access Control の認証を経由することなく、ダイレクトログインされます。
こちらの挙動は Microsoft Entra Join の技術仕様に依存しますので、詳細は Microsoft 社にお問い合わせください。
Windows 端末において PIN を設定した場合はどうなるか?
PIN を設定した場合、Windows サインイン時に HENNGE Access Control のユーザ情報および認証は利用されません。
Windows サインイン時に HENNGE Access Control のユーザ情報および認証を利用する場合、HENNGE Access Control のアクセスログにログは残るか?
Windows サインイン時にはレガシー認証 (WS-Trust) が用いられますが、HENNGE Access Control 管理画面ではレガシー認証 (WS-Trust) のログは残らない仕様となっています。
そのためサインインのログを確認したい場合、Microsoft Entra 管理センターのサインインログを参照してください。
参考: 方法: Microsoft Entra 参加の実装を計画する
Windowsサインイン時に HENNGE Device Certificate (デバイス証明書) を利用した認証を構成することは可能か?
Windows サインイン時にはレガシー認証 (WS-Trust) が用いられますが、レガシー認証 (WS-Trust) では、デバイス証明書を使用することはできません。
Microsoft 社のサービス以外に対してはデバイス証明書を利用した認証を構成することは可能か?
当該サービスが HENNGE Access Control のデバイス証明書を読み込むことができれば、構成は可能です。
ただし、デバイス証明書は Windows プロファイルごとに必要な点に注意してください。
これから Microsoft Entra 参加をするという状況の場合、まずローカルユーザーで Windows サインインを行います。
その後、Microsoft Entra 参加時に HENNGE Access Control の認証が求められ、Microsoft Entra 参加後プロファイルが作成されるという動きになりますので、以下の通り、1 ユーザーあたりデバイス証明書が 2 枚必要になります。
・ローカルユーザーでデバイス証明書が 1 枚必要
・Microsoft Entra ユーザーで Windows サインインした先でデバイス証明書が 1 枚必要
上記を解消するためには Microsoft Entra 参加時はアクセスポリシーテンプレートでデバイス証明書必須の条件式を記載せず、Microsoft Entra 参加後に記載する対応が必要となります。
HENNGE Access Control と Microsoft Entra Join (Microsoft Entra 参加)を併用するためには、追加で設定が必要か?
HENNGE Access Control と Microsoft Entra Join (Microsoft Entra 参加) を併用する場合は、HENNGE Access Control 上で以下の設定が別途必要となります。
1. [uastr:"%Windows-AzureAD-Authentication-Provider%"] と条件式が入ったアクセスポリシーテンプレートを新規作成する。
2. Microsoft Entra Join を利用するユーザーの所属するアクセスポリシーグループを開き [レガシー認証を許可する条件] で [下記の条件で許可する] を選択し、1. の [uastr:"%Windows-AzureAD-Authentication-Provider%"] と条件式が入ったアクセスポリシーテンプレートを選択し、保存する。
※ [Windows-AzureAD-Authentication-Provider/1.0] とは、Microsoft Entra Join 経由でのライセンス認証を行った場合のユーザーエージェントです。
今後の Microsoft 社のアップデートにより、事前に予告なく、当該ユーザーエージェントの文字列は変更される可能性があります。