Windows のドメイン参加構成の展開

Windows ドメイン参加を使用すると、ユーザーが Active Directory 認証情報またはローカル デバイスの認証情報を使用して作業用ドメインにリモートから接続できます。Workspace ONE UEM を使用して、Windows（Windows デスクトップ）デバイスのオンプレミス、ワークグループ、ハイブリッド ドメイン参加のドメイン参加構成を展開します。

Microsoft Autopilot との統合（ハイブリッド ドメイン参加）

クラウドとオンプレミスでユーザーを管理する場合は、Workspace ONE UEM を使用して、Windows Autopilot + OOBE (Out of Box Experience) を利用する Windows デバイスにハイブリッド ドメイン参加構成を割り当てることができます。

OOBE 加入用の Windows Autopilot プロファイルの使用

Windows Autopilot では、OOBE を経由するデバイスのドメイン参加タイプを指定するプロファイルを構成できます。Azure のハイブリッド ドメイン参加設定を使用して Autopilot プロファイルを構成して割り当てる必要があります。このプロファイルが割り当てられたデバイスは、OOBE プロセスを経由し、ハイブリッド Azure AD 参加済みになります。

重要：Azure のハイブリッド参加仕様で Autopilot プロファイルを割り当てない場合、Windows デバイスは OOBE を経由し、Azure AD 参加済みになります。デバイスが Azure AD 参加済みになると、デバイスを完全にリセットせずにハイブリッド ドメイン参加を開始することはできません。

Autopilot の詳細については、 Microsoft | Docs の「自動操縦プロファイルの構成」に関するトピックを参照してください。

• ユーザーがサードパーティ VPN クライアントを使用してリソースにアクセスする場合（たとえば、ユーザーが在宅勤務を行っている場合）、Autopilot プロファイル メニュー項目 [AD 接続チェックをスキップ (プレビュー)] を [はい] に構成します。
• ユーザーがサードパーティ VPN クライアントを使用せずにリソースにアクセスする場合（たとえば、ユーザーが企業のネットワークに接続している場合）、Autopilot プロファイル メニュー項目 [AD 接続チェックをスキップ (プレビュー)] を [いいえ] に構成します。

要件

• Windows Automatic の加入：モバイル デバイス管理 (MDM) システムとして Workspace ONE UEM を使用し、Azure での自動加入を構成します。詳細については、「Configure Workspace ONE UEM to Use Azure AD as an Identity Service」を参照してください。
• Workspace ONE UEM：OOBE の状態追跡ページを無効にする。
  1. Workspace ONE UEM で、[グループと設定] > [すべての設定] > [デバイスとユーザー] > [全般] > [加入] の順に移動します。
  2. [オプションのメッセージ表示] タブを選択します。
  3. [Windows] セクションに移動し、[OOBE の状態追跡ページを有効にする] を無効にします。
• Microsoft サブスクリプション：Windows Autopilot ライセンスをサポートする Microsoft サブスクリプションのいずれかを使用します。Microsoft | Docs の「Windows Autopilot のライセンス要件」というタイトルの記事にアクセスしてください。
• Windows Autopilot プロファイル：Windows デバイスにハイブリッド ドメイン参加設定が割り当てられるように、このプロファイルを Azure で構成します。詳細については、 Microsoft | Docs の「自動操縦 プロファイルの構成」に関するトピックを参照してください。
• Autopilot プロファイルを使用したデバイスの登録：Autopilot デバイスのセットアップ方法の詳細については、Microsoft | Docs の「Windows 自動操縦装置を使用して手動でデバイスを登録する」というタイトルの記事を参照してください。
• AirWatch Cloud Connector (ACC)：ACC を使用し、Workspace ONE UEM でオンプレミスの Active Directory のドメイン参加を有効にします。
• Active Directory ユーザーとコンピュータ (ADUC)：Workspace ONE UEM を使用してオンプレミスのドメイン参加を構成するには、ADUC という名前の MMC スナップインが必要です。

前提条件

• Workspace ONE UEM で、Azure を使用した Windows の自動加入を構成しました。
• デバイスが ハイブリッド Azure AD 参加済みとして Azure AD に参加するように、Azure で Autopilot プロファイルを構成して割り当てました。
• Azure で Windows デバイスを登録し、関連するハイブリッド参加 Autopilot プロファイルを割り当てました。
• Active Directory にドメインと組織単位があります。
• Active Directory を使用している場合は、Workspace ONE UEM console でディレクトリ サービスを構成している。
• Workspace ONE UEM console でドメイン参加構成を構成して割り当てました。

タスクの順序

1. Azure で、Microsoft | Docs に従って Autopilot デバイスをセットアップします。現在、このプロセスには次の手順が含まれています。
   1. Autopilot デバイスを登録します。
   2. デバイス グループを作成します。
   3. Autopilot 展開プロファイルを作成して割り当てます。
2. ADUC、ACC、Workspace ONE UEM でオンプレミス のドメイン参加を構成します。
   1. ADUC で、Windows Server 委任権限を持つユーザー アカウントを構成し、カスタム委任タスクを作成して、権限を構成します。
   2. ACC で、AirWatch Cloud Connector サービスを更新し、ADUC で作成されたユーザー アカウントを使用してログインし、ACC フォルダの書き込み権限を追加します。
   3. Workspace ONE UEM で、オンプレミスの Active Directory のドメイン参加構成を作成します。
   4. Workspace ONE UEM で、ドメイン参加構成の 1 つ以上の割り当てを作成して展開し、組織ユニットの情報を指定します。

ステップ 1：Autopilot デバイスの構成

Azure で、Microsoft ドキュメントに従って Autopilot デバイスをセットアップします。現在、このプロセスには次の手順が含まれています。

1. デバイス グループを作成します。
2. Autopilot デバイスを登録します。
3. Autopilot 展開プロファイルを作成して割り当てます。

ステップ 2：オンプレミス ドメイン参加の構成

以下の手順では、Workspace ONE UEM でドメイン参加構成を構成して割り当てる方法について説明します。これらの手順を行うと、デバイスをオンプレミス ドメインに参加させ、Workspace ONE に加入させることができます。ハイブリッド参加 Autopilot プロファイルとともに構成されている場合、デバイスは OOBE を経由してハイブリッド Azure AD に参加済みとして Azure AD に参加します。ハイブリッド ドメイン参加のすべての要件と前提条件を満たしている場合は、オンプレミス ドメイン参加のすべての要件を満たしているので、この設定に進み、ステップ 1 から開始することができます。「オンプレミス ドメイン参加」セクションで ADUC を構成します。

オンプレミス ドメイン参加

Active Directory を使用してユーザーを管理する場合は、Workspace ONE UEM を使用してオンプレミスのドメインの参加構成を割り当てることができます。

要件

• AirWatch Cloud Connector (ACC)：ACC を使用して、オンプレミスの Active Directory のドメイン参加を構成します。
• Active Directory ユーザーとコンピュータ (ADUC)：オンプレミスのドメイン参加を構成するには、ADUC という名前の MMC スナップインが必要です。このスナップインは、リモート サーバ管理ツール (RSAT) の一部です。 Windows Server に関する最新ドキュメントについては、Microsoft | Docs を参照してください。

前提条件

• Azure でドメインと組織ユニットをドメインに設定しました。
• Active Directory を使用している場合は、Workspace ONE UEM console でディレクトリ サービスを構成している。ディレクトリ サービスの構成方法の詳細については、「Integrating Workspace ONE UEM with your Directory Services」を参照してください。

タスクの順序

1. ADUC で、Windows Server 委任権限を持つユーザー アカウントを構成し、カスタム委任タスクを作成して、権限を構成します。
2. ACC で、ADUC で作成されたユーザー アカウントを使用してログインを更新し、書き込み権限を追加します。ユーザーがサービスを正常に開始できるように、ユーザーが ACC サーバに対するローカル管理者権限も持っていることを確認します。
3. Workspace ONE UEM で、オンプレミスの Active Directory のドメイン参加構成を作成します。
4. Workspace ONE UEM で、ドメイン参加構成の 1 つ以上の割り当てを作成して展開し、組織ユニットの情報を指定します。

ステップ 1：ADUC を構成する

ADUC で、Windows Server 委任アクセス権を持つユーザーを選択し、カスタム委任タスクを作成して、権限を構成します。

1. デバイスを追加するコンテナまたはフォルダを右クリックして、委任アクセスの制御 を選択します。これにより、[委任の制御ウィザード] が表示されます。
2. [委任の制御ウィザード] で、[次へ] を選択します。
3. ユーザーまたはグループ ウィンドウで、リストから Windows Server 委任アクセス権を持つユーザーを選択し、追加、次へ の順に選択します。このユーザー アカウントが [ドメイン管理者] グループのメンバーでない場合、10 台のデバイスをドメインに参加させた後にエラーが発生しないようにするには、コンピュータのアカウント作成の上限 (ms-ds-machine-computer account-quota) をデフォルト値の 10 より大きい値にします。

4. 委任するタスク ウィンドウで、委任するカスタム タスクを作成する を選択して、次へ を選択します。

   

5. [Active Directory オブジェクトタイプ] ウィンドウで、[フォルダ内の次のオブジェクトのみ：] > [コンピュータ オブジェクト] > [選択したオブジェクトをこのフォルダに作成] の順に選択し、[次へ] を選択します。

   

6. [権限] ウィンドウで、[全般] > [特定の子オブジェクトの作成/削除] > [書き込み] > [すべての子オブジェクトを作成] の順に選択し、[次へ] を選択します。

   

ステップ 2：ACC を構成する

ログイン情報を更新して、ADUC で編集したユーザーに ACC の書き込み権限を追加して、カスタム タスクを委任します。

1. Windows Server 委任アクセス権で構成されているユーザーに ACC の [ログオン方法] を変更します。
   注: ユーザーがサービスを正常に開始できるように、ユーザーが ACC サーバに対するローカル管理者権限も持っていることを確認します。
2. ACC の [高度なセキュリティ設定] 領域で、<Drive>:\VMware\AirWatch\CloudConnector にある ACC フォルダの書き込み権限をユーザーに付与します。

ステップ 3：オンプレミス ドメイン参加の作成

Active Directory の認証情報を使用してリソースにアクセスする加入済みの Windows デバイスに、Workspace ONE UEM にドメイン参加の構成を展開します。

1. Workspace ONE UEM console で、[グループと設定] > [構成] の順に移動し、リストから [ドメイン参加] を選択します。
2. 追加 を選択します。
3. [名前] フィールドには、ドメイン参加を認識できる意味のある名前を入力します。たとえば、Active Directory のユーザーとコンピュータが地理的パターンに従っている場合は、Acme - South America と入力します。このエントリは Active Directory の設定と一致する必要はありませんが、両方のシステムで類似のパターンを使用すると、ドメイン参加でデバイスを整理するのに役立ちます。
4. [ドメイン参加タイプ] に [オンプレミスの Active Directory] を選択します。
5. [ドメイン名] を表示します。[ドメイン参加の構成] ページでは、[ディレクトリ サービス] ページで構成した [サーバ] の名前が入力されます。Workspace ONE UEM ディレクトリ サービス構成では、ディレクトリ サービスに対して 1 台のサーバしか許可されないため、このフィールドは自動入力されます。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に進み、ディレクトリ サービスの設定を確認します。
   注: [ディレクトリ サービス] ページで [サーバ] エントリを変更する場合は、[DNS SRV] メニュー項目を [無効] にする必要があります。
6. [ドメインのフレンドリ名] を選択します。[ドメイン参加の構成] ページでは、[ディレクトリ サービス] ページでディレクトリ サービス サーバのドメイン リストに追加した使用可能なフレンドリ名のリストが表示されます。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [ディレクトリ サービス] の順に進み、ディレクトリ サービスを確認します。
7. [マシン名の形式] フィールドに、優先するマシン名の形式を入力します。マシン名には、サポートされている形式を使用します。ツール チップには、許可された形式が指定されています。Workspace ONE UEM では、%SERIAL% または %RAND:[#]% 形式の最大 15 文字を使用します。
8. ドメイン参加の構成を保存して、後で割り当てるか、[保存して割り当て] を選択します。

ステップ 4：ドメイン参加構成を割り当てる

1. Workspace ONE UEM console で、ドメイン参加のリスト表示（[グループと設定] > [構成] の順に選択）から [割り当て] を選択して、割り当てページに移動し、[ドメイン参加] を選択します。この構成ウィンドウは、ドメイン参加の構成で [保存して割り当て] を選択すると表示されます。
2. エントリが事前に入力されていない場合は、ドメイン参加構成の名前を選択します。
3. ユーザーにとって意味があり、割り当てを特定するのに役立つ割り当て名を追加します。このエントリは、Active Directory の設定と一致する必要はありません。
4. ADUC 設定で構成された組織ユニットを検索し、1 つの組織ユニットのみを選択します。
5. Workspace ONE UEM で構成されているスマート グループを検索して選択します。割り当てることができるのは 1 つの組織ユニットに 1 つのスマート グループのみで、それ以上のスマート グループを割り当てることはできません。組織ユニットがすでに割り当てられているスマート グループを選択しようとすると、コンソールにエラー メッセージが表示されます。このメッセージの情報から、現在の展開シナリオに合わせて、トラブルシューティングを行い、どのスマート グループを使用するかを決定できます。
6. 割り当てを作成して保存します。

OU/スマート グループと Active Directory (AD) のコンピュータ コンテナの競合

ドメイン参加構成には複数の割り当てを追加できますが、スマート グループの柔軟性も考慮する必要があります。スマート グループは柔軟性に優れているため、1 つのドメイン参加構成に対する複数の割り当てにデバイスが含まれる可能性があります。このシナリオは、デバイスが複数の組織ユニットに割り当てられていることを意味しますが、これは許可されていません。1 つのドメイン参加構成に対する複数の割り当てに含まれるデバイスがコンソールで特定された場合、そのデバイスは Active Directory の [コンピュータ] コンテナに配置されます。ADUC に移動して、目的の組織ユニットにデバイスを配置できます。デバイスでは、組織ユニットの割り当てと一致するドメイン参加構成を受信します。

ドメイン参加の再割り当て

デバイスのドメイン参加構成は、加入プロセス中に評価して適用されます。デバイスがドメイン参加構成を受信した後は、Workspace ONE UEM で割り当てられたスマート グループを変更して更新することはできません。Workspace ONE UEM では、加入時に 1 回のみデバイスにドメイン参加構成を提供します。

ワークグループ参加

ローカル アカウントを使用して Windows デバイスおよびリソースにアクセスするユーザーがいる場合は、Workspace ONE UEM でワークグループ参加を構成します。

タスクの順序

1. Workspace ONE UEM で、ワークグループ参加のドメイン参加構成を作成します。
2. Workspace ONE UEM で、ワークグループ名、マシン名の形式、ローカル ユーザー設定を指定してから、その構成をスマート グループに割り当てます。

ステップ 1：ワークグループのドメイン参加を作成する

ローカル アカウントを使用してリソースにアクセスする加入済みの Windows デスクトップ デバイスを対象として、Workspace ONE UEM でドメイン参加の構成を展開します。

1. Workspace ONE UEM console で、[グループと設定] > [構成] の順に移動し、リストから [ドメイン参加] を選択します。
2. 追加 を選択します。
3. [名前] フィールドには、ドメイン参加を認識できる意味のある名前を入力します。たとえば、Active Directory のユーザーとコンピュータが地理的パターンに従っている場合は、Acme - South America と入力します。このエントリは Active Directory の設定と一致する必要はありませんが、両方のシステムで類似のパターンを使用すると、ドメイン参加でデバイスを整理するのに役立ちます。
4. [ドメイン参加タイプ] で [ワークグループ] を選択します。
5. [ワークグループ] の名前を入力します。このエントリは、Workspace ONE UEM console でワークグループを整理および識別するのに役立ちます。
6. [マシン名の形式] フィールドに、マシン名の形式を入力します。マシン名には、サポートされている形式を使用します。ツール チップで、ユーザー インターフェイスでサポートされている形式が指定されています。%SERIAL% または %RAND:[#]% 形式で 15 文字のみを使用します。
7. ドメイン参加のローカル ユーザーを今すぐ作成する場合は、[ローカル ユーザーを作成] を有効にします。
8. ローカル ユーザーに管理者権限を付与する場合は、[管理者にする] を有効にします。管理者は、デバイスの加入解除などを行える権限を持ち、システム アプリのアンインストールも行えます。
9. このドメイン参加構成のデバイスにアクセスするためにデバイス ユーザーが入力する [ローカル ユーザー名] と [ローカル ユーザー パスワード] を入力します。ユーザー名およびパスワード エントリをユーザーに提供します。
10. ドメイン参加の構成を保存して、後で割り当てるか、[保存して割り当て] を選択します。

ステップ 2：ドメイン参加構成を割り当てる

1. Workspace ONE UEM console で、ドメイン参加のリスト表示（[グループと設定] > [構成] の順に選択）から [割り当て] を選択して、割り当てページに移動し、[ドメイン参加] を選択します。この構成ウィンドウは、ドメイン参加の構成で [保存して割り当て] を選択すると表示されます。
2. エントリが事前に入力されていない場合は、ドメイン参加構成の名前を選択します。
3. ユーザーにとって意味があり、割り当てを特定するのに役立つ割り当て名を追加します。このエントリは、Active Directory の設定と一致する必要はありません。
4. Workspace ONE UEM で構成されているスマート グループを検索して選択します。スマート グループは 1 つのワークグループ構成にのみ割り当てることができます。ワークグループ構成がすでに割り当てられているスマート グループを選択しようとすると、コンソールにエラー メッセージが表示されます。このメッセージの情報から、現在の展開シナリオに合わせて、トラブルシューティングを行い、どのスマート グループを使用するかを決定できます。
5. 割り当てを作成して保存します。