はじめに
Microsoft 365 を利用する際、意識せずにデバイスが「Microsoft Entra 登録済み」として利用されていることがあります。また、管理者が本格的にデバイス管理を始める際にすでに利用者の方が「Microsoft Entra 参加済み」として使っていたなんて話を聞くこともあります。
この記事では、Microsoft Entra でデバイスがどのように管理されるのかと、Microsoft Intune(以下「Intune」) との関係について説明します。
本記事の対象読者
この記事は、以下の読者を対象にしています。
- Microsoft Entra を勉強しようとしている管理者
- クラウドの利用を検討している Active Directory (以下「AD」) の管理者
- Intune の導入を検討している管理者
これから Microsoft Entra のデバイス管理における重要な概念である3つの管理方法の基本について記載をします。デバイスのOSを限定しない全般的な話もしますが、主に Windows OS を Intuneで管理するための準備をしての切り口で記載をしていきます。
Microsoft Entra のデバイス管理
まずはデバイス管理の基礎となる 3 つのデバイス参加方法について説明します。
「Azure AD」が「Microsoft Entra」と名称変更した際に名称が変わりました。少し古い情報に触れて混乱される管理者の方が多いので古い名称も記載しています。またエンジニアの方は英語表記で資料やブログ記事を書くことが多いので英語も記載しています。
用語で混乱した際は下記の表を見返してどれのことを指しているのかを意識するようにしてください。(以降はすべて日本語表記で記載します)
日本語 | 英語 | 旧名称:日本語 | 旧名称:英語 |
|---|---|---|---|
Microsoft Entra 登録 | Microsoft Entra registered | Azure AD 登録 | Azure AD registered |
Microsoft Entra 参加 | Microsoft Entra Join | Azure AD 参加 | Azure AD Join |
Microsoft Entra ハイブリッド参加 | Microsoft Entra hybrid join(略称:MEHJ) | ハイブリッド Azure AD 参加 | Hybrid Azure AD Join(略称:HAADJ) |
「参加」とはどういう意味?
「クラウド」という用語がなかった頃でも、Windows機を大量に使っている企業ではセキュリティ対応や監査対応としてデバイス設定の一元管理をすることを求められることがありました。
具体的な例を挙げると「パスワードの強制化/〇文字以上/〇日ごとに変更する」といった設定や、「winny.exe」を起動させないなどの要望などがありました。
これらの要望をクリアするために、Windows Serverを提案してADの機能で管理することを提案するというのが多かった時代です。このADに各クライアントマシンを登録することを「ドメイン参加」といいます。これを別の言い方で「AD参加」(ADドメインにコンピューターを参加させること)ということもあります。
「ドメイン参加」するための条件としてクライアントマシンは OS のエディションが Pro 以上である必要があります。また、「ドメイン参加」をする前にローカルアカウントや Microsoft アカウント(MSAとも書かれる、Entra IDではない個人のアカウント)でクライアントマシンを利用している場合、そのプロファイルとドメイン参加後のプロファイルは別となります。今まで通り使いたい場合は旧プロファイルから新プロファイルにデータ移行する必要があります。
「Microsoft Entra」もADの技術をベースにした仕組みとなっています。ざっくり切り分けをすると「AD」はオンプレミスの管理で、「Microsoft Entra」はクラウドの管理として考えるとよいと思います。このオンプレミスとクラウドをつなぐためのソリューションなどもありますが、今回は割愛します。
ここでは「Microsoft Entra のデバイス管理」の仕組みもADの考えが踏襲されていることを押さえてください。ADと同様にMicrosoft Entra の「参加」の場合は Windows OS のエディションとして Proが必要になります。また「参加」する場合にユーザープロファイルが別になるので必要に応じでデータ移行を検討してください。
アカウントの違い
これまでの記載の中で複数のアカウントが登場したため、整理をするために表にまとめます。
Microsoft アカウントはWindowsのサインインに使うという視点で記載をしていますのでご注意ください。
ローカルアカウント | Microsoft アカウント | Active Directory アカウント | Microsoft Entra ID アカウント (職場または学校アカウント) | |
|---|---|---|---|---|
利用環境 | 主に個人のPCで利用。インターネット不要 | 主に個人のPCで利用。インターネット必須。Microsoftの一部のクラウドサービスが利用可能となる | 主に組織のオンプレミス環境で利用。Active Directoryと通信が出来る環境で初期設定を行う。 | 主に組織のクラウド環境で利用。インターネット必須。 |
管理方法 | 主にユーザー自身が設定を行う | 主にユーザー自身が設定を行う。メールアドレスが必要となる。 | システム管理者が管理を行う。サーバーに保存される。 | システム管理者が管理を行う。 クラウドサーバーに保存される。 |
主な用途 | 個人利用、小規模ネットワーク向け | 個人利用、小規模ネットワーク向け。Microsoftの一部のクラウドサービスが利用可能となる | 組織内リソース(ファイルサーバー、プリンター等)の管理やアクセス制御 | Microsoft 365 やサードパーティのクラウドサービスへのアクセス制御 |
認証基盤 | 個人利用、小規模ネットワーク向け | Microsoft のクラウドサービスで認証(Microsoft Entra ではない) | オンプレミスの認証基盤 | クラウドの認証基盤 |
デバイス管理 | PC単体で管理。リモート管理不可 | PC単体で管理。リモート管理不可 (アカウントとしての管理機能はない) | ドメイン参加PCの管理が可能 | Intuneとの連携でデバイス管理可能 |
多要素認証 | 非対応 | 一部サービスで対応可能 | 基本非対応(ADFSなどで対応は可能) | 基本非対応(ADFSなどで対応は可能) 一部標準対応(条件付きアクセスなどで対応可能) |
デバイス管理の対応状況
ここからは各管理方法についての説明をしていきます。全体像を把握したい方向けに表を先に書いていますので、比較が必要な場合はこちらの表をご利用ください。
※公式文章をそのまま利用しているため iOS 15 という記載としています。実際にMicrosoft 365 のアプリを利用するうえで 最新の2バージョンしか対応していないことが多いため、2025年5月現在では iOS 17以上が必須とされている点にご注意ください。
Microsoft Entra 登録 | Microsoft Entra 参加 | Microsoft Entra ハイブリッド参加 | |
|---|---|---|---|
Windows 10以降 | 〇 | 〇 (Homeを除く) | 〇 (Homeを除く) |
Windows Server | × | 〇 Azure で実行されている Windows Server 2019 以降の仮想マシン(Server Core はサポート除く) | 〇 Windows Server 2016、2019、2022 |
macOS | 〇 macOS 10.15以降 | △ (パブリックプレビュー) macOS 13以降 | × |
Android | 〇 | × | × |
iOS 15以降 | 〇 | × | × |
Linux - Ubuntu 20.04/22.04/24.04 LTS | 〇 | × | × |
Linux - Red Hat Enterprise Linux 8/9 LTS | 〇 | × | × |
ポイント | ・BYODのために利用 ・Entra 参加する機能を持たないOSは組織所有端末でもこれを利用する | ・組織でWindows OS を管理するときに利用する ・Macはベータ版で特定手順を踏めば利用可能 ・Azure上のWindows Serverも管理可能 | ・ADがオンプレミスにある場合に利用 |
Microsoft Entra 登録
Microsoft Entra 登録デバイスは、主に個人所有のデバイスやBYOD(Bring Your Own Device)シナリオに適しています。これらのデバイスは、Microsoft Entra ID を使用して組織のリソースにアクセスできますが、管理機能は「基本的なもの」に限られます。
ポイント
組織所有のデバイスであっても OS の仕様として「参加」ができないものはこの「登録」となります。モバイルデバイスや Linux など、OS の仕様で「参加」ができない場合には「登録」を利用します。macOS の場合は「参加」がベータ版のため、SLA が適用される形で利用する場合は「登録」を推奨します。
組織所有のデバイスであっても OS の仕様として「参加」ができないものはこの「登録」となります。モバイルデバイスや Linux など、OS の仕様で「参加」ができない場合には「登録」を利用します。macOS の場合は「参加」がベータ版のため、SLA が適用される形で利用する場合は「登録」を推奨します。
Microsoft Entra 参加
Microsoft Entra 参加済みデバイスは、Microsoft Entra ID に所属する組織のアカウントを使用してサインインする必要があります。これらのデバイスは、Microsoft Intune などのモバイルデバイス管理ツールを使用して管理され、シングルサインオンや条件付きアクセス(Intuneと連携した利用)が可能です。
ポイント
「参加」したら「Intune」が自動で使えるわけではありません。Intuneの事前設定を行う必要がありますし、ライセンスを持っていない場合は使えません。
「参加」したら「Intune」が自動で使えるわけではありません。Intuneの事前設定を行う必要がありますし、ライセンスを持っていない場合は使えません。
AD がない組織で Intune を使用して Windows を管理する場合には「参加」が必要です。OS のエディションは Pro 以上が必要であり、参加後は新たにユーザープロファイルが作成され利用する必要があるため、データの移行が必要です。
Microsoft Entra ハイブリッド参加
Microsoft Entra ハイブリッド参加済みデバイスは、オンプレミスの AD に参加し、同時に Microsoft Entra ID に登録されたデバイスです。これらのデバイスは、クラウドとオンプレミスの両方のリソースにシングルサインオンでアクセスできます。
ポイント
AD がある組織で既存の管理を維持しつつクラウドの利点を活用したい場合に適しています。Entra Connect といった同期サーバーの構築であったり様々な前提条件がありますが、オンプレミスとクラウドのいずれの機能も利用が可能です。
AD がある組織で既存の管理を維持しつつクラウドの利点を活用したい場合に適しています。Entra Connect といった同期サーバーの構築であったり様々な前提条件がありますが、オンプレミスとクラウドのいずれの機能も利用が可能です。
AD ユーザーのプロファイルが引き続き利用可能なため、データ移行を行わずに利用することができます。ただし、オンプレミスとクラウドといったポイントが増えるため管理が複雑になります。機能により、オンプレミスが優先されるものやクラウドが優先されるものもあるため注意が必要です。
Microsoft の考え方
Microsoft の考え方としては、クラウドネイティブで最新の管理機能や先進的な認証機能を活用できることが良いと考えていますので「Microsoft Entra 参加」を推奨しています。
大は小を兼ねるといった考えで下記の順番で管理がすぐれており、Microsoft でも推奨されていると誤解をされている方が多いように思います。
大は小を兼ねるといった考えで下記の順番で管理がすぐれており、Microsoft でも推奨されていると誤解をされている方が多いように思います。
- Microsoft Entra ハイブリッド参加
- Microsoft Entra 参加
- Microsoft Entra 登録
オンプレミスでの認証/認可の観点であったり、既存のADでいろいろ作りこみをされている場合などでクラウドネイティブな管理ができない場合は「Microsoft Entra ハイブリッド参加」を暫定対応的なポジショニングとして整理をされることがあります。
ライセンスの注意点
これらのデバイス管理では必ずしもライセンスは必要ありません。実際に別のグループウェアをメインで利用しているケースでライセンスが全く不要という使い方をしている企業も存在します。
ただし、高度なデバイス管理はIntuneが必要になりますし、その中で「条件付きアクセス」を設定をするケースが多いため、この条件付きアクセスや高度な管理機能を使うために Microsoft Entra ID Plan 1 というライセンスが必要となります。また Intune を利用する際には Microsoft Intune Plan 1 というライセンスが必要となります。
その他にもMicrosoft Entra ハイブリッド構成の場合にセルフサービスパスワードリセットを構成するとクラウドとオンプレのパスワードが異なるといった現象が発生するので、この観点でもライセンスが必要になるということがあるのですが、これをごっちゃまぜにして Microsoft Entra ID Plan 1 が必要という整理と説明をしていたり記載されているケースも散見されます。
ただし、高度なデバイス管理はIntuneが必要になりますし、その中で「条件付きアクセス」を設定をするケースが多いため、この条件付きアクセスや高度な管理機能を使うために Microsoft Entra ID Plan 1 というライセンスが必要となります。また Intune を利用する際には Microsoft Intune Plan 1 というライセンスが必要となります。
その他にもMicrosoft Entra ハイブリッド構成の場合にセルフサービスパスワードリセットを構成するとクラウドとオンプレのパスワードが異なるといった現象が発生するので、この観点でもライセンスが必要になるということがあるのですが、これをごっちゃまぜにして Microsoft Entra ID Plan 1 が必要という整理と説明をしていたり記載されているケースも散見されます。
Google Workspace や他グループウェアなどを使っておりこういう管理が必要な場合は単体でそれぞれのライセンスを購入するよりも 、上記2つを含む「Enterprise Mobility + Security E3」を購入するほうがお安くなります。
すでにMicrosoft 365を使っている場合は、既存のライセンスに上記ライセンスが含まれているか確認をしてください。含まれていない場合は既存のライセンスを「Microsoft 365 Business Premium」や「Microsoft 365 Enterprise E3/E5」などのライセンスにアップグレードするほうが良いケースもありますのでご相談いただければと思います。
まとめ
Microsoft Entra のデバイス管理は、登録、参加、ハイブリッド参加の3つの方法で行われます。Intuneで Windows OS を管理する場合はライセンスとしては Microsoft Intune Plan 1 と条件付きアクセスなどのために Microsoft Entra ID Plan 1が必要となります。 会社所有端末の場合は参加/ハイブリッド参加のいずれかが必要となりますので、クライアントのOSエディションはWindows 10/11 の Pro 以上が必要となります(Homeでは不可能です)。
ZUNDA は、Microsoft 365 の導入支援・運用サポートに豊富な経験を持つ、Microsoft ソリューションパートナーです。Microsoft Entra を使ったデバイス管理や Intune の導入を検討されているお客様は、ぜひ当社までご相談ください。お客様のセキュリティ要件を詳しくヒアリングし、おすすめの導入プランをご提案します。
情報セキュリティ対策は、企業の信頼を守るための重要な投資です。Intune を活用して、安心で安全な情報活用環境を構築しましょう。
まずはお気軽にお問い合わせください。 お客様のセキュリティ強化を全力でサポートいたします。
