ご自宅Entra Connect・Entra Joinを始めよう
1.1K Views
April 27, 25
スライド概要
2025年4月26日にITインフラ集会でLTを行った内容になります。
関連スライド
各ページのテキスト
自宅Entra Connect・Entra Joinを始めよう
自己紹介 名前 てるるん 本職 なんでもやる?ご家庭情シス? 企業情シス? またの名を何でも屋 X(Twitter) @terudog4 @terudog4_VRC
免責事項 ・てるるん(@terudog4)とMicrosoft間の利害関係はありません。 ※セールス目的では無い事の明記 ・本スライド起因で発生した、全てに関して当方は責任を一切負いません。 ・本スライドの公開日時は2025年4月20日現在の情報です。 ・必ず最新のMicrosoft公式ドキュメントを確認した上で設計、構築、運用を行うようにお 願いします。 ・本スライドは入念に調べた上で作成しておりますが、間違っていましたら申し訳ござい ません。 ・上記点より、個人の見解、認識である部分が多いです。(違った場合は教えていただけ ますと幸いです。)
今回の目的 (きっかけ ) ・Windows Server(正確にはWindows ServerのCOAラベル付きPC)を購入しました
今回の目的 (きっかけ ) ・Entra Connectの理解度(解像度)を上げていく為
今回の目的 (きっかけ ) ・Entra Connectの理解度(解像度)を上げていく為 ー解像度を上げるきっかけになった思考回路ー ・MSアカウントはオンプレAD(オンプレ)でもEntra(クラウド)でも同じメールアドレスで使える?なんでや..... →Microsoft Entra Join と Microsoft Entra hybrid joinがある.... →この二つの違いはなんや... →会社じゃ見せてくれないしなぁ(しかもニッチな分野...)
今回の目的 (きっかけ ) ・Entra Connectの理解度(解像度)を上げていく為 ー解像度を上げるきっかけになった思考回路ー ・MSアカウントはオンプレAD(オンプレ)でもEntra(クラウド)でも同じメールアドレスで使える?なんでや..... →Microsoft Entra Join と Microsoft Entra hybrid joinがある.... →この二つの違いはなんや... →会社じゃ見せてくれないしなぁ(しかもニッチな分野...) →せや!自宅で立てれば見れるやん!! (暴論)
今回の目的 (きっかけ ) ・壊せるWindows Serverを買った ・Entra Connectの理解度(解像度)を上げていく為
おしながき 1.Entra・Entra IDってなに? 2.Active Directoryってなに? 3.Entra Connect・Entra Joinを始めよう! 4.実際に使ってみて、所感 アイコン:Microsoft Entra アーキテクチャのアイコン https://learn.microsoft.com/ja-jp/entra/architecture/architecture-icons
1.Entra・Entra IDってなに?
1.Entra・Entra IDってなに? Microsoft Entra - 安全な ID とアクセス | Microsoft Security https://www.microsoft.com/ja-jp/security/business/microsoft-entra
1.Entra・Entra IDってなに? つまり?
1.Entra・Entra IDってなに? Entraは Microsoft社が提供する ・誰が(どのユーザーが) ・何に(どのシステムやデータに) ・どのように(どんな条件で)アクセスできるのかを管理する 認証、認可のシステムおよび製品グループ であり Entra IDは 上記システムで識別する為に利用するID(ユーザー 識別情報)と 認識していただければ幸いです。
1.Entra・Entra IDってなに? 前スライドの事をベンダー問わず言うと IAM(Identity and Access Management) というのですが、本スライドとは少し離れるので割愛 IAM(Identity and Access Management)|セキュリティ用語解説 https://www.nri-secure.co.jp/glossary/iam
おしながき 1.Entra・Entra IDってなに? 2.Active Directoryってなに? 3.Entra Connect・Entra Joinを始めよう! 4.実際に使ってみて、所感
2.Active Directoryってなに?
2.Active Directoryってなに? Active Directory の概要 - Windows Server https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/active-directory-overview
2.Active Directoryってなに? ら か わ て ぎ す ! ん も ん な 多 Active Directory の概要 - Windows Server https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/active-directory/active-directory-overview
本当に様々な機能がありますが、今回の ActiveDirectoryは便宜上、オンプレミス用の 認証基盤と認識していただければ幸いです。
おしながき 1.Entra・Entra IDってなに? 2.Active Directoryってなに? 3.Entra Connect・Entra Joinを始めよう! 4.実際に使ってみて、所感
3.Entra Connect・Entra Join を始めよう!
3.Entra Connect・Entra Joinを始めよう! 必要な物 ⚫Windows Server (ドメインコントローラー構築済み) ⚫Microsoft Entraテナント ーEntra ID1アカウント以上(Microsoft Entra ID FreeでOK) ⚫ドメイン参加済みログオン検証機1台(Windows 11 Pro等) (推奨) ⚫ADDCとは別のWindows Server(Entra Connect用)
3.Entra Connect・Entra Joinを始めよう! 当環境は以下の通りです。 ⚫Windows Server 2022 Standard x1(EntraConnectとAD兼用) ⚫Microsoft Entraテナント (グローバル管理者権限がある管理者アカウントx1) ⚫床に落ちてたWindows 11 Pro搭載自作PC(AD参加済み)
3.Entra Connect・Entra Joinを始めよう! ●準備する必要がある事● ・TLS1.2の強制 ・EntraConnectのインストール
3.Entra Connect・Entra Joinを始めよう! ・TLS1.2強制
3.Entra Connect・Entra Joinを始めよう! ・EntraConnect.msiをインストール
3.Entra Connect・Entra Joinを始めよう! ・EntraConnect.msiをインストール Azure Active Directory の新しい名前 https://learn.microsoft.com/ja-jp/entra/fundamentals/new-name
3.Entra Connect・Entra Joinを始めよう! Entra Connectには二種類設定を行う必要があります。 ・Microsoft Entra Connect の構成 ・Microsoft Entra ハイブリッド 参加の構成
3.Entra Connect・Entra Joinを始めよう! ・Microsoft Entra Connect の構成
3.Entra Connect・Entra Joinを始めよう! ・Microsoft Entra Connect の構成 ADDS側でアカウントでのログインを行う際に 【Enterprise Admins】グループオブジェクトで追加が 必要でした。
3.Entra Connect・Entra Joinを始めよう! ・Microsoft Entra Connect の構成
3.Entra Connect・Entra Joinを始めよう! ・Microsoft Entra ハイブリッド 参加の構成
3.Entra Connect・Entra Joinを始めよう! ・Microsoft Entra ハイブリッド 参加の構成 初回同期がうまく出来ませんでした。 手動同期でも出来なかった為謎です。
3.Entra Connect・Entra Joinを始めよう! 適当にADアカウント作って、作成してみたら
3.Entra Connect・Entra Joinを始めよう! 出来た🙌🙌🙌🙌
3.Entra Connect・Entra Joinを始めよう! Entra Connectを行う場合の注意点は以下の点です。 ・TLS 1.2 の強制を行う必要性がある ・初回同期には時間がかかる? (オマ環?) ・即同期はされないので、 (通常は30分に一度同期する。 ) 即同期を行いたい場合はコマンドプロンプトでの手動同期が必要に なる。
おしながき 1.Entra・Entra IDってなに? 2.Active Directoryってなに? 3.Entra Connect・Entra Joinを始めよう! 4.実際に使ってみて、所感
4.実際に使ってみて、所感 ・ご自宅には要らない
4.実際に使ってみて、所感 ・Entraを認証基盤として利用を行う訳ではないので オンプレ AD上にEntraが乗っかっ ただけなる。
4.実際に使ってみて、所感 ・Entraを認証基盤として利用を行う訳ではないのでオンプレAD上にEntraが かった図になる。 User Entra User AD 乗っ
4.実際に使ってみて、所感 ・認証基盤は自前で構築を行ったAD依存 ・Entra側でも高度なアクセスコントロールを行う場合は Microsoft Entra ID P1ライセンス以上が必要になる。 Entra User アクセスコントロールを行う場合は P1以上のライセンスが必要 User AD AD側でのアクセスコントロールが必要
4.実際に使ってみて、所感 ・ユースケースは以下の通りになります。 Entra hybrid Join ・既存ADの資格情報をそのまま Entraのログインにも利用を行いたい場合 ・コストを抑えながら、 AD側で柔軟なアクセスコントロールを行い、 AD側の資格情報を利用し、 M365のライセンスをアタッチしたい場合 Entra Join ・Entra側の資格情報をそのまま Windowsのログオンでも利用したい場合 ・Entra側で全てのアクセスコントロールを行いたい場合 →※Microsoft Entra ID ライセンス必須 (P1,P2お好みで )
4.実際に使ってみて、所感 ・ユースケースは以下の通りになります。 Entra hybrid Join←今回行ったのはこっち! ・既存ADの資格情報をそのまま Entraのログインにも利用を行いたい場合 ・コストを抑えながら、柔軟なアクセスコントロールを行いたい場合 AD側の資格情報をそのまま M365のライセンスをアタッチしたい場合 Entra Join ・Entra側の資格情報をそのまま Windowsのログオンでも利用したい場合 ・Entra側で全てのアクセスコントロールを行いたい場合 →※Microsoft Entra ID ライセンス必須 (P1,P2お好みで )
4.実際に使ってみて、所感 ・ご自宅には要らない (まじで要らない ) ・結局の所、Entra hybrid Joinの場合 クラウド管理(Entraを認証基盤として)として利用を行う訳ではないの で、オンプレAD上にEntraが乗っかった図になる。 →結局AD側でもEntra側でも権限管理が必要になる。 (Entraのアクセスコントロールを行う場合はライセンスが必要.....) ーー参考文献ーー タメシカタ Microsoft Entra ID - 基本編 https://zenn.dev/takuyaot/books/45d4f4494a63ce
ご清聴ありがとうございました!