Zenn
🪟

Microsoft Entra ハイブリッド参加デバイスの制限・考慮事項

2024/06/10に公開
Intune
autopilot
Entra ID
tech

概要

IntuneでWindowsデバイスを管理する際、諸事情により EntraとオンプレADの両方に参加するMicrosoft Entra ハイブリッド参加(以前はハイブリッドAzure AD参加と呼んでいた)デバイスで運用しなければならないケースはあると思います。長くオンプレADを運用しているとこういうケースが多いのかと想像します。
Microsoft Entra ハイブリッド参加はとてもよく機能しますが、Microsoft Entra参加デバイスでは実現できるがMicrosoft Entraハイブリッド参加デバイスでは実現できないことがいくつか存在します。Intuneの機能として存在しているので利用できるはずと思い込んでいると、はまる場合があります。
このような制限は各機能のドキュメント内には記載されていますが、Microsoft Entraハイブリッド参加デバイスの制限としてまとめられた情報はないように思います。というわけで、そのような情報をまとめてみました、というのが本ページの情報となります。

想定読者

  • Microsoft Entra ハイブリッド参加デバイスを管理している人/管理しようとしている人
  • AutopilotでWindowsデバイスをキッティングしている人/しようとしている人

Microsoft Entraハイブリッド参加デバイスの制限

Intuneでコンピューター名を指定・変更できない

管理上、デバイス名(コンピュータ名)をシリアル番号など特定の値に設定したいことはあるかと思います。
Entra参加デバイスは、キッティング時であればAutopilot Deploymentプロファイルのデバイス名テンプレートを利用することでシリアル番号、乱数などを利用したデバイス名を指定することができます。キッティング後もIntune管理センターからデバイス名を直接変更することができます。
一方Entraハイブリッド参加デバイスは、標準機能では実現できません。

  • Autopilot Deployment プロファイルのデバイス名テンプレートは意味がない
  • 構成プロファイルのドメイン参加プロファイルでは接頭辞(コンピューター名プレフィックス)しか指定できない
    • 接頭辞以外はランダム値となる
  • Intune管理センターからデバイス名を変更できない

例えば以下のサイトのようにデバイス名変更のスクリプトを配布すれば、Entraハイブリッド参加デバイスでもデバイス名を指定したものに設定可能です。

https://oofhours.com/2020/05/19/renaming-autopilot-deployed-hybrid-azure-ad-join-devices/

少し試したところ、確かに期待通りデバイス名を指定できました。ただ、デバイスをワイプして再度Intune登録&デバイス名変更しようとしたところ失敗してしまいました。おそらくオンプレAD上の古いコンピュータオブジェクトが残った状態で、新しいデバイスがそのコンピューターオブジェクトと同じ名前に変更しようとする動作になるためかと思います。このようにオンプレADオブジェクトの考慮が必要となり、なかなか実運用で使いにくいと思いました。

Autopilotリセットを行うことができない

Entraハイブリッド参加デバイスはAutopilotリセットを行うことができない為、初期化するためにはワイプするしかありません。ポータルサイトアプリからもリセットができない(メニューが表示されない)ので、利用者でリセットすることもできません。
利用者で初期化したい場合は、Windowsの回復から初期状態に戻す必要があります。これを行うとIntuneにはデバイスが残ったままのため、Autopilotでの再セットアップに失敗します。再セットアップ前にIntuneに登録されたデバイスを削除しなければならないので、管理者操作が必須となります。

初回サインイン時、オンプレADと通信できる必要がある

Entraハイブリッド参加デバイスはオンプレADに対してドメインログオンするため、オンプレADと通信可能な状態でなければ初回サインインすることができません。
Entra参加デバイスはインターネット接続さえあれば初回サインイン可能ですので、大きな違いとなります。

Microsoft Entraハイブリッド参加デバイスの考慮事項

Autopilotの登録ステータスページ(ESP)でタイムアウト値を十分長くする必要がある

登録状態ページを設定するに以下の記載があります。

ESP を使用したハイブリッド Microsoft Entra Autopilot のデプロイには、ESP プロファイルに入力されたタイムアウト時間よりも長い時間がかかります。 ハイブリッド Microsoft Entra Autopilot デプロイでは、ESP プロファイルで設定された値よりも ESP の方が 40 分長くなります。 たとえば、プロファイルでタイムアウト期間を 30 分に設定します。 ESP には 30 分 + 40 分かかることがあります。 この遅延により、オンプレミスの AD コネクタで、Microsoft Entra IDする新しいデバイス レコードを作成する時間が与えられます。

このため、ESPのタイムアウト値は「アプリのインストール時間 + 40分」が推奨となります。タイムアウト値が短いとアプリケーションのインストールに失敗する可能性が出てきます。が、エラー内容からはタイムアウトが原因かの判別は難しく、トラブルシューティングに苦労することになります。

まとめ

さっさとオンプレADから脱却できれば幸せですが、そうすることができずMicrosoft Entraハイブリッド参加を選択せざるを得ない場合は、各種制限を理解して運用を検討する必要がありますね、というお話でした。

Discussion