AutopilotでMicrosoft Entraハイブリッド参加デバイスをキッティングした場合の挙動
概要
AutopilotでMicrosoft Entraハイブリッド参加する場合、いつの時点でドメイン参加処理がされるのか、いつの時点でグループポリシーが適用されるのか、疑問に思わないでしょうか?トラブルシューティング時に必要な情報になるのではないかと私は思ったので、Autopilotの各処理のタイミングでデバイスがどのような状態になっているのかを調べてみました。
あくまで私が試した環境での挙動ですので、正しいかどうかは不明です。が、皆さんの参考になれば良いかと思います。
想定読者
- Microsoft Entra ハイブリッド参加デバイスを管理している人/管理しようとしている人
- AutopilotでWindowsデバイスをキッティングしている人/しようとしている人
想定環境
- クライアントデバイスはWindows 10を想定
- Autopilot は事前プロビジョニングを利用
- 事前プロビジョニング時点ではオンプレADへの通信を必須としないケースも想定
- Autopilot Deploymentプロファイルで「AD 接続チェックをスキップする」を「はい」にする
- このようにすることで、インターネット環境で事前プロビジョニングを利用できる
- オンプレADへの通信はLANを利用
- Autopilot 中にVPNソリューションを利用しない
- Intune Connector for ADなど、Entraハイブリッド参加に必要な環境はセットアップ済み
- 自動でHDD暗号化を行うため、BitLockerを次のように構成する
- 回復キーをオンプレADに保存する
- サイレントモードで有効化する(自動で暗号化を開始する)
作業タイミングごとの状態
オンプレADに接続できない状態での作業
インターネット環境など、オンプレADに接続できない環境でキッティングする場合を想定しています。例えば、外部の業者にキッティング(事前プロビジョニング)を依頼する場合、などです。
事前プロビジョニング完了後 (再シール後)
事前プロビジョニング後再シールした後の状態を記載します。
オブジェクトの状態
この時点でオブジェクト自体は全て作成されます。
| 対象 | オブジェクトの有無 | 結合の種類 | 備考 |
|---|---|---|---|
| Entra ID | 有 | Entra参加 | |
| Intune | 有 | Entra参加済み | プライマリユーザーは「なし」。 この時点ではハイブリッド参加にならない。 |
| オンプレAD | 有 | - | オンプレADと通信できない状態でも作成される。 |
デバイス電源投入後
デバイスの電源を投入するとAutopilotの後続処理が動作します。後続処理が完了すると、サインイン画面が表示されます。この時の状態を記載します。
オブジェクトの状態
再シール時点と変化はないです。
| 対象 | オブジェクトの有無 | 結合の種類 | 備考 |
|---|---|---|---|
| Entra ID | 有 | Entra参加 | |
| Intune | 有 | Entra参加済み | プライマリユーザーは「なし」。 この時点ではハイブリッド参加にならない。 |
| オンプレAD | 有 | - |
PCの状態
- デバイスのサインイン画面のログオン先はオンプレドメインとなっている
- オンプレADアカウントでドメインログオンしようとすると、「ドメインが利用できないため」エラーになる (サインインできない)
- オンプレADと通信できる状態でないため
- この時点ではグループポリシーは適用されていない
- BitLockerでの暗号化は開始されない
- 回復キーのバックアップ先であるオンプレADにアクセスできないため
オンプレADとの通信確立後
社内ネットワークに接続してオンプレADと通信できるようになると、デバイスにドメインログオンできる状態になります。ドメインログオンして処理が完了する(デスクトップが表示される)と、次の状態となります。
オブジェクトの状態
このタイミングでEntraハイブリッド参加状態になります。ただし、Intune管理センターの表示が変わるまでには時間がかかるようです。(実害はないと思います)
| 対象 | オブジェクトの有無 | 結合の種類 | 備考 |
|---|---|---|---|
| Entra ID | 有 | Entra参加 Entraハイブリッド参加済み |
Entra参加とEntraハイブリッド参加の2つのオブジェクトが存在する状態となる。数日経つとEntra参加のオブジェクトは消えて、ハイブリッドEntra参加オブジェクト1つが残るだけとなる。 |
| Intune | 有 | Entraハイブリッド参加済み | プライマリユーザーは「サインインした利用者」に変わる。 処理完了直後はEntra参加済みとなっているが、1時間程度でハイブリッド参加に変わる |
| オンプレAD | 有 | - |
PCの状態
- グループポリシーが適用される
- BitLocker暗号化が開始される
オンプレADに接続できる状態での作業
社内LAN環境で事前プロビジョニングを行う場合を想定しています。
事前プロビジョニング完了後 (再シール後)
事前プロビジョニング後再シールした後の状態を記載します。
オブジェクトの状態
事前プロビジョニング完了時点でEntraハイブリッド参加状態となります。
| 対象 | オブジェクトの有無 | 結合の種類 | 備考 |
|---|---|---|---|
| Entra ID | 有 | Entra参加 Entraハイブリッド参加済み |
Entra参加とEntraハイブリッド参加の2つのオブジェクトが存在する状態となる。数日経つとEntra参加のオブジェクトは消えて、ハイブリッドEntra参加オブジェクト1つが残るだけとなる。 |
| Intune | 有 | Entraハイブリッド参加済み | プライマリユーザーは「なし」。 処理完了直後はEntra参加済みとなっているが、1時間程度でハイブリッド参加に変わる |
| オンプレAD | 有 | - |
PCの状態
- グループポリシーが適用される
- BitLocker暗号化が開始される
デバイス電源投入後 = オンプレADとの通信確立後
すぐにドメインログオン可能な状態になります。
インターネット環境とLAN環境で事前プロビジョニングを行なった時の差
最終的な状態に差はありませんが、処理にかかる時間が変わってきました。あくまで私がテストした環境の話ですが、処理時間を以下のようにまとめました。
| 処理 | インターネット | LAN |
|---|---|---|
| 事前プロビジョニング | 20分 | 30分 |
| 再シール後、サインイン画面が表示されるまで | 45分 | 10分 |
| ドメインログオン後デスクトップが表示されるまで | 30分 | 数分 |
同じキッティング内容ですが、LAN環境の方が短時間で処理が完了しました。特に差が出るのは再シール後です。事前プロビジョニングは、エンドユーザーができるだけ短時間で利用できることを目的としているものなので、可能な限りLAN環境で事前プロビジョニングを行うことが望ましいと考えます。
ハイブリッドEntra参加に関するtips
ワイプの挙動
ハイブリッドEntra参加デバイスをワイプした際の状況です。
- Intuneの登録は削除される
- Entra IDの登録は残る
- 標準機能ではハイブリッドEntra参加デバイスのデバイス名は特定のものを指定できず、ランダム文字列を含む名前になります。このため同じデバイスを再度登録したとしても前回とは異なる名前で登録されます。結果、延々とEntra IDのコンピュータオブジェクトは増えていくことになります。
- オンプレADの登録も、Entra IDと同様の理由で残る
Intune Connector 停止時の挙動
これは実際に試したわけではなく、サポートに確認した情報です。
Intune Connectorがなんらかの理由で停止した際の影響は、新規に事前プロビジョニングができない(失敗する)だけ、とのことです。
まとめ
ハイブリッドEntra参加時にグループポリシーが反映されるのは、オンプレドメイン参加処理がされた時、です。処理に一番時間がかかるのはオンプレドメイン参加時、と考えます。
利用者の利便性を考えるとオンプレドメイン参加状態で渡してあげるのが良いので、事前プロビジョニングは社内LAN環境で行うのが良いのかと思います。リモートでもキッティングできるようにするには、自動でVPN接続できる環境の用意が必要になってきます。自動VPNをEntra Private Accessで対応できると良いなあと思うので、いずれ試してみたいところです。
Discussion