Entra JoinしたWindows PCの時刻同期
はじめに
MSのブログを見つけて調べてみた。
従来、PCはActive Directory (AD) 管理のため、PCの時刻同期先はADが通常でした。しかし、クラウド管理の時代になり、AD管理ではなくEntra ID(旧Azure AD)で管理するケースも増えてきていると思います。しかしながら、Entra IDにはNTPの機能がないため、時刻同期の方法を再考する必要があります。
ブログ内では、Windows タイムサービスのスタートアップの種類を自動に変更する方法について、紹介をしていました。
時刻同期の重要性について
各システムによって時刻がバラバラだと、ログに記録される時間が異なってしまいます。普段ユーザーが利用している分には特に問題はありませんが、システム管理者やセキュリティ担当がPCに対して何らか調査必要になったときに、各PCの時刻がバラバラだと時系列で物事を確認することが困難になってしまうため、時刻が正しく同期されれいることが必要と考えてます。
Entra Join PCの設定を見てみる
手元にEntra JoinしたPCがあったので、一応サービスを見てみました。
時刻同期サービス(Windows Time)のスタートアップの種類は手動(トリガー開始)となっています。
このタスクは、タスクスケジューラのMicrosoft>Windows>Time Synchronizationにありますが、トリガーの内容まで確認することはできませんでした。
一応、常につけっぱなしているEnta JoinのPCで確認する限りでは、タスクが自動起動しているせいか、正しい時刻となっています。
PCの参加状態の違いによる時刻同期と個人的な見解
Entra Join PCとAD参加のPCの時刻同期について、違いを表にまとめてみました。
Entra Joinのタスクがいつ動くのか不明なところが気分悪いですが、AD参加のPCはスタートアップが自動のためOS起動時に時刻同期を行うという部分が従来との違いかと思います。
| 項目 | Entra Join | AD 参加 |
|---|---|---|
| タイムサービスのスタートアップ | 手動(トリガー開始) | 自動 |
| 時刻同期のタイミング | タスクスケジューラにて実行 | 定期的に自動実行 |
ここまでを踏まえて、ブログに記載されているタスクの設定について、私の個人的な見解になります。
まず、私が利用しているPCはAD管理ですが、リモートワークが中心のため、OS起動時の時刻同期はほぼ意味ないと考えています。
そうすると、時刻同期はインターネット向けに行えばよい!となるかもしれませんが、昨今リモートワークから出社へ戻す会社も増えているという話を聞きます。そうすると出社時刻頃に皆が同時にPCを起動することになるので社内→社外へのNWトラフィックが増えてしまいますね。(小さいトラフィックとは思いますが"ちりつも"です。)
なのでケースバイケースで、Entra JoinのPCだから...と言って必ず設定すべきとは考えていません。
私個人としても、ブログを確認した時の直感としては設定しないと!と思っていましたが、個人的にはそのまま、既定のWindowsの設定のままで良いと考えてます。
むしろ、ユーザーが勝手にタイムゾーンとか、時刻同期のON/OFFを設定変更できてしまう部分をどうにかできないかな・・・というのが次の課題ですが、またどこかのタイミングで取り上げられたら・・・と思います!
Discussion