💻

Azure AD Bulk Enrollment Token (BPRT) を取得する方法

2021/05/09に公開約1,900字

Azure Active Directory 一括トークンWindows構成デザイナーで作成するプロビジョニングパッケージに含めることで、Azure AD Joinを自動的に行うことができる便利なトークンです。

これはプロジェクトウィザードの[アカウント管理]画面から取得できますが、一度詳細エディターに切り換えてしまうとプロジェクトウィザードに戻ることが出来ず、何らかの事情で新しいトークンに差し替えることが煩雑です。

詳細エディターになってしまった場合、Azure AD Bulk Enrollment Token を何らかの方法で取得し、 Accounts/Azure/BPRT に値を入れればよいので、この値の生成方法をまとめました。

AADInternals PowerShellモジュールのインストール

AzureADの師であるNestori Synimaa博士(@DrAzureAD)が公開しているAADInternals PowerShellモジュールを入れましょう。

Install-Module AADInternals -Scope CurrentUser
Import-Module AADInternals

BPRTトークンの取得

まず AAD Graph API のアクセストークンを取得します。

Get-AADIntAccessTokenForAADGraph -Resource urn:ms-drs:enterpriseregistration.windows.net -SaveToCache

続いて、BPRTトークンを取得します。ユーザ名は Azure Active Directory に表示されるものなのですが、トークンの有効期限が60日なのでトークン作成日を入れておくとよい気がします。(既存ユーザのトークンの有効期限を延ばす方法はいまのところ不明です。わかる人いたら教えてください……。)

$bprt = New-AADIntBulkPRTToken -Name "Bulk Register User 2021-05-09"

現在のディレクトリにBPRTを含むJSONが保存されます。
そのJSONファイルのrefresh_tokenキーが目的のBPRT値ですが、以下のように$bprtから取得することも可能です。

echo $bprt

取得した BPRT の値は Windows 構成デザイナーの Accounts/Azure/BPRT に入れましょう。

参考文献

Discussion

ログインするとコメントできます