💻
Azure AD Bulk Enrollment Token (BPRT) を取得する方法
Azure Active Directory 一括トークンはWindows構成デザイナーで作成するプロビジョニングパッケージに含めることで、Azure AD Joinを自動的に行うことができる便利なトークンです。
これはプロジェクトウィザードの[アカウント管理]画面から取得できますが、一度詳細エディターに切り換えてしまうとプロジェクトウィザードに戻ることが出来ず、何らかの事情で新しいトークンに差し替えることが煩雑です。
詳細エディターになってしまった場合、Azure AD Bulk Enrollment Token を何らかの方法で取得し、 Accounts/Azure/BPRT に値を入れればよいので、この値の生成方法をまとめました。
AADInternals PowerShellモジュールのインストール
AzureADの師であるNestori Synimaa博士(@DrAzureAD)が公開しているAADInternals PowerShellモジュールを入れましょう。
Install-Module AADInternals -Scope CurrentUser
Import-Module AADInternals
BPRTトークンの取得
まず AAD Graph API のアクセストークンを取得します。
Get-AADIntAccessTokenForAADGraph -Resource urn:ms-drs:enterpriseregistration.windows.net -SaveToCache
続いて、BPRTトークンを取得します。ユーザ名は Azure Active Directory に表示されるものなのですが、トークンの有効期限が60日なのでトークン作成日を入れておくとよい気がします。(既存ユーザのトークンの有効期限を延ばす方法はいまのところ不明です。わかる人いたら教えてください……。)
$bprt = New-AADIntBulkPRTToken -Name "Bulk Register User 2021-05-09"
現在のディレクトリにBPRTを含むJSONが保存されます。
そのJSONファイルのrefresh_tokenキーが目的のBPRT値ですが、以下のように$bprtから取得することも可能です。
echo $bprt
取得した BPRT の値は Windows 構成デザイナーの Accounts/Azure/BPRT に入れましょう。
Discussion