「Intuneを導入したいけど、オンプレのActive Directoryは残したい」
多くの企業が抱えるこの課題。完全にクラウド移行するのは理想だが、現実には業務システムや社内アプリがオンプレADに依存しているケースが多い。
私も以前、200台のデバイスを管理していたとき、同じ悩みを抱えていた。「Intuneを使いたいが、基幹システムがオンプレAD認証を使っている。どうすればいいのか?」
調べた結果、「Hybrid Azure AD Join」という仕組みがあることを知った。オンプレADとAzure ADの両方にデバイスを参加させることで、Intuneを使いながらオンプレADも残せる。
ただし、設定が複雑で、最初は失敗の連続だった。デバイスがAzure ADに登録されない、ポリシーが競合する、同期が遅れる……。
この記事では、私が実際に経験した失敗とその解決策を含めて、Hybrid Azure AD Joinの仕組みと設定手順を解説する。
通常、PCはオンプレのActive Directory(AD)か、Azure AD(Azure Active Directory)のどちらか一方に参加する。
しかし、Hybrid Azure AD Joinを使うと、1台のPCが両方に同時に参加できる。
この仕組みにより、オンプレADを残したまま、Intuneでデバイス管理ができるようになる。
Hybrid Azure AD Joinは、以下のような環境で有効だ:
逆に、完全にクラウド移行できる環境なら、Azure AD Joinを選ぶべきだ。Hybrid構成は管理が複雑になるため、必要がない限り避けたほうが良い。
私が担当していた製造業の企業では、生産管理システムがオンプレAD認証を使っていた。このシステムは20年前から稼働しており、ベンダーからは「Azure AD対応は不可能」と言われた。
一方で、リモートワーク対応でMicrosoft 365とIntuneを導入する必要があった。
結果として、Hybrid Azure AD Joinを採用し、「社内システムはオンプレAD、リモートワークはAzure AD」という二重管理を行うことになった。
Hybrid Azure AD Joinを利用するには、以下のライセンスが必要だ:
Azure AD Freeでは利用できない点に注意。
私も最初、Azure AD Freeで試そうとして失敗した。Premium P1のライセンスを購入してから、ようやく設定が進められた。
Azure AD Connectは、オンプレADとAzure ADを同期する心臓部。これが正しく動作しないと、Hybrid構成全体が機能しない。
オンプレADとAzure ADを同期するため、Azure AD Connectをインストールする。
Azure AD Connectは、Microsoftの公式サイトからダウンロードできる。インストール先は、オンプレADドメインコントローラーまたは、ドメインに参加した専用サーバーだ。
インストール時に「Express設定」を選べば、基本的な同期設定が自動で行われる。
私の失敗談: 最初、Azure AD Connectを普通のクライアントPCにインストールしようとした。しかし、ドメインコントローラーまたは専用サーバーにインストールしないと、正しく動作しない。結局、専用の仮想サーバーを立てることになった。
Azure AD Connectの設定画面で、「デバイスオプション」から「Hybrid Azure AD Join」を有効化する。
この設定により、オンプレADに参加しているPCが、自動的にAzure ADにも登録されるようになる。
設定手順:
SCPは、デバイスがAzure ADを自動検出するための仕組み。これが正しく設定されていないと、デバイスがAzure ADに登録されない。
私の失敗談: SCP設定で、誤って別のAzure ADテナントを指定してしまい、デバイスが全く登録されなかった。Azure AD Connectの設定画面で、正しいテナント名を確認することが重要。
Azure Portal(portal.azure.com)にログインし、「Azure Active Directory」→「デバイス」を開く。
オンプレADに参加しているPCが、「Hybrid Azure AD joined」として表示されていればOKだ。
もし表示されていない場合は、以下を確認:
私の場合、デバイスが登録されるまで最大4時間かかった。すぐに表示されなくても、焦らずに待つことが大事。
Intune管理センター(endpoint.microsoft.com)にログインし、「デバイス」→「Windows」→「Windows 10以降の更新リング」から、Windows Updateポリシーを作成する。
ポリシーの割り当て先を、「すべてのデバイス」または「特定のグループ」に設定する。
これで、Hybrid Azure AD JoinされたPCに対して、IntuneからWindows Update管理ができるようになる。
私の推奨設定:
小売業C社は、店舗管理システムがオンプレADに完全依存していた。POSシステムの認証もオンプレADを使用しており、Azure AD完全移行は不可能だった。
採用した戦略:
移行期間と工数:
結果:
担当者のコメント: 「最初はHybrid構成の複雑さに不安があったが、結果的に段階的移行ができて良かった。完全クラウド移行を急いでいたら、POSシステムが止まっていたかもしれない」
医療法人D社は、電子カルテシステムがオンプレAD認証を使用していた。IT担当者は「Intuneに移行すればすべて自動化される」と期待し、全PCを一斉にHybrid構成に移行した。
発生した問題:
原因:
軌道修正:
教訓: 「ベンダーとの事前協議」「ポリシー競合の確認」「パイロット運用の徹底」が重要。一斉移行ではなく、段階的移行を推奨。
IT企業E社は、すでにMicrosoft 365を全社展開しており、Intune移行の技術的ハードルが低かった。
成功のポイント:
移行期間と工数:
結果:
担当者のコメント: 「準備期間を十分に取ったことが成功の鍵。移行マトリックスを作ったおかげで、ポリシー漏れがゼロだった」
| 管理対象デバイス数 | CPU | メモリ | ストレージ |
|---|---|---|---|
| 〜100台 | 2コア | 4GB | 50GB |
| 100〜500台 | 4コア | 8GB | 100GB |
| 500〜1000台 | 8コア | 16GB | 200GB |
私の経験では、200台規模なら4コア・8GBで十分だった。ただし、仮想マシンで構築する場合は、ホストサーバーのリソースに余裕を持たせることを推奨する。
SCP(Service Connection Point)が正しく設定されているか確認するには、ADSIエディタを使う。
確認手順:
もし「keywords」属性が空、または誤ったテナント名が記載されている場合は、Azure AD Connectで再設定が必要だ。
Azure AD Connectのデフォルト同期間隔は30分。これを短縮したい場合は、PowerShellで設定変更できる。
# 現在の同期間隔を確認 Get-ADSyncScheduler # 同期間隔を15分に変更(最小値は15分) Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:15:00
注意点:
Azure AD Connectサーバーが停止すると、新規ユーザー・デバイスの同期ができなくなる。大規模環境では、冗長化を検討すべきだ。
冗長化の方法:
私が管理している環境では、300台規模以上の場合は必ず冗長化を実施している。過去に1度、Azure AD Connectサーバーのディスク障害で同期が停止したが、待機サーバーに切り替えて30分で復旧できた。
オンプレADのグループポリシーと、IntuneのMDMポリシーが両方適用される環境では、ポリシーの競合が発生する可能性がある。
例えば、グループポリシーで「Windows Updateを無効化」している場合、Intuneのポリシーが正しく適用されないことがある。
この問題を避けるため、「MDM Policy CSP」(MDMポリシーが優先される仕組み)を有効化することを推奨する。
私の失敗談: 最初、グループポリシーで「Windows Updateの自動更新を無効化」していたため、Intuneのポリシーが全く適用されなかった。グループポリシーを削除したら、Intuneのポリシーが正しく動作した。
オンプレADでユーザーやデバイスを追加しても、Azure ADに反映されるまで30分〜1時間程度の遅延がある。
この遅延を短縮したい場合は、PowerShellで手動同期を実行できる:
Start-ADSyncSyncCycle -PolicyType Delta
私も急ぎの案件では、この手動同期を使っている。ただし、頻繁に実行するとAzure AD側で制限がかかることがあるので注意。
オンプレADからデバイスを削除しても、Azure ADから自動削除されない。
Azure Portalから手動で削除するか、Azure AD Connectの設定で「デバイスライトバック」を有効化する必要がある。
私の失敗談: 廃棄したPCをオンプレADから削除したが、Azure ADには残ったままだった。結果、Intuneライセンスが無駄に消費されていた。定期的にAzure ADのデバイスリストをチェックして、不要なデバイスを削除することが重要。
| 項目 | 費用 | 備考 |
|---|---|---|
| Azure AD Premium P1(100ユーザー・1年) | 約72万円 | 月額600円×100ユーザー×12ヶ月 |
| Intuneライセンス | 0円 | Microsoft 365 Business Premiumに含まれる場合 |
| Azure AD Connectサーバー(仮想マシン) | 約10万円 | 仮想サーバー構築費用 |
| 構築作業(80時間・外注) | 約160万円 | 時給2万円×80時間 |
| 合計 | 約242万円 | 1年目の初期投資 |
| 項目 | 費用 | 備考 |
|---|---|---|
| Azure AD Premium P1(100ユーザー) | 約72万円 | 年間ライセンス費用 |
| Azure AD Connectサーバー運用 | 約12万円 | 電気代・保守費用 |
| 運用作業(月2時間) | 約48万円 | 時給2万円×2時間×12ヶ月 |
| 合計 | 約132万円 | 年間運用費用 |
| 項目 | WSUS(従来) | Intune(Hybrid構成) | 差額 |
|---|---|---|---|
| 初期導入コスト | 約50万円 | 約242万円 | +192万円 |
| 年間運用コスト | 約200万円 | 約132万円 | -68万円 |
| 3年間の総コスト | 約650万円 | 約506万円 | -144万円 |
結論: 初期投資は高いが、3年間で見ればIntune(Hybrid構成)の方がコスト削減できる。特に運用工数削減の効果が大きい。
症状:
原因と解決策:
Start-ADSyncSyncCycle -PolicyType Delta症状:
原因と解決策:
症状:
原因と解決策:
Start-ADSyncSyncCycle -PolicyType Delta症状:
原因と解決策:
症状:
原因と解決策:
Hybrid Azure AD Joinは、あくまで過渡期の構成だ。最終的にはAzure AD完全移行を目指すべきだ。
移行パスとしては:
この移行には1〜2年かかることが多いが、段階的に進めることで、業務への影響を最小限に抑えられる。
私が担当した企業では、この移行に18ヶ月かかった。最初の6ヶ月でIntune移行、次の12ヶ月でオンプレAD依存システムのクラウド化を進めた。
私が実際に実施した200台規模の移行スケジュールを紹介する。
| 期間 | 作業内容 | 工数 |
|---|---|---|
| 第1ヶ月 | Azure AD Connect導入、Hybrid構成有効化 | 40時間 |
| 第2ヶ月 | パイロット運用(10台)、ポリシー調整 | 50時間 |
| 第3〜4ヶ月 | 第1展開(営業部門50台) | 60時間 |
| 第5〜6ヶ月 | 第2展開(全社200台) | 80時間 |
| 第7〜12ヶ月 | グループポリシー→Intune移行 | 120時間 |
| 第13〜18ヶ月 | オンプレAD依存システムのクラウド化 | 200時間 |
合計: 約550時間(1年半)
この移行により、最終的にWSUSサーバーとオンプレADサーバーを廃止でき、年間150万円のサーバー維持費を削減できた。
はい、使えます。Hybrid構成では、グループポリシーとIntuneポリシーの両方が適用されます。ただし、ポリシーの競合に注意が必要です。
ほぼ同じ機能が使えますが、一部制限があります。例えば、Windows Hello for Businessの一部機能は、Azure AD Joinでないと利用できません。
はい、原則として再セットアップが必要です。ただし、Autopilotを使えば、ユーザーが自分でリセット・再登録できるため、IT部門の作業負荷を軽減できます。
既に同期済みのユーザー・デバイスは影響を受けませんが、新規追加・変更が反映されなくなります。Azure AD Connectは重要なインフラなので、可能であれば冗長化(スタンバイサーバーの準備)を推奨します。
技術的には可能ですが、推奨しません。Hybrid構成は管理が複雑になるため、将来的にAzure AD完全移行を目指さないなら、オンプレADのグループポリシーだけで管理したほうがシンプルです。
可能ですが、推奨しません。専用の仮想マシンまたはメンバーサーバーにインストールする方が、トラブル時の切り分けが容易です。
はい、使えます。ただし、Intuneポリシーの更新や同期はインターネット接続が必要です。完全オフライン環境では利用できません。
はい、可能です。Azure AD Connectの設定で、同期対象OUを指定できます。テスト環境では、特定OUだけを同期対象にする運用が一般的です。
いいえ、Hybrid Azure AD JoinにはAzure AD Premium P1で十分です。P2が必要になるのは、条件付きアクセスの高度な機能やID保護を使う場合です。
小規模環境(10万オブジェクト未満)なら、SQL Server Express LocalDBで十分です。大規模環境では、フルバージョンのSQL Serverを推奨します。
Microsoftは年に3〜4回のペースでバージョンアップをリリースします。セキュリティ更新が含まれる場合は、速やかに適用することを推奨します。
グループポリシーの「WSUS設定」を削除し、Intuneで「Windows Update for Business」ポリシーを設定します。両方が有効になっていると、ポリシーが競合します。
Azure ADとオンプレADの両方に保存できます。Intuneで「BitLocker回復キーをAzure ADに保存」ポリシーを設定することを推奨します。
いいえ。オンプレADでデバイス名を変更しても、Azure ADには自動反映されません。デバイスを一度削除して再登録するか、PowerShellで手動同期が必要です。
Azure Portalの「Azure AD Connect Health」、またはAzure AD Connectサーバーの「Synchronization Service Manager」で確認できます。
はい、使えます。Azure ADで多要素認証を有効にすれば、Hybrid構成のデバイスでも適用されます。
はい、機能します。「Hybrid Azure AD Joinされたデバイスのみ許可」という条件付きアクセスポリシーも設定可能です。
パスワードハッシュ同期を有効にすれば、同期されます。ただし、パスワードそのものではなく、ハッシュ値が同期される点に注意してください。
オンプレADとAzure ADの両方に影響が及ぶ可能性があります。Azure AD Connectサーバーは、高度なセキュリティ対策(アクセス制限・監視・ログ管理)が必要です。
はい、使えます。「Hybrid Azure AD Join + オンプレ証明書」または「Hybrid Azure AD Join + クラウド信頼」の2つの構成があります。
オンプレActive Directoryが残っている環境でも、Hybrid Azure AD Joinを使えばIntuneでWindows Update管理ができる。
ただし、Hybrid構成は管理が複雑になるため、最終的にはAzure AD完全移行を目指すべきだ。
Hybrid構成を導入する際は、グループポリシーとIntuneポリシーの競合、Azure AD Connectの同期遅延、デバイス削除の手順などに注意が必要だ。
私も最初は失敗の連続だったが、この記事で紹介した注意点を押さえることで、200台規模の移行を成功させることができた。
あなたも、この記事を参考に、段階的な移行を進めてほしい。
Hybrid Azure AD JoinやIntuneの経験は、IT管理者の市場価値を大きく高める。クラウド移行プロジェクトの経験者は、転職市場でも高く評価される。
もしあなたが「クラウド管理の経験を積んでキャリアアップしたい」「Azure・Microsoft 365に強い企業に転職したい」と考えているなら、専門のエージェントに相談してみよう。
レバテックキャリアでは、Azure・Intune経験者向けの求人を多数扱っている。登録は無料で、匿名で求人情報を見ることもできる。
特に、以下のような経験があると、年収アップの可能性が高い:
私の知人も、Intune移行プロジェクトの経験を武器に転職し、年収が150万円アップした。クラウド管理のスキルは、今後ますます需要が高まる分野だ。