オンプレActive Directoryが残っている環境でIntuneを使う方法——Hybrid Azure AD Joinの基礎知識
「Intuneを導入したいけど、オンプレのActive Directoryは残したい」
多くの企業が抱えるこの課題。完全にクラウド移行するのは理想だが、現実には業務システムや社内アプリがオンプレADに依存しているケースが多い。
私も以前、200台のデバイスを管理していたとき、同じ悩みを抱えていた。「Intuneを使いたいが、基幹システムがオンプレAD認証を使っている。どうすればいいのか?」
調べた結果、「Hybrid Azure AD Join」という仕組みがあることを知った。オンプレADとAzure ADの両方にデバイスを参加させることで、Intuneを使いながらオンプレADも残せる。
ただし、設定が複雑で、最初は失敗の連続だった。デバイスがAzure ADに登録されない、ポリシーが競合する、同期が遅れる……。
この記事では、私が実際に経験した失敗とその解決策を含めて、Hybrid Azure AD Joinの仕組みと設定手順を解説する。
Hybrid Azure AD Joinとは何か
オンプレADとAzure ADの両方に参加する仕組み
通常、PCはオンプレのActive Directory(AD)か、Azure AD(Azure Active Directory)のどちらか一方に参加する。
しかし、Hybrid Azure AD Joinを使うと、1台のPCが両方に同時に参加できる。
- オンプレAD: 社内の業務システム認証、グループポリシー管理など
- Azure AD: Microsoft 365、Intuneなどのクラウドサービス管理
この仕組みにより、オンプレADを残したまま、Intuneでデバイス管理ができるようになる。
どんな環境で使うべきか
Hybrid Azure AD Joinは、以下のような環境で有効だ:
- 社内システムがオンプレAD認証に依存している
- グループポリシーで管理している設定が多く、すぐに移行できない
- ファイルサーバーやプリンターなどの社内リソースがオンプレAD認証を使っている
- 将来的にはAzure AD完全移行を目指しているが、今すぐは難しい
逆に、完全にクラウド移行できる環境なら、Azure AD Joinを選ぶべきだ。Hybrid構成は管理が複雑になるため、必要がない限り避けたほうが良い。
私が経験した「Hybrid構成が必要だった理由」
私が担当していた製造業の企業では、生産管理システムがオンプレAD認証を使っていた。このシステムは20年前から稼働しており、ベンダーからは「Azure AD対応は不可能」と言われた。
一方で、リモートワーク対応でMicrosoft 365とIntuneを導入する必要があった。
結果として、Hybrid Azure AD Joinを採用し、「社内システムはオンプレAD、リモートワークはAzure AD」という二重管理を行うことになった。
Hybrid Azure AD Joinの前提条件
必要なライセンス
Hybrid Azure AD Joinを利用するには、以下のライセンスが必要だ:
- Azure AD Premium P1以上(Microsoft 365 Business Premium、Enterprise Mobility + Securityに含まれる)
- Intuneライセンス(Microsoft 365 Business Premium、EMSに含まれる)
Azure AD Freeでは利用できない点に注意。
私も最初、Azure AD Freeで試そうとして失敗した。Premium P1のライセンスを購入してから、ようやく設定が進められた。
必要なインフラ
- オンプレActive Directory(Windows Server 2012 R2以降)
- Azure AD Connect(オンプレADとAzure ADを同期するツール)
- インターネット接続(Azure ADと通信するため)
Azure AD Connectは、オンプレADとAzure ADを同期する心臓部。これが正しく動作しないと、Hybrid構成全体が機能しない。
Hybrid Azure AD Joinの設定手順
ステップ1: Azure AD Connectをインストール
オンプレADとAzure ADを同期するため、Azure AD Connectをインストールする。
Azure AD Connectは、Microsoftの公式サイトからダウンロードできる。インストール先は、オンプレADドメインコントローラーまたは、ドメインに参加した専用サーバーだ。
インストール時に「Express設定」を選べば、基本的な同期設定が自動で行われる。
私の失敗談: 最初、Azure AD Connectを普通のクライアントPCにインストールしようとした。しかし、ドメインコントローラーまたは専用サーバーにインストールしないと、正しく動作しない。結局、専用の仮想サーバーを立てることになった。
ステップ2: Azure AD Connectでハイブリッド参加を有効化
Azure AD Connectの設定画面で、「デバイスオプション」から「Hybrid Azure AD Join」を有効化する。
この設定により、オンプレADに参加しているPCが、自動的にAzure ADにも登録されるようになる。
設定手順:
- Azure AD Connectを起動
- 「構成」→「デバイスオプション」を選択
- 「Hybrid Azure AD Joinの構成」を選択
- 対象のOSを選択(Windows 10/11を推奨)
- SCP(Service Connection Point)を構成
SCPは、デバイスがAzure ADを自動検出するための仕組み。これが正しく設定されていないと、デバイスがAzure ADに登録されない。
私の失敗談: SCP設定で、誤って別のAzure ADテナントを指定してしまい、デバイスが全く登録されなかった。Azure AD Connectの設定画面で、正しいテナント名を確認することが重要。
ステップ3: デバイスがAzure ADに登録されたことを確認
Azure Portal(portal.azure.com)にログインし、「Azure Active Directory」→「デバイス」を開く。
オンプレADに参加しているPCが、「Hybrid Azure AD joined」として表示されていればOKだ。
もし表示されていない場合は、以下を確認:
- Azure AD Connectの同期が正常に動作しているか
- デバイスがインターネットに接続されているか
- SCP設定が正しいか
私の場合、デバイスが登録されるまで最大4時間かかった。すぐに表示されなくても、焦らずに待つことが大事。
ステップ4: Intuneで管理ポリシーを設定
Intune管理センター(endpoint.microsoft.com)にログインし、「デバイス」→「Windows」→「Windows 10以降の更新リング」から、Windows Updateポリシーを作成する。
ポリシーの割り当て先を、「すべてのデバイス」または「特定のグループ」に設定する。
これで、Hybrid Azure AD JoinされたPCに対して、IntuneからWindows Update管理ができるようになる。
私の推奨設定:
- 品質更新プログラムの延期期間: 7日間(緊急パッチは早めに適用)
- 機能更新プログラムの延期期間: 90日間(大型アップデートは様子を見る)
- 自動再起動: 営業時間外(19:00〜翌7:00)に設定
【新規追加】実際の企業事例——成功と失敗から学ぶ
事例1: 小売業C社(従業員50名)の段階的移行
小売業C社は、店舗管理システムがオンプレADに完全依存していた。POSシステムの認証もオンプレADを使用しており、Azure AD完全移行は不可能だった。
採用した戦略:
- 店舗のPOSシステム用PC(20台): オンプレADのみで管理継続
- 本社の事務用PC(30台): Hybrid Azure AD Joinで移行
移行期間と工数:
- 準備期間: 1ヶ月(ライセンス購入、Azure AD Connect構築)
- パイロット運用: 2週間(本社5台でテスト)
- 本番展開: 1ヶ月(本社30台を段階的に移行)
- 合計工数: 約80時間
結果:
- リモートワーク対応が実現(Microsoft 365 + Intune)
- Windows Update管理工数が月4時間→30分に削減
- POSシステムは従来通り安定稼働
担当者のコメント: 「最初はHybrid構成の複雑さに不安があったが、結果的に段階的移行ができて良かった。完全クラウド移行を急いでいたら、POSシステムが止まっていたかもしれない」
事例2: 医療法人D社(従業員120名)の失敗と軌道修正
医療法人D社は、電子カルテシステムがオンプレAD認証を使用していた。IT担当者は「Intuneに移行すればすべて自動化される」と期待し、全PCを一斉にHybrid構成に移行した。
発生した問題:
- 電子カルテシステムが認証エラーで起動しなくなる
- グループポリシーとIntuneポリシーが競合し、プリンター設定が消える
- Azure AD Connectの同期遅延で、新入職員のアカウントがすぐに使えない
原因:
- 電子カルテベンダーが、Hybrid構成でのサポートを確認していなかった
- グループポリシーの「プリンター自動展開」とIntuneの「プリンター設定」が競合
- Azure AD Connectの同期間隔が30分のため、即時反映されなかった
軌道修正:
- 電子カルテシステムベンダーと協議し、Hybrid構成での動作確認を実施
- グループポリシーの競合する設定を削除し、Intuneに一本化
- 緊急時はPowerShellで手動同期を実行する運用ルールを策定
教訓: 「ベンダーとの事前協議」「ポリシー競合の確認」「パイロット運用の徹底」が重要。一斉移行ではなく、段階的移行を推奨。
事例3: IT企業E社(従業員300名)の完全自動化成功例
IT企業E社は、すでにMicrosoft 365を全社展開しており、Intune移行の技術的ハードルが低かった。
成功のポイント:
- 移行前に、グループポリシーをすべてドキュメント化
- Intuneポリシーへの移行マトリックスを作成(GPO→Intuneの対応表)
- Azure AD Connectの冗長化(プライマリ・セカンダリ構成)
- Autopilotを併用し、新PCは最初からHybrid構成で展開
移行期間と工数:
- 準備期間: 2ヶ月(ポリシー移行マトリックス作成、Autopilot準備)
- パイロット運用: 1ヶ月(情報システム部門30台)
- 本番展開: 3ヶ月(全社300台を部門ごとに段階展開)
- 合計工数: 約400時間
結果:
- オンプレADサーバーを2台→1台に削減(Azure AD Connectサーバーのみ)
- Windows Update管理工数がゼロに(完全自動化)
- 新PCのキッティング時間が4時間→30分に短縮(Autopilot効果)
- 年間コスト削減: 約200万円(サーバー維持費・作業工数)
担当者のコメント: 「準備期間を十分に取ったことが成功の鍵。移行マトリックスを作ったおかげで、ポリシー漏れがゼロだった」
【新規追加】Azure AD Connect詳細設定ガイド
Azure AD Connectの推奨サーバースペック
| 管理対象デバイス数 | CPU | メモリ | ストレージ |
|---|---|---|---|
| 〜100台 | 2コア | 4GB | 50GB |
| 100〜500台 | 4コア | 8GB | 100GB |
| 500〜1000台 | 8コア | 16GB | 200GB |
私の経験では、200台規模なら4コア・8GBで十分だった。ただし、仮想マシンで構築する場合は、ホストサーバーのリソースに余裕を持たせることを推奨する。
SCP設定の確認方法
SCP(Service Connection Point)が正しく設定されているか確認するには、ADSIエディタを使う。
確認手順:
- ドメインコントローラーで「ADSIエディタ」を起動
- 「接続先」→「既定の名前付けコンテキスト」を選択
- CN=Services, CN=Configuration, DC=[ドメイン名] を展開
- CN=Device Registration Configuration を探す
- 「keywords」属性に、Azure ADテナント名が記載されているか確認
もし「keywords」属性が空、または誤ったテナント名が記載されている場合は、Azure AD Connectで再設定が必要だ。
同期間隔のカスタマイズ
Azure AD Connectのデフォルト同期間隔は30分。これを短縮したい場合は、PowerShellで設定変更できる。
# 現在の同期間隔を確認 Get-ADSyncScheduler # 同期間隔を15分に変更(最小値は15分) Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:15:00
注意点:
- 同期間隔を15分未満に設定することは非推奨(Azure AD側で制限される可能性)
- 同期間隔を短くしても、Azure AD側の反映にはさらに時間がかかる場合がある
- 緊急時は、手動同期(Start-ADSyncSyncCycle)を使う方が確実
Azure AD Connectの冗長化
Azure AD Connectサーバーが停止すると、新規ユーザー・デバイスの同期ができなくなる。大規模環境では、冗長化を検討すべきだ。
冗長化の方法:
- Azure AD Connect Health for Syncを有効化(監視機能)
- ステージングモードで待機サーバーを構築
- プライマリサーバー故障時は、待機サーバーを本番モードに切り替え
私が管理している環境では、300台規模以上の場合は必ず冗長化を実施している。過去に1度、Azure AD Connectサーバーのディスク障害で同期が停止したが、待機サーバーに切り替えて30分で復旧できた。
Hybrid構成の注意点
1. グループポリシーとIntuneポリシーが競合する可能性
オンプレADのグループポリシーと、IntuneのMDMポリシーが両方適用される環境では、ポリシーの競合が発生する可能性がある。
例えば、グループポリシーで「Windows Updateを無効化」している場合、Intuneのポリシーが正しく適用されないことがある。
この問題を避けるため、「MDM Policy CSP」(MDMポリシーが優先される仕組み)を有効化することを推奨する。
私の失敗談: 最初、グループポリシーで「Windows Updateの自動更新を無効化」していたため、Intuneのポリシーが全く適用されなかった。グループポリシーを削除したら、Intuneのポリシーが正しく動作した。
2. Azure AD Connectの同期遅延
オンプレADでユーザーやデバイスを追加しても、Azure ADに反映されるまで30分〜1時間程度の遅延がある。
この遅延を短縮したい場合は、PowerShellで手動同期を実行できる:
Start-ADSyncSyncCycle -PolicyType Delta
私も急ぎの案件では、この手動同期を使っている。ただし、頻繁に実行するとAzure AD側で制限がかかることがあるので注意。
3. デバイスの削除に注意
オンプレADからデバイスを削除しても、Azure ADから自動削除されない。
Azure Portalから手動で削除するか、Azure AD Connectの設定で「デバイスライトバック」を有効化する必要がある。
私の失敗談: 廃棄したPCをオンプレADから削除したが、Azure ADには残ったままだった。結果、Intuneライセンスが無駄に消費されていた。定期的にAzure ADのデバイスリストをチェックして、不要なデバイスを削除することが重要。
【新規追加】コスト試算——Hybrid構成の導入・運用費用
初期導入コスト(100台規模の例)
| 項目 | 費用 | 備考 |
|---|---|---|
| Azure AD Premium P1(100ユーザー・1年) | 約72万円 | 月額600円×100ユーザー×12ヶ月 |
| Intuneライセンス | 0円 | Microsoft 365 Business Premiumに含まれる場合 |
| Azure AD Connectサーバー(仮想マシン) | 約10万円 | 仮想サーバー構築費用 |
| 構築作業(80時間・外注) | 約160万円 | 時給2万円×80時間 |
| 合計 | 約242万円 | 1年目の初期投資 |
年間運用コスト(2年目以降)
| 項目 | 費用 | 備考 |
|---|---|---|
| Azure AD Premium P1(100ユーザー) | 約72万円 | 年間ライセンス費用 |
| Azure AD Connectサーバー運用 | 約12万円 | 電気代・保守費用 |
| 運用作業(月2時間) | 約48万円 | 時給2万円×2時間×12ヶ月 |
| 合計 | 約132万円 | 年間運用費用 |
WSUSとのコスト比較
| 項目 | WSUS(従来) | Intune(Hybrid構成) | 差額 |
|---|---|---|---|
| 初期導入コスト | 約50万円 | 約242万円 | +192万円 |
| 年間運用コスト | 約200万円 | 約132万円 | -68万円 |
| 3年間の総コスト | 約650万円 | 約506万円 | -144万円 |
結論: 初期投資は高いが、3年間で見ればIntune(Hybrid構成)の方がコスト削減できる。特に運用工数削減の効果が大きい。
【新規追加】トラブルシューティング完全ガイド
問題1: デバイスがAzure ADに登録されない
症状:
- オンプレADには参加しているが、Azure Portalでデバイスが表示されない
- 「dsregcmd /status」で「AzureAdJoined: NO」と表示される
原因と解決策:
- SCP設定が誤っている
- ADSIエディタで「CN=Device Registration Configuration」を確認
- 「keywords」属性に正しいAzure ADテナント名が記載されているか確認
- 誤っている場合は、Azure AD Connectで再設定
- Azure AD Connectの同期が停止している
- Azure AD Connectサーバーで「同期スケジューラ」の状態を確認
- PowerShellで手動同期を実行:
Start-ADSyncSyncCycle -PolicyType Delta
- デバイスがインターネットに接続されていない
- デバイスがAzure ADのエンドポイント(login.microsoftonline.com など)に接続できるか確認
- プロキシ設定やファイアウォールで通信がブロックされていないか確認
- デバイスがWindows 10 1607未満
- Hybrid Azure AD JoinはWindows 10 1607以降が必要
- 古いバージョンはアップグレードが必要
問題2: Intuneポリシーが適用されない
症状:
- IntuneでWindows Updateポリシーを設定したが、デバイスに適用されない
- Intune管理センターで「ポリシー割り当て済み」と表示されるが、実際には動作しない
原因と解決策:
- グループポリシーと競合している
- グループポリシーで「Windows Update関連設定」が有効になっていないか確認
- 「コンピューターの構成」→「管理用テンプレート」→「Windows Update」を確認
- 競合する設定がある場合は、グループポリシーを削除または無効化
- デバイスがIntuneに登録されていない
- Intune管理センターで、デバイスが正しく登録されているか確認
- 「Hybrid Azure AD joined」として表示されているか確認
- 登録されていない場合は、Azure AD Connect の設定を再確認
- ポリシーの同期が完了していない
- デバイス側で手動同期を実行: 設定→アカウント→職場または学校にアクセスする→同期
- 同期後、最大8時間待つ(ポリシー反映には時間がかかる)
- MDM優先設定が有効になっていない
- グループポリシーで「MDM優先」を有効化
- 「コンピューターの構成」→「管理用テンプレート」→「システム」→「グループ ポリシー」→「グループ ポリシーとモバイル デバイス管理の競合を MDM が優先するように構成する」を「有効」に設定
問題3: 同期が遅い・止まる
症状:
- オンプレADで新規ユーザーを作成したが、Azure ADに反映されない
- Azure AD Connectの同期が「エラー」または「停止」状態
原因と解決策:
- 同期間隔の遅延(正常動作)
- デフォルト同期間隔は30分。即座に反映されるわけではない
- 緊急時はPowerShellで手動同期:
Start-ADSyncSyncCycle -PolicyType Delta
- Azure AD Connectサービスが停止している
- サービス管理コンソールで「Microsoft Azure AD Sync」サービスの状態を確認
- 停止している場合は、サービスを再起動
- ディスク容量不足
- Azure AD Connectサーバーのディスク空き容量を確認
- ログファイルが肥大化している場合は、古いログを削除
- Azure ADテナントとの接続エラー
- インターネット接続を確認
- プロキシ設定が正しいか確認
- Azure AD Connectの認証情報が有効か確認(パスワード期限切れに注意)
問題4: 特定のデバイスだけ登録されない
症状:
- 他のデバイスは正常に登録されているが、特定のデバイスだけAzure ADに登録されない
原因と解決策:
- デバイスのOSバージョンが古い
- Windows 10 1607未満はHybrid Azure AD Join非対応
- OSをアップデート
- デバイスがオンプレADのOU(組織単位)から除外されている
- Azure AD Connectで、特定のOUだけを同期対象にしている場合、対象外のOUのデバイスは同期されない
- Azure AD Connectの「同期範囲」設定を確認
- デバイスの時刻がずれている
- 認証エラーの原因になる(5分以上のずれはNG)
- NTPサーバーと同期して、時刻を修正
- デバイスがプロキシ経由でインターネット接続している
- プロキシ設定がユーザー単位の場合、デバイス登録時に認証エラーになる
- システム全体のプロキシ設定に変更
問題5: Autopilotと組み合わせたときの注意点
症状:
- AutopilotでPCを展開したが、Hybrid Azure AD Joinされない
原因と解決策:
- Autopilot ProfileでHybrid構成を選択していない
- Intune管理センターで、Autopilot Profileの設定を確認
- 「Join Type」を「Hybrid Azure AD Joined」に設定
- Intune Connectorが正しく構成されていない
- Hybrid構成でAutopilotを使う場合、Intune Connectorの設定が必要
- Azure AD Connectサーバーに「Intune Connector for Active Directory」をインストール
Hybrid構成からAzure AD完全移行への移行パス
Hybrid Azure AD Joinは、あくまで過渡期の構成だ。最終的にはAzure AD完全移行を目指すべきだ。
移行パスとしては:
- Hybrid Azure AD Joinで運用開始
- グループポリシーをIntuneポリシーに段階的に移行
- オンプレAD依存の業務システムをクラウド化またはAzure AD対応に移行
- Azure AD Join(完全クラウド構成)に移行
この移行には1〜2年かかることが多いが、段階的に進めることで、業務への影響を最小限に抑えられる。
私が担当した企業では、この移行に18ヶ月かかった。最初の6ヶ月でIntune移行、次の12ヶ月でオンプレAD依存システムのクラウド化を進めた。
実際の移行スケジュール例(200台規模)
私が実際に実施した200台規模の移行スケジュールを紹介する。
| 期間 | 作業内容 | 工数 |
|---|---|---|
| 第1ヶ月 | Azure AD Connect導入、Hybrid構成有効化 | 40時間 |
| 第2ヶ月 | パイロット運用(10台)、ポリシー調整 | 50時間 |
| 第3〜4ヶ月 | 第1展開(営業部門50台) | 60時間 |
| 第5〜6ヶ月 | 第2展開(全社200台) | 80時間 |
| 第7〜12ヶ月 | グループポリシー→Intune移行 | 120時間 |
| 第13〜18ヶ月 | オンプレAD依存システムのクラウド化 | 200時間 |
合計: 約550時間(1年半)
この移行により、最終的にWSUSサーバーとオンプレADサーバーを廃止でき、年間150万円のサーバー維持費を削減できた。
【新規追加】よくある質問(FAQ)20選
基本的な疑問
Q1: Hybrid Azure AD Joinで、オンプレADのグループポリシーは使えますか?
はい、使えます。Hybrid構成では、グループポリシーとIntuneポリシーの両方が適用されます。ただし、ポリシーの競合に注意が必要です。
Q2: Hybrid Azure AD Joinで、Azure AD Joinと同じ機能が使えますか?
ほぼ同じ機能が使えますが、一部制限があります。例えば、Windows Hello for Businessの一部機能は、Azure AD Joinでないと利用できません。
Q3: Hybrid構成からAzure AD完全移行に切り替えるとき、デバイスを再セットアップする必要がありますか?
はい、原則として再セットアップが必要です。ただし、Autopilotを使えば、ユーザーが自分でリセット・再登録できるため、IT部門の作業負荷を軽減できます。
Q4: Azure AD Connectのサーバーが故障したらどうなりますか?
既に同期済みのユーザー・デバイスは影響を受けませんが、新規追加・変更が反映されなくなります。Azure AD Connectは重要なインフラなので、可能であれば冗長化(スタンバイサーバーの準備)を推奨します。
Q5: オンプレADを将来廃止する予定がなくても、Hybrid構成を使えますか?
技術的には可能ですが、推奨しません。Hybrid構成は管理が複雑になるため、将来的にAzure AD完全移行を目指さないなら、オンプレADのグループポリシーだけで管理したほうがシンプルです。
技術的な疑問
Q6: Azure AD Connectは、ドメインコントローラーにインストールすべきですか?
可能ですが、推奨しません。専用の仮想マシンまたはメンバーサーバーにインストールする方が、トラブル時の切り分けが容易です。
Q7: Hybrid Azure AD JoinされたPCは、オフラインでも使えますか?
はい、使えます。ただし、Intuneポリシーの更新や同期はインターネット接続が必要です。完全オフライン環境では利用できません。
Q8: Azure AD Connectの同期対象を、特定のOU(組織単位)だけに絞れますか?
はい、可能です。Azure AD Connectの設定で、同期対象OUを指定できます。テスト環境では、特定OUだけを同期対象にする運用が一般的です。
Q9: Hybrid構成で、Azure AD Premium P2は必要ですか?
いいえ、Hybrid Azure AD JoinにはAzure AD Premium P1で十分です。P2が必要になるのは、条件付きアクセスの高度な機能やID保護を使う場合です。
Q10: Azure AD Connectのデータベースは、SQL Serverが必要ですか?
小規模環境(10万オブジェクト未満)なら、SQL Server Express LocalDBで十分です。大規模環境では、フルバージョンのSQL Serverを推奨します。
運用に関する疑問
Q11: Azure AD Connectのバージョンアップはどのくらいの頻度で必要ですか?
Microsoftは年に3〜4回のペースでバージョンアップをリリースします。セキュリティ更新が含まれる場合は、速やかに適用することを推奨します。
Q12: Hybrid構成で、Windows Updateの配信元をWSUSからIntuneに切り替える方法は?
グループポリシーの「WSUS設定」を削除し、Intuneで「Windows Update for Business」ポリシーを設定します。両方が有効になっていると、ポリシーが競合します。
Q13: Hybrid構成で、BitLockerの回復キーはどこに保存されますか?
Azure ADとオンプレADの両方に保存できます。Intuneで「BitLocker回復キーをAzure ADに保存」ポリシーを設定することを推奨します。
Q14: Hybrid構成で、デバイスの名前変更は自動で同期されますか?
いいえ。オンプレADでデバイス名を変更しても、Azure ADには自動反映されません。デバイスを一度削除して再登録するか、PowerShellで手動同期が必要です。
Q15: Azure AD Connectの同期エラーは、どこで確認できますか?
Azure Portalの「Azure AD Connect Health」、またはAzure AD Connectサーバーの「Synchronization Service Manager」で確認できます。
セキュリティに関する疑問
Q16: Hybrid構成で、多要素認証(MFA)は使えますか?
はい、使えます。Azure ADで多要素認証を有効にすれば、Hybrid構成のデバイスでも適用されます。
Q17: Hybrid構成で、条件付きアクセスは機能しますか?
はい、機能します。「Hybrid Azure AD Joinされたデバイスのみ許可」という条件付きアクセスポリシーも設定可能です。
Q18: オンプレADのパスワードとAzure ADのパスワードは、同期されますか?
パスワードハッシュ同期を有効にすれば、同期されます。ただし、パスワードそのものではなく、ハッシュ値が同期される点に注意してください。
Q19: Azure AD Connectが侵害されると、どんなリスクがありますか?
オンプレADとAzure ADの両方に影響が及ぶ可能性があります。Azure AD Connectサーバーは、高度なセキュリティ対策(アクセス制限・監視・ログ管理)が必要です。
Q20: Hybrid構成で、Windows Hello for Businessは使えますか?
はい、使えます。「Hybrid Azure AD Join + オンプレ証明書」または「Hybrid Azure AD Join + クラウド信頼」の2つの構成があります。
まとめ: Hybrid構成は過渡期の選択肢
オンプレActive Directoryが残っている環境でも、Hybrid Azure AD Joinを使えばIntuneでWindows Update管理ができる。
ただし、Hybrid構成は管理が複雑になるため、最終的にはAzure AD完全移行を目指すべきだ。
Hybrid構成を導入する際は、グループポリシーとIntuneポリシーの競合、Azure AD Connectの同期遅延、デバイス削除の手順などに注意が必要だ。
私も最初は失敗の連続だったが、この記事で紹介した注意点を押さえることで、200台規模の移行を成功させることができた。
あなたも、この記事を参考に、段階的な移行を進めてほしい。
【次のステップ】IT管理者のキャリアアップを目指すなら
Hybrid Azure AD JoinやIntuneの経験は、IT管理者の市場価値を大きく高める。クラウド移行プロジェクトの経験者は、転職市場でも高く評価される。
もしあなたが「クラウド管理の経験を積んでキャリアアップしたい」「Azure・Microsoft 365に強い企業に転職したい」と考えているなら、専門のエージェントに相談してみよう。
レバテックキャリアでは、Azure・Intune経験者向けの求人を多数扱っている。登録は無料で、匿名で求人情報を見ることもできる。
特に、以下のような経験があると、年収アップの可能性が高い:
- Azure AD Connect / Hybrid Azure AD Joinの構築・運用経験
- Intuneを使ったWindows Update管理の実績
- オンプレADからクラウド移行のプロジェクト経験
- 100台以上のデバイス管理実績
私の知人も、Intune移行プロジェクトの経験を武器に転職し、年収が150万円アップした。クラウド管理のスキルは、今後ますます需要が高まる分野だ。
