AAD - Azure AD Join によって出来ることと必要なライセンス

自分

閲覧ありがとうございます。ゆっくりよんでいってください

本記事に記載の内容は、
「AAD - Azure AD Join によって出来ることと必要なライセンス」について説明しています。

色々な方からご相談を頂くことに関して、まとめました。
ひとえにAzure AD Joinを言っても、前提条件や注意点、その後の動作について
まとまっている記事がないので、ぜひ参考にしてみてくださいっ。

1 Azure Active Directory Join (Azure AD Join) とは？？
- 1.1 Azure AD の基本的な役割は？？
2 Azure AD Join を行うための前提条件や注意点
- 2.1 AADJ - 前提条件
- 2.2 AADJ - 注意点
  - 2.2.1 Azure AD Join時の Windows Hello for Business を無効化する

Azure Active Directory Join (Azure AD Join) とは？？

Windows 10 や Windows 11端末をAzure ADに参加させることを指した呼び方です。

Azure ADに参加することで、Microsoft 365で使用しているメールアドレス( ID )で
Windows 端末にサインインすることが可能になります。
また、Microsoft 365の各種サービスにシングルサインオン (SSO)という IDとパスワード無しでサインインが可能になります。

なお、企業でWindows 端末を利用しているとActive Directory (AD)に参加させることがありますが、
ADに参加すると、Windows端末に対して GPOを適用することが出来ます。
しかし、Azure AD にWindows端末を参加させても、GPOは利用できないため
GPOを適用したい場合は、Intuneが必要になります。

Azure AD の基本的な役割は？？

あまり触れられていませんが、Microsoft 365やOffice 365を契約すると Azure ADが付いてきます。
このAzure ADは、認証基盤として動作するためユーザーアカウントとパスワードを管理していきます。

管理しているユーザーアカウントで認証を行おうとすると、Azure ADが認証/認可(追加ライセンス必要)を行ってくれます。
※条件付きアクセスも追加ライセンスで可能です。

この、Azure ADのユーザーアカウントを利用して Windows端末にサインイン出来る状況にすることをAzure AD Join と呼びます。

Azure AD Join を行うための前提条件や注意点

Azure AD Joinを行うために、Azure AD Premium 1以上のライセンスが必要という情報がありますが、本記事投稿時点では不要です。
そのため、Azure AD Freeで問題が無く、Office 365 A1 でも大丈夫です。

AADJ - 前提条件

Windows 10 以降のOS
Windows Homeエディション以外
Microsoft 365 または Office 365のライセンス契約
- Azure AD Free で問題ありません。Premiumライセンスは不要です。

AADJ - 注意点

Windows端末にMicrosoft 365アカウントでサインインすることになるため、
今まで利用していたユーザープロファイルから新しいユーザープロファイルとなります。
Microsoft 365にて、ユーザー名(表示名)を変更しても、既にAzure AD Joinを行いサインインしている場合
PC上に表示されるユーザー名(表示名)は変更されません。
マルチユーザーサポートされているため、同じMicrosoft 365 テナント上の
ユーザーアカウントで、AADJ済み端末にサインインすることが可能となります。
※ただし他のユーザーは、管理者権限を持たないのが規定の動作となります。
Azure AD Joinを行っても自動的に、OneDriveが動いたり BitLockerが有効化されることはありません。
契約済みMicrosoft 365テナントにて、Windows Hello for Businessが有効化されている場合は
Windows サインイン時にセットアップが必要になるため不要な場合は、事前に以下手順で無効化する必要があります。
※セットアップ時に電話番号が必要になるため、無効化される方が多いです。

Azure AD Join時の Windows Hello for Business を無効化する

Intuneを契約している場合は、別の方法で無効化出来ますが
Azure AD のみ契約していた場合に必要となってくるローカルグループポリシーでの設定方法を記載します。

 command
1.Ctrl + R の [ファイル名を指定して実行] にて gpedit.msc と入力し、ローカル グループ ポリシー エディターを起動します。2.以下のパスへ移動します。　[コンピューターの構成] - [管理テンプレート] - [Windows コンポーネント] - [Windows Hello for Business]3.“Windows Hello for Business の使用” を “無効” にします。　なお、“未構成” もしくは “有効” の場合、Windows Hello for Business は有効として機能します。4.デバイスを再起動します。