副題：Entra導入に向けて　”IDの省人力化の号令がかかった！ごちゃまぜになっているものを整理しよう！”

こんにちは。
今回は、「Microsoft Entra ハイブリッド接続で叶える情シス負担軽減策」と題して、とある依頼情報から、私なりのベストプラクティス案を提示していきたいと思います。
では、さっそく依頼状を見てみましょう。

＜依頼状の中身＞

オンプレ AD と Entra ID を連携し、ドメイン統合および cloud.microsoft への将来移行を見据えた設計をしてほしい。

システム基盤統合に関する対応依頼（全文）

　現在、うちの認証基盤およびドメイン運用が複雑化しており、今後のクラウド活用やデバイス管理の統合に向けて、基盤の再設計が必要な状況です。そのため、技術的な検討および構築作業をあなた様に構築してもらいたく、下記の通り依頼いたします。

1. 現在のドメイン構成
   abc.tokyo（ポートフォリオサイト。今後 Google Workspace へ移行予定）
   yamada365.com / yamada365.onmicrosoft.com（外向けドメイン）
   YM-AD.local（オンプレミス Active Directory。クラウド未連携）

これらは歴史的経緯により分断されており、ID・メール・デバイス管理が統一されていません。

2. 現状の主な課題
   内向け・外向け・仕入れ時の ID が別管理で、更新作業が煩雑
   オンプレ AD と Entra ID が連携しておらず、認証基盤が二重化
   Wi-Fi 管理がパスワード依存で、運用効率が低い
   ソフトウェア管理がデバイスごとに異なり、統制が困難
   スマートフォンを鍵として利用する運用が増え、パスキー対応が必要
   Workgroup への後退は避けたいが、オンプレ AD の利点も残したい
   Microsoft による **cloud.microsoft への統一方針**に備える必要がある

3. 目指すべき方向性（最終ゴール）
   ID の統一を行い、オンプレ AD と Entra ID を連携し、認証基盤を一本化する
   メール環境の統合　ポートフォリオサイトのメールも yamada365.com に統合
   移動した分の空き容量はお問い合わせ窓口とする。
   ドメインの統一を行い、外向けログインは .com ドメインで統一
   WindowsとAndroidを中心にデバイス管理の一元化
   ネットワーク管理の改善を行い、引き渡し時に自動接続される接続方式へ
   ソフトウェア管理の効率化を行うため、ライセンス・配布・更新を統合的に管理できる仕組みを整備

4. 依頼内容
   オンプレ AD と Entra ID を連携するためのハイブリッド構成案の作成
   ドメイン統合および cloud.microsoft への将来移行を見据えた設計
   Windows／Android を対象としたデバイス管理基盤（Intune 等）の検討
   Wi-Fi接続の簡素化
   メール環境統合に向けた移行計画の策定
   ソフトウェア管理統合に向けた運用改善案

以上、技術的な検討および構築計画の作成をお願いいたします。

ということで、今回は状況の整理と施策についてみていきたいと思います。
まず、外部要因としては、Microsoftの cloud.microsoft への将来移行があるということで、今までの名称では恥ずかしい？のかなと思います。そういう理由も一つありだと思います。
また、労働環境の変化も一つだと思います。急速なＤＸ進化と国内人口減少となれば手作業での対応は厳しくなると思われます。
今回はGPOと並行したモバイルデバイス管理も活用していきたいということです。

ということで、さっそく以下の内容を中心として解説していこうと思います。

• オンプレ AD と Entra ID を連携するためのハイブリッド構成案の作成
• ドメイン統合および cloud.microsoft への将来移行を見据えた設計　￥
• Windows／Android を対象としたデバイス管理基盤（Intune 等）の検討　￥
• Wi-Fi接続の簡素化
• メール環境統合に向けた移行計画の策定　￥
• ソフトウェア管理統合に向けた運用改善案　￥

オンプレ AD と Entra ID を連携するためのハイブリッド構成案の作成

現在、こんなにもドメインが存在しているのを確認しました。

• ポートフォリオサイトでabc.tokyo
• 外向けドメインでyamada365.com / yamada365.onmicrosoft.com
• オンプレミス Active DirectoryでYM-AD.local

を利用しているのですね。

このアカウントをハイブリッド対応するためには、どうすればいいのか？といいますと、オンプレミスのアカウントに対し、外向けのドメインを接続するところから始まります。
公式ドキュメントは以下のサイトにありますが、一部読みづらいところがあるかもなので、これをもとに解説していきます。

https://learn.microsoft.com/ja-jp/entra/identity/hybrid

今回のIDハイブリッド参加は、https://learn.microsoft.com/ja-jp/entra/identity/hybrid/common-scenariosで示されている通り、「Connect同期でのサポート」がベストとも言えます。
また、ハイブリッド化に伴い、「シングルサインオン認証」（SSO）が活用できます。

アカウントIDハイブリッド化における認証方法は複数あるのですが、「フェデレーション認証」は個人的には難しいところもあるので、今回はパススルー認証を選択してみます。

https://learn.microsoft.com/ja-jp/windows-server/identity/ad-fs/ad-fs-overview冒頭に記載があり、AD FSの認証はあまりお勧めしていないようです。ただ、オンプレミス環境においての多要素認証やスマートカード認証を行う場合はフェデレーションの方法しかありません。

ということで、まずは認証方法の方式を決めることができました。
ドメインはyamada365.comとする方針です。

＜認証方法のメモ＞
同期シナリオ：connect同期
認証方法：PTA（パススルー認証）
展開方法：Microsoft Entra Connectを利用
結合先ドメイン：yamada365.com

それでは、この方式で行う旨を伝え、相手からサーバーのIDとパスワード・Microsoft Entraテナントの最高管理者のID・パスワードを正規の方法で取得したら、いよいよ実践的な作業に入っていきます。