Azure Active Directory への Windows 10 Mobile の参加

Windows 10 Mobile を実行しているデバイスは、そのデバイスを Out-Of-Box Experience (OOBE) で構成するときに、Azure Active Directory (Azure AD) に参加できます。 この記事では、組織で Azure AD と共に Windows 10 Mobile を使用する場合の考慮事項とオプションについて説明します。

Windows 10 Mobile を Azure AD に参加させる理由

Windows 10 Mobile を実行しているデバイスが Azure AD に参加していると、デバイスでは、組織が所有する資格情報を排他的に使用することができ、ユーザーがサインインする際に、組織のサインイン要件を必ず使用するように構成できます。 Windows 10 Mobile デバイスを Azure AD に参加させることによって、デスクトップ デバイスを参加させる場合と同じくらいのメリットを受けることができます。次に例を示します。

• Azure AD によってサポートされるリソースを使用して、メール、Word、OneDrive などのアプリケーションでシングル サインオン (SSO) することができます。

• Microsoft Edge ブラウザーで、Azure AD に接続された Web アプリケーションに SSO することができます。これらのアプリケーションには、Office 365 ポータルや Visual Studio、および 2500 種類を超える Microsoft 以外のアプリなどがあります。

• 組織内のリソースへの SSO。

• モバイル デバイス管理 (MDM) サービスへの自動登録。

• 設定のエンタープライズ ローミングの有効化 (現時点ではサポートされていませんが、計画中です)。

• ビジネス向け Windows ストア使用した、ユーザー向けのアプリケーションの絞り込み。

現在のデバイスを Windows 10 Mobile にアップグレード

Windows Phone 8.1 では、認証用に Microsoft アカウントを使用して、デバイスを個人向けクラウド サービスに接続する機能のみがサポートされています。 この場合、業務用に使う Microsoft アカウントの作成が必要になります。 Windows 10 Mobile では、個人用 Microsoft アカウントを使用せずに、デバイスを Azure AD に直接参加させることができます。

Windows Phone 8.1 デバイスを既にお持ちの場合は、最初に、そのデバイスが Windows 10 Mobile にアップグレードできるかどうかを確認してください。 Microsoft では、アップグレードが可能かどうかについての追加の情報が発生した場合、直ちにリリースします。 追加の情報が利用可能になると、「Windows 10 Mobile の入手方法」に投稿されます。 Premier サポートをご利用の企業のお客様で、業務上 Windows 10 Mobile のアップグレードを延期する必要がある場合は、それぞれのテクニカル アカウント マネージャーに連絡して、どのオプションが利用可能であるかを確認してください。

アップグレードおよび Azure AD へのデバイスの参加を行う前に、既存のデータの使用状況を検討してください。 ユーザーによる既存のデバイスの使用方法や、ローカルに保存されるデータは、ユーザーごとに異なります。 テキスト メッセージを業務目的で使用するかどうか、またそれらのメッセージをバックアップし、アップグレード後に使用できるようにする必要があるかどうかについても検討してください。 また、ローカルに保存されている写真や Microsoft アカウントに関連付けられ保存されている写真、 保持するデバイスの設定とアプリの設定、 SIM に保存されている連絡先や Microsoft アカウントに関連付けられている連絡先についても考慮してください。 Azure AD にデバイスを参加させる前に保持しておく必要があるデータのキャプチャ方法と保存方法を調べる必要があります。 デバイス上にローカルに保存されている写真、音楽ファイル、ドキュメントは、USB 接続を利用して、デバイスから PC へコピーできます。

アップグレードしたモバイル デバイスを Azure AD に参加させるには、デバイスをリセットして、デバイスのセットアップの Out-Of-Box Experience を開始する必要があります。 デバイスを Azure AD に参加させる操作は、既存のユーザー データを維持しながら実行できる変更操作ではありません。 デバイスの参加は、デバイスを個人による所有から組織による所有に変更する操作に似ています。 ユーザーが組織のドメインに参加した場合、ユーザーはドメイン ユーザーとしてログインし、新しいユーザー プロファイルで操作を開始する必要があります。 新しいユーザー プロファイルには、以前の個人用プロファイルから引き継がれた設定、アプリ、データがありません。

デバイスのリセット プロセスを回避する場合は、デバイスを Azure AD に参加させるのではなく、職場アカウントを追加することを検討してください。

"職場アカウントの追加" と "Azure AD Join" の違い

Windows 10 Mobile での Azure AD Join により、全体として最良のエクスペリエンスが実現されますが、組織の要件によっては、Azure AD にデバイスを参加させる代わりに、追加済みの職場アカウントを使用することができます。これには 2 つの方法があります。

• [後でサインイン] オプションを使用して、OOBE を実行します。 これにより、接続済みの Azure AD アカウントや Microsoft アカウントを利用して、Windows 10 Mobile の使用を開始することができます。

• デバイスをリセットせずに、デバイス上にある Azure AD でサポートされているリソースへのアクセスを追加します。

ただし、これら 2 つの方法では、Windows ストアでの SSO や組織内のリソースへの SSO を利用できません。また、エンタープライズ ローミングを使用し、Azure AD アカウントに基づいて設定をローミングすることもできません。 Azure AD での Enterprise State Roaming について確認してください。

[設定] > [アカウント] > [Your email and accounts] > [職場または学校アカウントを追加] を使用することで、ユーザーは自分の Azure AD アカウントをデバイスに追加できます。 また、メールや Word などのアプリケーションにサインインするときに、職場アカウントを追加することもできます。MDM 設定の自動登録を有効にしている場合、デバイスは MDM に自動的に登録されます。

追加された職場アカウントを利用すると、Office 365 のようなブラウザー アプリ (Office ポータル、Outlook Web Access、カレンダー、People、OneDrive)、Azure AD のプロファイルやパスワード変更アプリ、および Visual Studio で、同じ SSO エクスペリエンスが実現されます。 メール、カレンダー、People、OneDrive などの組み込みアプリケーションや OneDrive でホストされているファイルに対して、パスワードを要求されることなく、SSO することができます。 Microsoft Word や Microsoft Excel などの Office アプリでは、Azure AD アカウントを選ぶだけで、ファイルを開くことができます。パスワードを入力する必要はありません。

Windows 10 Mobile の準備

• Azure AD の構成

  現在、Azure AD Join はセルフ プロビジョニングのみをサポートしています。つまり、デバイスの初期セットアップ時には、デバイスのユーザーの資格情報を使用する必要があります。 携帯電話会社がユーザーに代わってデバイスを準備する場合、この "セルフ プロビジョニングのみのサポート" が Azure AD へのデバイスの参加に影響を与えます。 多くの IT 管理者は、従業員向けにデバイスをセットアップすることを目的として作業を開始する場合があります。ただし、Azure AD Join のエクスペリエンスはエンド ユーザー向けに最適化されています (たとえば、MDM の自動登録用のオプションなど)。

  Azure AD の既定のセットアップでは、デバイスの参加が許可されており、ユーザーは組織が所有するデバイスや個人のデバイスで企業の資格情報を使用することができます。 ブログの投稿「Windows 10 デバイスでの Azure AD の参加」には、Azure AD の設定を確認できる場所についての詳しい情報が記載されています。 Azure AD では、ユーザーがだれも参加できないように構成したり、組織のすべてのユーザーが参加できるように構成したりすることができます。また、参加を許可する特定の Azure AD グループを選ぶこともできます。

• デバイス セットアップ

  Windows 10 Mobile を実行しているデバイスは、OOBE では Azure AD のみに参加できます。 携帯電話会社が用意する新しいデバイスを受け取ったとき、それらのデバイスはそのような状態になっています。 Windows 10 Mobile にアップグレードされる Windows Phone 8.1 デバイスでは、OOBE に戻ってデバイスをセットアップできるように、デバイスをリセットする必要があります。

• モバイル デバイス管理

  MDM サービスは、Azure AD に参加しているデバイスを管理するために必要となります。 MDM を使うと、設定をデバイスにプッシュすることができます。また、VPN や Wi-Fi などで使用されるアプリケーションと証明書にも設定をプッシュすることができます。自動的に MDM に登録されるように、Azure AD に参加しているデバイスをセットアップするには、Azure AD Premium または Enterprise Mobility Suite (EMS) のライセンスが必要です。 MDM の自動登録用に Azure AD テナントをセットアップする方法について確認してください。

• Microsoft Passport

  Windows 10 Mobile では、Microsoft Passport (PIN) の作成が既定で必須となっており、これを無効にすることはできません。 Intune などの MDM のコントロールを使用して、Microsoft Passport ポリシーを制御できます。 デバイスは組織の資格情報を使用して参加するため、デバイスは、デバイスをロック解除するための PIN を保持する必要があります。 Passport 認証では Windows Hello (指紋や虹彩などの生体認証) を使用できます。 Microsoft Passport を作成する場合、ユーザーは多要素認証を実行する必要があります。これは、PIN が強力な認証資格情報であるためです。 Azure AD 用の Microsoft Passport について確認してください。

• 条件付きアクセス

  条件付きアクセス ポリシーを、Windows 10 Mobile に適用することもできます。 多要素認証のポリシーとデバイスのコンプライアンス ポリシーをユーザーやリソースに適用できます。またユーザーやデバイスは、リソースへのアクセスが許可される前に、これらのポリシーの要件を満たしている必要があります。 従来のドメイン参加をサポートするドメイン参加のようなポリシーは、デスクトップ PC にのみ適用されます。 IP 範囲に依存しているポリシーは、電話に適用するのが難しいです。これは、ユーザーが企業の Wi-Fi や VPN に接続する場合を除いて、携帯電話会社の IP アドレスが使用されるためです。

• 既知の問題

  • デバイスのバックアップと復元用のアプリ、および写真を OneDrive と同期するアプリは、プライマリ アカウントとしての Microsoft アカウントでのみ動作します。これらのアプリは、Azure AD に参加しているデバイスでは動作しません。

  • "電話を探す" 機能は、Microsoft アカウントをデバイスに追加する方法によって動作が異なります。たとえば、Cortana アプリケーションは、"電話を探す" 機能が動作するように、Microsoft アカウントを使用してサインインします。 Cortana と OneNote はどちらも Azure AD アカウントで動作しますが、最初に Microsoft アカウントを使用してセットアップする必要があります。

  • OneNote では、ユーザーは Microsoft アカウントを使用してサインインする必要がありますが、ノートブックには、Azure AD アカウントを使用してアクセスすることもできます。

  • Azure AD とフェデレーションするように組織が構成されている場合、フェデレーション プロキシは Active Directory フェデレーション サービス (ADFS)、または ADFS と同様に WS-Trust エンドポイントをサポートするサード パーティのサービスである必要があります。

Windows 10 Mobile を Azure AD に参加させる方法

1. OOBE の実行中、[各種サービスを同期しましょう] 画面でオプション [職場アカウントでサインインする] を選び、[次へ] をタップします。

   

2. Azure AD アカウントを入力します。 Azure AD アカウントがフェデレーションされている場合は、組織のサインイン ページにリダイレクトされます。フェデレーションされていない場合は、ここでパスワードを入力します。

   

   組織のサインイン ページにリダイレクトされた場合、認証の第 2 要素を指定するように要求されることがあります。

   

3. 認証が完了すると、デバイスの登録は完了です。 MDM サービスに使用条件ページがある場合は、そのページもここで表示されます。 フェデレーション ユーザーは、Windows に対する認証を完了するためにもう一度パスワードを指定する必要があります。 クラウドで管理されているパスワードを持つユーザーには、この追加の認証プロンプトは表示されません。 このフェデレーション ログインでは、アクティブな WS-Trust エンドポイントをサポートするフェデレーション サーバーが必要になります。

   

4. 次に、PIN をセットアップします。

   注  PIN の必要性について詳しくは、「PIN がパスワードよりも優れている理由」をご覧ください。

    

Azure AD への参加を確認するには

• [設定] > [アカウント] > [Your email and accounts] の順に移動します。 お使いの Azure AD アカウントが、上部に表示されます。また、他のアプリで使用されているアカウントとしても表示されます。 MDM への自動登録が構成されている場合、[設定] > [アカウント] > [職場のアクセス] に、デバイスが MDM. に正しく登録されていることが表示されます。 VPN で使用される証明書を MDM がプッシュしている場合、[設定] > [ネットワークとワイヤレス] > [VPN] に、VPN に接続できることが示されます。

  

メールとカレンダーの設定

Azure AD に参加しているデバイスでメールをセットアップすることは簡単です。 メール アプリを起動すると、[アカウント] ページが表示されます。 多くのユーザーは Office 365 でホストされているメール アカウントを持っているため、同期が自動的に開始されます。 [開始] をタップするだけです。

メールが社内の Exchange でのホストされている場合、Exchange サーバーへの基本的な認証接続を確立するために、ユーザーは資格情報を指定する必要があります。 [アカウントの追加] をタップして、追加できるメール アカウントの種類 (Azure AD アカウントなど) を確認します。

アカウントの種類を選んだら、資格情報を指定して、メールボックスのセットアップを完了します。

カレンダー アプリのセットアップも同様です。 アプリを開き、表示される Azure AD アカウントを確認して、[開始] をタップするだけです。

[設定] > [アカウント] > [Your email and accounts] に戻り、[メール、カレンダー、およびアドレス帳] に表示される Azure AD アカウントを確認します。

Office アプリと OneDrive アプリの使用

Microsoft Word や Microsoft PowerPoint などの Office アプリケーションでは、Azure AD アカウントを使用して自動的にサインインされます。 Office アプリを開くと、Microsoft アカウントまたは Azure AD アカウントを選ぶことができる画面が表示されます。 自動的にサインインする場合、Office にはこの画面が表示されます。数秒間待つと、Office では Azure AD アカウントを使用して自動的にサインインが行われます。

Microsoft Word では、他のデバイスで最近開いたドキュメントが自動的に表示されます。 ドキュメントを開くと、他のデバイスで最後に編集していたセクションに直接ジャンプすることができます。

Microsoft PowerPoint では、最近開いたスライド セットが表示されます。

OneDrive アプリケーションでも SSO が使用され、すべてのドキュメントを表示したり、認証エクスペリエンスを使わずにそれらのドキュメントを開いたりすることができます。

アプリケーションの SSO に加えて、Azure AD に参加しているデバイスでは、Azure AD を信頼しているブラウザー アプリケーション (Web アプリケーション、Visual Studio、Office 365 ポータル、OneDrive for Business など) に SSO することもできます。

OneNote では Microsoft アカウントが必要ですが、Azure AD アカウントで使用することもできます。

OneNote へサインインした後で、[設定] > [アカウント] に移動すると、Azure AD アカウントが自動的に追加されていることが示されます。

Azure AD アカウントでアクセスできるノートブックを表示するには、[その他のノートブック] をタップして、開きたいノートブックを選びます。

ビジネス向け Windows ストアの使用

ビジネス向け Windows ストア を使用すると、Windows ストア アプリケーションでユーザーが利用できるアプリケーションを指定できます。 これらのアプリケーションは、お客様の会社向けのタイトルが付いたタブに表示されます。 ビジネス向け Windows ストア ポータルで承認されているアプリケーションは、ユーザーがインストールできます。