Windows 10 から Hybrid Identity を使用して Azure AD 参加する場合の留意点

今回はちょっとした「回避ネタ」です。

オンプレミス Active Directory と、Azure Active Directory のハイブリッドアイデンティティが構成されている環境で、Windows 10 を Azure AD に参加させる場合、ちょっとだけ注意しなければならない点があります。

それは AD FS による認証方式です。

以下の画面をご覧ください。AD FS の設定画面を見慣れている方にはおなじみです。AD FS プロキシー等を経由して外部から認証要求を受け取ったときは、規定で「フォーム認証」画面を表示します。逆に、社内ネットワークからアクセスしてきたときには、規定で「Windows 認証」を使用します。

いうまでもありませんが、フォーム認証の画面とは以下のようなものです。

Windows 認証時に表示される画面は、以下のようなポップアップです。

イントラネット側が「Windows 認証」に設定されているのは、言うまでもなく IWA（統合 Windows 認証）を使用できるようにするためです。つまり、ドメインに参加済みで、ドメインのアカウントでサインインしていれば、このポップアップは表示されません。

通常はこのままでよいのですが、社内ネットワークから Azure AD に参加しようとすると問題が起きます。というのも、どうやら Azure AD に参加するためのアプリケーションは Windows 認証に対応していないようで、このままだとエラーが発生します。

そこで、設定を以下のように「フォーム認証」を有効にしておいてください。これにより、「フォーム認証」が使用され、問題なく Azure AD への参加プロセスを実行することができます。

上記の状態であっても、Internet Explorer 等 Windows 統合認証をサポートしているブラウザからアクセスがあった場合には「Windows 認証」が使用されます。

これが正しい対応かどうかちょっと不明なのですが、ひとまず上記でトラブルは回避可能です。