やむを得ない場合を省きAzure AD参加を選択すべきである
まず機能面での違いは、Azure AD登録で利用可能な機能は、すべてAzure AD参加で利用可能でありそれに加えて幾つかの機能を加えて利用可能である。(下表参照)
参加と登録で利用できる主な機能
| 接続の種類 | SSO | AutoPilot | Intune | 条件付きアクセス |
| Azure AD参加(Azure AD joined) | 〇 | 〇 | 〇 | 〇 |
| Azure AD 登録(Azure AD registered) | × | × | 〇 | 〇 |
そのため、やむを得ない場合を省きAzure AD参加を選択するのが得策である。ではやむを得ない場合についてであるが、まずAzure AD参加にはWindowsへのサインイン時にAzure AD アカウントを利用する必要がある。それを行う事ができない場合のみがAzure AD 登録を採用せざるを得ないと理解して問題ない。
やむを得ないケース(Windowsサイン時にAzure AD アカウントを利用できないケース)の具体例
- iOSやAndroidは当然Azure ADアカウントでサインインさせられないのでAzure AD 登録の一択となる
- Windowsのローカルアカウントでサインさせる必要がある(ケース1):個人所有PCなどにおいてAzure ADアカウントでサインインさせたくない場合
- Windowsのローカルアカウントでサインさせる必要がある(ケース2):すでにWindowsのローカルアカウントで利用しておりそのユーザプロファイル(My Document、ブラウザーのお気に入り…)があり、それを新たなAzure AD アカウントへのユーザプロファイル移行が必要であるが、その移行をユーザや管理者に依頼できない場合
- オンプレADのアカウントでWindowsにサインインさせる必要がある場合
- 但し、コストはかかるがHybrid Azure AD 参加構成にすればやむを得ないケースではなくなる。これはHybrid Azure AD 参加にするとオンプレADのアカウントとAzure AD アカウントを紐づけられ、例えばオンプレADのアカウントtaro@local.comとAzure ADのアカウントtaro@tekitou.onmicrosoft.comを紐づけると、オンプレADのtaro@local.comでサインインするとAzureADのtaro@tekitou.onmicrosoft.comでもサインインされた状態となる。これによりAzure AD参加と同じく全ての機能が利用可能となる
まとめ
下表にもとづき、どの接続方式(Azure AD joined,Azure AD registered,Hybrid Azure AD join)を採用すべきかを判断可能である
ピンバック: clozapina