113 Views
July 01, 26
スライド概要
教育用共用PCにおけるEntra ID認証移行に向けた検証結果です。
Web Sign-in、Passwordless認証、Hybrid AAD Join環境での検証内容をまとめました。
教育機関の共用PC環境を管理しています。 Microsoft Entra ID、Azure、認証技術を中心に検証しています。 すきやねんAzure(すきあず)などのAzureコミュニティでLT修行中です。
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 教育用共用PCにおける Entra ID認証への移行検証 ~ WindowsはICカード認証なしでMFAできるのか? ~ Toruneko(トルねこ) 教育機関の共用PC環境管理 1 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 前回までのあらすじ #37 教育用共用PCの環境紹介 #38 共用PCでEntra Kerberos Auth Entra ID認証→Entra Kerberos→オンプレFS上FSLogix成立 2 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 現在の状態とシステム更改に向けて 教育用共用PCの現状 Hybrid AAD Join 環境(約500台) Windows端末 FSLogix(オンプレFS) ネットブートOSイメージ配信システムほたて 利用者:約1万人規模 ICカード認証 2027年3月のシステム更改に向けての質問 センター長 「ICカード認証止めたいからMFAできる?」 半年前の自分 「条件付きアクセスで出来るんじゃないスか?」 →実際調べてみたらかなり難しかった → 共用PCでのEntra ID認証について検証開始 3 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 今回の検証 共用PCでWindowsログイン時にMFA出来るか? →条件付きアクセスを調査 →Web Sign-inを発見、検証( ※Hybrid AAD Joinは対象外) →条件付きアクセスでの利用は難しそう →方向性を変えてPasswordless認証の検討 検証環境(VM:オンプレAD、FS、CL) ・AAD Join ・AAD Join + FSLogix ・Hybrid AAD Join + FSLogix 4 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 Web Sign-inとPasswordless認証 【Web Sign-in】 Windowsログイン画面から Entra ID認証を利用する機能 クライアント側で EnableWebSignIn →有効化 【Passwordless認証】 Microsoft Authenticatorを 利用したパスワード不要の認証方式 MFA構成にも利用可能 Entra ID側でユーザーに対して Passwordless認証を有効化 通常はIntuneでOMA-URI 今回はHybrid AAD Join 環境 との比較の為 PowerShellでレジストリ設定 5 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 検証結果 環境比較 Web Sign-in Passwordless Entra Kerberos FSLogix (オンプレFS) AAD Join 〇 〇 〇 ― AAD Join + FSLogix 〇 〇 〇 〇 Hybrid AAD Join + FSLogix × ― 〇 〇 ユーザーアカウント:オンプレ同期、クラウド専用の両方で確認 AAD Join 環境 : Web Sign-in + Passwordless認証 成立 AAD Join + FSLogix 環境:更にFSLogix 成立 Hybird AAD Join :MS資料通りWeb Sign-in 利用不可 6 2026/06/26
今回のまとめ すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 課題 ~ WindowsはICカード認証なしでMFAできるのか? ~ --------------------- 確認出来た事 AAD Join環境で Web Sign-in + Passwordless認証→成立 --------------------- 考察 教育用共用PCにおけるEntra ID認証の可能性を確認 ただし現行環境はHybrid AAD Joinなので即移行は不可 --------------------- 結論 センター長 「 ICカード認証止めたいからMFAできる? 」 現在の私 「条件付きアクセスで出来るんじゃないスか?」 「条件によっては出来ます!」 7 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 参考文献 MS Learn Windows の Web サインイン https://learn.microsoft.com/jajp/windows/security/identity-protection/web-signin/?tabs=intune note ハイブリッド参加済みデバイスまたはドメイン参加済み デバイスMicrosoft Entra Web サインインはサポートされ ていません。 8 2026/06/26
すきやねん Azure!! #39|教育用共用PCでの Entra ID認証への移行検証 Web Sign-in設定値 OMA-URI ./Vendor/MSFT/Policy/Config/ Authentication/EnableWebSignIn →有効化 レジストリ HKLM¥SOFTWARE¥Microsoft¥PolicyManager ¥default¥Authentication¥EnableWebSignIn 0→1 9 2026/06/26