Hybrid AD joinでAzure上のWindows10アクティベーション

Azure IaaSでLinux やWindows Server をデプロイすることはありますが、Windows10ではいったいどうなるのか、ライセンスについての制約事項もあるため実際に検証してみました。

---

---

1.Azure上でWindows10が利用できるライセンスについて

Azure上でWindows10はMarketplaceからダウンロードできます。
Windows 10の各バージョンがずらずらと出てきました。

ここではProライセンスのものが出ていますが、Azure上ではWindows 10をProライセンスで利用することはライセンス規約上認められておらず、以下のいずれかのライセンスが必要になります。

・Windows 10 VDA
・Windows 10 Enterprise E3
・Windows 10 Enterprise E5

これらのライセンスは、これまでの端末ごとのアクティベーションとは異なり、Azure ADのユーザー単位でのライセンスのアクティベーションとなります。

Azure ADでライセンスをアクティベーションするためには、Windows 10の端末で以下のどちらかを実施する必要があります。

・Azure AD join
・Hybrid AD join

Azure AD join

Azure AD joinとは、端末からAzure ADに直接参加し、参加したデバイスをAzure ADで管理することができる方法です。
Azure ADのアカウントにWin10のEnterpriseのライセンスを割り当て、Win10の端末でAzure AD joinを行った後に、ライセンスを持ったAzure ADのユーザーでWindows 10にログオンすることにより、ライセンスのアクティベーションができます。

Azure AD joinをするには、端末より、「アカウント」 – 「職場または学校にアクセスする」の「接続」をクリックし、Azure ADのアカウントで認証することで可能です。

上記の設定でAzure AD joinした端末は、Azure ADの「デバイス」から確認できます。

このWindows10にWindows 10 Enterprise等のライセンスが割り当てられたAzure ADのアカウントでRDPで接続することで、Windows 10をEnterpriseエディションで利用することができます。

簡易的なWindows 10のライセンス認証の検証であればこれで問題ないのですが、実際の運用だと、ADのドメインに参加してグループポリシーを適用したい、などのケースが出てくると思います。

その場合、Azure AD joinでAzure ADに参加したデバイスは、ADに参加することができません。

Azure上のWindows 10を利用したいけどグループポリシーも使って管理したい！という場合は、Hybrid AD joinを行う必要があります。

Hybrid AD join

Hybrid AD joinとは、ADドメインに参加した端末をAzure AD Connectを介してAzure ADに同期する方法です。

ADドメインのユーザーとAzure AD Connectに同期されたAzure AD上のユーザーが紐づけられるため、
Azure AD上のアカウントにライセンスを割り当て、ADドメインのユーザーでWindows 10に接続を行った場合でも、ライセンスのアクティベーションが可能になります。

Hybrid AD joinの構成についてはAzure AD Connectにて設定できるようなので、検証してみました。

2.Hybrid AD joinの設定

Hybrid AD joinを行うためには、Azure AD Connectの構築が必要ですが、ここではAzure AD Connectの構築手順は割愛し、Windows10の展開やAzure AD Connect、ADで実施する必要のある設定を記載していきます。

まず初めにMarketplaceからWindows 10 Proのイメージを展開します。
ここでは現在の最新版の1809のイメージを使いました。

仮想マシンの作成は、通常のWindows Serverと同様に進めていきます。Win10HadjoinというVMを作成しました。

デプロイが完了したらWindows 10にRDPで接続し、必要に応じて以下の設定を行います。この辺りもWindows Serverと同様です。
・UI日本語化
・キーボード日本語化
・タイムゾーンの設定
・Windows Update

次にVMをADのドメインに参加させます。Win10Hadjoinをhrznel.comというドメインに参加させました。
ちなみに、この時点ではWindows 10のProライセンスとなっています。

VMをADドメインに参加させたら、必要に応じてADにてWindows 10のオブジェクトをAzure AD joinの同期対象のOUに追加します。

ここからはAzure AD Connectにアクセスして、同期設定を行います。

Azure AD Connectサーバーにログインし、Azure AD Connectを起動します。
追加のタスクで、「デバイスオプションの構成」をクリックします。

デバイスオプションでは、「ハイブリッドAzure AD参加の構成」をクリックします。

SCPの構成では、ADのフォレストごとに接続ポイントを指定します。管理者は、フォレストのエンタープライズ管理者の権限が必要です。

デバイスのオペレーティングシステムでは、「Windows 10以降のドメインに参加しているデバイス」を選択し、構成を進め、手順を完了させます。

これでWindows 10のデバイスがHybrid Azure AD joinを行う設定が終わりました。

次に、Hybrid AD joinを行うデバイスがAzure AD Connectでの同期対象のOUに所属している必要があるため、
Windows10のデバイスが所属するOUがAzure ADに同期される設定になっているか確認します。
追加のタスクで、「同期オプションのカスタマイズ」をクリックします。

Azure ADの管理者アカウントでの認証と、ADのディレクトリ選択後、OUの設定を確認します。

ドメインとOUのフィルタリングの設定で「すべてのドメインとOUの同期」を選択している場合は、特に追加設定不要ですが、
「選択したドメインとOUの同期」を選択している場合は、Win10のVMが所属しているOUが選択されているか確認します。
検証環境では、同期用のOUにWindows 10を所属させたため、そのOUを指定しました。

その後は次へ次へと進んでいき、同期が実行されることを確認します。
これで、Azure AD ConnectやADでの作業はいったん終了です。

次では、Hybrid AD joinの設定を行ったデバイスのAzure ADへの同期や、Windows 10 Enterpriseライセンスのアクティベーション等について確認します。

3.Hybrid AD joinの確認とライセンスアクティベーション

Hybrid AD joinによりWindows 10のデバイスがAzure ADに登録されているか確認します。
Azure Portalにログインし、Azure Active Directory – デバイスより、対象のデバイスが登録されていることを確認します。

登録されていました！
デバイス側の設定は以上で、あとは実際に利用するユーザーにライセンスを割り当て、そのユーザーでログインすれば終了です。

ライセンスの割り当てについてはAzure Portalから利用するユーザーにWindows 10 Enterpriseのライセンスを割り当てます。

ここで、ライセンスが割り当てられたアカウントのADアカウントでログインすると、ライセンスのアクティベーションが行われるのですが、
確認のため、まずはWindows 10のデバイスにローカル管理者アカウントでログインしてみます。

ローカル管理者にはWindows 10 Enterpriseライセンスが割り当てられていないため、この時点ではWindows 10 Proとなっています。

次に、ライセンスを割り当てたユーザーのADドメインのアカウントで先ほどと同じWindows 10にログインしてみます。

Windows 10 Enterpriseライセンスに変更されました！

ADのアカウントでログインしても、Azure AD Connectにより、Azure AD上で割り当てられたライセンスが紐づけられ、ライセンスがアクティベーションされました。

Windows 10のEnterpriseライセンスは、ユーザー単位でのアクティベーションとなるため、
これまでのデバイス単位でのアクティベーションとは勝手が異なりますが、Azure ADやAzure AD Connectで簡単にアクティベーションを行うことができました。

今回は個別に作成したWindows 10をライセンスアクティベーションさせましたが、DaaSにおいても同様の方法でライセンスアクティベーションできますので、ご参考になればと思います。