Entra Joinとは
Entra Join(旧Azure AD Join)は、Windows PCをEntra IDに直接参加させる仕組みです。オンプレミスのActive Directoryサーバーが不要で、インターネット経由でPCを組織に紐づけ、SSOや条件付きアクセスの対象にできます。
新しく購入したPCをEntra Joinすれば、社内にADサーバーがなくてもクラウド上でPC管理ができます。中小企業やテレワーク主体の企業に最適な構成です。
ドメイン参加との比較
| 項目 | ADドメイン参加 | Entra Join | Hybrid Entra Join |
|---|---|---|---|
| ADサーバー | 必須 | 不要 | 必須 |
| ネットワーク | 社内LAN必須 | インターネットのみ | 社内LAN+インターネット |
| PC管理 | グループポリシー | Intune | GPO+Intune |
| SSO対象 | 社内リソース | クラウドアプリ(M365等) | 両方 |
| テレワーク | VPN必要 | そのまま利用可 | VPN or クラウド経由 |
| 推奨ケース | オンプレサーバーが残る大企業 | クラウドのみの中小企業 | 移行過渡期 |
メリット
- ADサーバー不要:サーバーの購入・保守コストを削減
- VPN不要:テレワーク環境でも社内と同等のセキュリティを確保
- Intune自動登録:Entra Join時にIntuneに自動登録され、ポリシーが即時適用
- 条件付きアクセスとの連携:「Entra Joinされた準拠デバイスのみM365にアクセス可能」という制御が可能
- Windows Hello for Business:PINや生体認証によるパスワードレスサインイン
設定手順
- ① Entra ID管理センターで「デバイスの設定」→「ユーザーがデバイスをEntra IDに参加させることを許可」を有効化
- ② Intune自動登録を設定(Entra ID →「モビリティ(MDMおよびMAM)」→ Microsoft Intune → スコープを「すべて」に)
- ③ PCのセットアップ時(OOBE画面)で「職場または学校アカウントでサインイン」を選択
- ④ 組織のメールアドレスとMFAで認証→Entra Join完了→Intuneポリシー自動適用
Autopilotとの連携
Windows Autopilotを使えば、PCベンダーから届いたPCの電源を入れてWi-Fiに接続するだけで、Entra Join → Intune登録 → アプリインストール → ポリシー適用がすべて自動で完了します。IT担当者がPCに触れることなくキッティングが完了するため、テレワーカーへの直送が可能です。
まとめ
Entra Joinはオンプレミスの AD サーバーなしでPCをクラウド管理する仕組みです。ADサーバーを持たない中小企業や、テレワーク中心の企業に最適な構成です。Autopilotと組み合わせれば、PCキッティングの自動化も実現できます。