Entra IDにデバイスを登録する際、主にEntra ID Joinと呼ばれる方法と、Microsoft Entra Registeredよ呼ばれる2つの方法でEntra IDにデバイス登録を行います。
これらの作業は都度Entra IDアカウントでのサインインが必要となるため、社内PCのキッティングなど複数台を一気に登録する際には工数が多くかかります。
実はそんな悩みを解決できる「バルク登録トークン(BPRT)」という仕組みが用意されています。
今回技術書典20で頒布している「USBメモリ1本で始めるプロビジョニングパッケージリファレンスガイド」でも取り扱っています。
今回はこのEntra IDバルク登録トークン(BPRT)を登録すると、Entra ID上にどのような形で作成されるかご紹介します。
Entra IDバルク登録トークンはユーザーオブジェクトとして作成される
いきなりの答え合わせとなってしまいますが、Entra IDバルク登録トークンは、ユーザーオブジェクトとして作成されます。
Entra IDバルク登録トークンをWindows Configuration Designerまたは、New-AADIntBulkPRTTokenコマンドレットを使って取得すると、接頭語がpackage_で以降ランダム英数字のユーザーオブジェクトが作成されていることが分かります。
なお、監査ログを確認してみると、Entra IDバルク登録トークンを発行した時間に「Azure ESTS Service」というアクターがユーザーオブジェクトを追加したことが確認できます。
なお、Entra IDバルク登録トークンには、最大180日の期限が設けられているわけなのですが、残念ながらEntra ID上に作成されたユーザーオブジェクト自体に有効期限は設けられておらず、例えば2025年5月10日に作成した物も有効なアカウントとして登録されています……
Entra IDバルク登録トークンを登録すると、package_から始まるユーザーオブジェクトが勝手に追加される、という仕様を把握していれば大きな支障はありませんが、この仕様を知らないでいると「Entra IDに変なアカウントが勝手に追加された」と大騒ぎになるので、事前に把握しておくと良さげですね。
特に監査ログなどをSOCや自社のセキュリティ部門が監視している場合は、事前にEntra IDバウル区登録トークン発行時の仕様について事前に説明しておくことをおススメします。
