はじめに

Hybrid環境であればADドメインに参加しているので問題なくKerberos認証は成立しますが、ふとEntra ID Joined（旧Azure AD Joined）の環境のPCがオンプレADドメインでKerberos認証することができるのか気になったので調べた結果をメモとして残しておきます。

結論

できる。

learn.microsoft.com

Microsoft社の公開ドキュメントに以下の記載があります。

Microsoft Entra Connect または Microsoft Entra Connect クラウド同期により、オンプレミスの ID 情報がクラウドに同期されます。 同期プロセスの一環として、オンプレミスのユーザーとドメインの情報は、Microsoft Entra ID に同期されます。 ハイブリッド環境においてユーザーが Microsoft Entra 参加済みデバイスにサインインしたとき:

1. Microsoft Entra ID は、ユーザーのオンプレミス ドメインの詳細をプライマリ更新トークンと共にデバイスに返送します
2. ローカル セキュリティ機関 (LSA) サービスによって、デバイス上の Kerberos および NTLM 認証が有効になります。

また、以下のようにも書かれています。

Kerberos または NTLM を要求しているオンプレミス リソースへのアクセスが試行されると、デバイスは次のようになります。

1. ユーザーを認証するために、見つかった DC にオンプレミス ドメインの情報とユーザーの資格情報を送信します。
2. オンプレミスのリソースまたはアプリケーションがサポートするプロトコルに基づいて、Kerberos のチケット発行許諾チケット (TGT) または NTLM トークンを受信します。 ドメインの Kerberos TGT または NTLM トークンを取得する試みが失敗した場合、資格情報マネージャー エントリが試みられるか、ユーザーがターゲット リソースの資格情報を要求する認証ポップアップを受け取る可能性があります。 このエラーは、DCLocator タイムアウトによって発生する遅延に関連している可能性があります。

つまり、ハイブリッド環境（ADとEntra ID）においては、Microsoft Entra Connect（旧Azure AD Connect）によってオンプレミスADの情報がEntra IDへ同期されており、Microsoft Entra 参加済みデバイスはEntra IDを通じてオンプレミスADの情報を得ることができるようです。

少しシナリオは異なりますが、以下の記事も参考になりました。

jpazureid.github.io

役に立ったなという方はビール１杯奢ってください。