AD FS 2016 でデバイス登録サービス(DRS)が非対応
「AD FS 2012 R2 の DRS は、Windows 7、Windows 8.1、iOS 6 以降、Android 4.0 以降 の Workplace Join に対応しています。AD FS 2016 では、DRS の実装自体はありますが、サポートしていません。AD FS 2016 環境や、クライアントが Windows 10 の場合には、方法 1 の (Azure AD にデバイスを登録し、Azure AD Connect でオンプレミス AD に書き戻す) 必要がございます。」
デバイス登録サービス(Device Registration Service (DRS))については以下
AD FS 2016 からファーム動作レベル(FBL)というものが導入され、ファーム全体で利用できる機能のレベルが統一される形になっています。
| バージョン | FBL | AD FS 構成データベース名 |
| 2012 R2 | 1 | AdfsConfiguration(ADFS 3.0) |
| 2016 | 3 | AdfsConfigurationV3(ADFS2016) |
| 2019 | 4 | AdfsConfigurationV4 |
DRS 機能を利用していて AD FS のアップグレードを行う場合は、Azure AD へのデバイス登録と Azure AD Connect を利用したオンプレミス Active Directory への書き戻しといった対応が必要となるようです。
AD FS アップグレードの注意事項
Windows Server 2016 等で構成された AD FS ファームで FBL 3 以外のバージョンに一致していないファーム動作レベルを利用した構成は非推奨であり、SSL サーバー証明書の更新が失敗するなどの影響があるため、AD FS のアップグレードを計画している場合は注意が必要です。
AD FS のバージョンアップを行う場合、Windows Server 2012 R2 で構成されている AD FS ファームへ Windows Server 2016 または 2019 の新規ノードの追加を行いますが、2012 R2 で構成された AD FS ファームは FBL 1 で動作しているため、新しいバージョンの OS を追加すると AD FS ファームは混在モードとして動作するような形になります。
マイクロソフトのサポートに確認したところ、Windows Server 2016 等で構成された AD FS ファームが FBL 1 などの低い FBL を維持した利用は推奨されていないようで、SSL サーバー証明書の更新が失敗してしまうなどの影響があるようです。
そのため、AD FS ファームから古い OS ノードを削除したあとは混在モードを解除してファーム動作レベルを FBL 3(2016)もしくは FBL 4(2019)等の OS バージョンに合わせたレベルへ速やかに引き上げるよう案内がありました。
※AD FS アップグレードの工程において一時的に一週間程度の混在モード状態で維持すること自体には特に問題はないようです。