Microsoft Entra ハイブリッド参加済みのダウンレベル デバイスのトラブルシューティング
この記事は、次のデバイスにのみ適用されます。
- Windows 7
- Windows 8.1
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
Windows 10 以降または Windows Server 2016 については、Microsoft Entra ハイブリッド参加済みの Windows 10 および Windows Server 2016 デバイスのトラブルシューティングを参照してください。
この記事では、次のシナリオをサポートするように構成された Microsoft Entra ハイブリッド参加済みデバイスがあることを前提としています。
- デバイスベースの条件付きアクセス
この記事では、考えられる問題の解決方法について、トラブルシューティングのガイダンスを示します。
知っておくべきこと
- ダウンレベルの Windows デバイス用の Microsoft Entra ハイブリッド参加の動作は、Windows 10 以降での動作とは異なります。 多くのお客様は、AD FS (フェデレーション ドメインの場合) または構成済みのシームレス SSO (マネージド ドメインの場合) が必要であることを認識していません。
- シームレス SSO は、Firefox および Microsoft Edge ブラウザーのプライベート ブラウズ モードでは動作しません。 拡張保護モードで実行されているか、拡張セキュリティ構成を有効にしている場合は、Internet Explorer ブラウザーでも機能しません。
- フェデレーション ドメインのあるお客様では、サービス接続ポイント (SCP) がマネージド ドメイン名をポイントするように構成されている場合 (たとえば、contoso.com ではなく contoso.onmicrosoft.com)、ダウンレベルの Windows デバイス用の Microsoft Entra ハイブリッド参加は機能しません。
- 複数のドメイン ユーザーが Microsoft Entra ハイブリッド参加済みのダウンレベル デバイスにサインインすると、同じ物理デバイスが Microsoft Entra ID に複数回表示されます。 たとえば 1 台のデバイスに jdoe と jharnett がサインインする場合、それぞれについて別個の登録 (DeviceID) が [ユーザー] 情報タブに作成されます。
- オペレーティング システムの再インストールまたは手動の再登録なので、ユーザー情報タブでデバイスの複数のエントリを取得することもできます。
- デバイスの初回登録/参加は、サインインまたはロック/ロック解除のいずれかのタイミングで試行するように構成されています。 タスク スケジューラのタスクによってトリガーされる 5 分間の待ち時間が生じる場合があります。
- Windows 7 SP1 または Windows Server 2008 R2 SP1 に KB4284842 がインストールされていることを確認してください。 この更新によって、今後、パスワードの変更後、保護されているキーにお客様がアクセスできなくなったことによる認証エラーを防止できます。
- ユーザーが UPN を変更した後に、シームレス SSO の認証プロセスが中断され、Microsoft Entra ハイブリッド参加が失敗する可能性があります。 参加プロセス中に、ブラウザー セッションのクッキーが消去されるか、ユーザーが明示的にサインアウトして古い UPN を削除しない限り、古い UPN が Microsoft Entra ID に送信されていることが確認される可能性があります。
手順 1: 登録状態を取得する
登録状態を確認するには:
- Microsoft Entra ハイブリッド参加を実行したユーザー アカウントでサインオンします。
- コマンド プロンプトを開きます
- 「
"%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i
」と入力します
このコマンドにより、参加状態の詳細を示すダイアログ ボックスが表示されます。
ステップ 2: Microsoft Entra ハイブリッド参加の状態を評価する
デバイスが Microsoft Entra ハイブリッド参加済みではなかった場合は、"参加" ボタンをクリックすることで Microsoft Entra ハイブリッド参加を試みることができます。 Microsoft Entra ハイブリッド参加の試みに失敗した場合は、エラーの詳細が表示されます。
最も一般的な問題:
AD FS または Microsoft Entra ID が正しく構成されていない問題、またはネットワークの問題
- Autoworkplace.exe が Microsoft Entra ID または AD FS で自動的に認証できない場合。 この問題は、AD FS が見つからないか正しく構成されていない (フェデレーション ドメインの場合)、Microsoft Entra シームレス シングル サインオンが見つからないか正しく構成されていない (マネージド ドメインの場合)、またはネットワークの問題によって発生する可能性があります。
- 多要素認証 (MFA) がユーザーに対して有効化/構成され、WIAORMULTIAUTHN が AD FS サーバーで構成されていない可能性があります。
- また、ホーム領域検出 (HRD) ページがユーザーの操作を待っているため、autoworkplace.exe では、トークンのサイレント要求ができなくなっていることも考えられます。
- AD FS と Microsoft Entra の URL がクライアントの IE のイントラネット ゾーンにない可能性があります。
- ネットワーク接続の問題により、autoworkplace.exe で AD FS または Microsoft Entra の URL にアクセスできない場合があります。
- Autoworkplace.exe は、クライアントに、クライアントから組織のオンプレミスの AD ドメイン コントローラーまでの直接の見通し線があることを必要とします。つまり、Microsoft Entra ハイブリッド参加は、クライアントが組織のイントラネットに接続されている場合にのみ成功します。
- 組織で Microsoft Entra シームレス シングル サインオンを使用している場合、
https://autologon.microsoftazuread-sso.com
はデバイスの IE イントラネット設定に表示されません。 - インターネット設定
Do not save encrypted pages to disk
がオンになっています。
ドメイン ユーザーとしてサインオンしていない
この問題が発生する理由はいくつかあります。
- サインインしているユーザーがドメイン ユーザーでない場合 (ローカル ユーザーなど)。 ダウンレベルのデバイスでの Microsoft Entra ハイブリッド参加は、ドメイン ユーザーに対してのみサポートされています。
- クライアントはドメイン コントローラーに接続できません。
クォータに達している
サービスが応答していない
状態に関する情報は、Applications and Services Log\Microsoft-Workplace Join のイベント ログで確認することもできます。
Microsoft Entra ハイブリッド参加に失敗する最も一般的な原因:
- コンピューターが、組織の内部ネットワーク、またはオンプレミスの AD ドメイン コントローラーに接続している VPN と接続していない。
- ローカル コンピューター アカウントでコンピューターにログオンしている。
- 次のようなサービス構成の問題がある。
- AD FS サーバーが WIAORMULTIAUTHN をサポートするように構成されていません。
- コンピューターのフォレストに、Microsoft Entra ID の検証済みドメイン名を指すサービス接続ポイント オブジェクトがない
- または、ドメインが管理されている場合は、シームレス SSO が構成されていないか機能していない。
- ユーザーがデバイスの上限に達している。