Microsoft Entra ID の Enterprise State Roaming 設定のトラブルシューティング
この記事では、Enterprise State Roaming の問題のトラブルシューティングと診断の方法について説明するとともに、既知の問題の一覧を示します。
Note
Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。
注意
この記事は、2015年7月に Windows 10 で起動された Microsoft Edge レガシ HTML ベースのブラウザーに適用されます。 この記事は、2020 年 1 月 15 日にリリースされた新しい Microsoft Edge Chromium ベースのブラウザーには適用されません。 新しい Microsoft Edge の同期動作の詳細については、「Microsoft Edge Sync」を参照してください。
トラブルシューティングのための準備作業
トラブルシューティングを開始する前に、ユーザーとデバイスが適切に設定されており、 Enterprise State Roaming のすべての要件が満たされていることを確認します。
- 最新の更新プログラムがインストールされた Windows 10 またはそれ以降であり、デバイスには最小バージョン 1511 (OS ビルド 10586 以降) がインストールされている。
- デバイスが Microsoft Entra に参加しているか、ハイブリッド Microsoft Entra に参加している。 詳細については、デバイスを Microsoft Entra ID で管理する方法に関するページをご覧ください。
- Enterprise State Roaming の有効化に関するページで説明されているとおりに、Microsoft Entra ID のテナントで Enterprise State Roaming が有効になっていることを確認します。 すべてのユーザーまたは選択したグループのユーザーにだけローミングを有効にできます。
- ユーザーには、Microsoft Entra ID P1 または P2 ライセンスが割り当てらている。
- デバイスを再起動し、もう一度サインインして Enterprise State Roaming の機能にアクセスする必要があります。
問題のトラブルシューティングと診断
このセクションでは、Enterprise State Roaming に関連した問題のトラブルシューティングと診断の方法に関する推奨事項を示します。
同期、および "設定の同期" の設定ページを確認する
Enterprise State Roaming を許可するよう構成されたドメインに Windows 10 またはそれ以降の PC を参加させたら、職場アカウントを使ってサインオンします。 [設定]>[アカウント]>[設定の同期] に移動して、同期と個々の設定がオンになっていて、設定ページの最上部に、職場アカウントを使って同期していることが示されていることを確認します。 [設定]>[アカウント]>[Your Info (ユーザー情報)] で、同じアカウントが自分のアカウントとしても使われていることを確認します。
同期元のコンピューターで変更 (タスクバーを画面内で移動するなど) を行い、複数のコンピューター間で同期が機能することを確認します。 5 分以内に、2 つ目のコンピューターに変更が反映されることを確認します。
- 画面をロックまたはロック解除 (Win + L) すると、同期をトリガーできる場合があります。
- Enterprise State Roaming はコンピューター アカウントではなくユーザー アカウントに関連付けられているため、同期が機能するには、両方の PC で同じアカウントでサインインする必要があります。
潜在的な問題: [設定] ページの制御が使用できない場合、"Windows の一部の機能は、Microsoft アカウントまたは職場アカウントを使用している場合にのみ利用できます" というメッセージが表示されます。この問題は、ドメインに参加して Microsoft Entra ID に登録するように設定されているが、デバイスがまだ Microsoft Entra ID に対して認証されていないデバイスで発生する可能性があります。 考えられる原因としては、デバイス ポリシーを適用する必要があるものの、アプリケーションが非同期的に動作して、数時間かかる可能性があります。
デバイスの登録状態を確認する
Enterprise State Roaming では、デバイスを Microsoft Entra ID に登録する必要があります。 Enterprise State Roaming に限ったことではありませんが、次の手順を行うと Windows 10 またはそれ以降のクライアントが登録されていることを確認できるほか、拇印、Microsoft Entra ID の設定 URL、NGC の状態、およびその他の情報を確認することができます。
- 管理者特権を使用せずにコマンド プロンプトを開きます。 これを Windows で行う場合は、[ファイル名を指定して実行] (Win + R) を開き、「cmd」と入力して開きます。
- コマンド プロンプトが開いたら、「
*dsregcmd.exe /status*
」を入力します。 - 期待する出力を得るには、AzureAdJoined フィールド値を "
YES
"、WamDefaultSet フィールド値を "YES
"、WamDefaultGUID フィールド値を末尾が "(AzureAD)
" である GUID にする必要があります。
潜在的な問題: WamDefaultSet と AzureAdJoined の両方のフィールド値が "いいえ" になっていて、デバイスはドメインに参加して Microsoft Entra ID に登録されていますが、同期しません。このような場合は、デバイスにポリシーが適用されるまで待機する必要があるか、Microsoft Entra ID に接続するときにデバイスの認証に失敗した可能性があります。 ポリシーが適用されるまでには数時間かかる場合があります。 その他のトラブルシューティング手順としては、サインアウトしてからサインインし直してもう一度自動登録をしてみるか、タスク スケジューラでタスクを起動することなどが挙げられます。 場合によっては、管理者特権で開いたコマンド プロンプト画面で "dsregcmd.exe /leave" を実行して再起動し、登録し直すと、この問題の解決に役立つ場合があります。
潜在的な問題: SettingsUrl のフィールドが空で、デバイスが同期しません。最後にデバイスにログインしたのが、Enterprise State Roaming が有効になる前だった可能性があります。 デバイスを再起動して、ユーザーにサインインしてもらいます。 必要に応じて、ポータルの [ID]、[デバイス]、[概要]、[Enterprise State Roaming] の順に移動し、[デバイス間での設定とアプリ データの同期が許可されるユーザー] を無効にしてから再度有効にするよう、IT 管理者に依頼してください。 その後、デバイスを再起動してユーザーにサインインしてもらいます。 問題が解決されない場合、デバイスの証明書が不適切であれば、SettingsUrl が空になることがあります。 この場合、管理者特権で開いたコマンド プロンプト画面で "dsregcmd.exe /leave" を実行して再起動し、登録し直すと、この問題の解決に役立つ場合があります。
Enterprise State Roaming と多要素認証
Microsoft Entra の多要素認証が構成されている場合、特定の条件下で Enterprise State Roaming がデータの同期に失敗する可能性があります。 このような場合の詳細については、サポート ドキュメント KB3193683 を参照してください。
潜在的な問題: ご自分のデバイスが Microsoft Entra 管理センターで MultiFactor Authentication を要求するように構成されている場合、パスワードを使用して Windows 10 またはそれ以降のデバイスにサインインしている状態で設定の同期が失敗することがあります。 このタイプの多要素認証の構成は、Azure 管理者アカウントの保護を意図したものです。 管理者ユーザーは、Windows Hello for Business の PIN を使用してWindows 10 またはそれ以降のデバイスにサインインするか、他の Azure サービス (Microsoft 365 など) にアクセスしている状態で多要素認証を行うことで同期が可能になる場合があります。
潜在的な問題: 管理者が Active Directory フェデレーション サービス (AD FS) の多要素認証の条件付きアクセス ポリシーを構成し、デバイスのアクセス トークンの有効期限が切れている場合は、同期が失敗することがあります。 一度サインアウトしてから Windows Hello for Business の PIN を使用してサインインし直すか、他の Azure サービス (Microsoft 365 など) にアクセスしている状態で多要素認証を行ってください。
イベント ビューアー
高度なトラブルシューティング方法として、イベント ビューアーを使って特定のエラーの検出ができるものがあります。 [イベント ビューアー]>[アプリケーションとサービス ログ]>[Microsoft]>[Windows]>[SettingSync-Azure] でイベントを表示します。同期の ID 関連の問題については、[アプリケーションとサービス ログ]>[Microsoft]>[Windows]>[Microsoft Entra ID] に移動します。
次のステップ
概要については、Enterprise State Roaming の概要に関するページを参照してください。