Microsoft Entra Connect: デバイスライトバックの有効化
手記
デバイスの書き戻しには、Microsoft Entra ID P1 または P2 のサブスクリプションが必要です。
次のドキュメントでは、Microsoft Entra Connect でデバイス ライトバック機能を有効にする方法について説明します。 デバイス ライトバックは、次のシナリオで使用されます。
- ハイブリッド証明書信頼展開 を使用して Windows Hello for Business
有効にする - ADFS (2012 R2 以降) で保護されたアプリケーション (証明書利用者信頼) へのデバイスに基づいて条件付きアクセスを有効にします。
これにより、アプリケーションへのアクセスが信頼できるデバイスにのみ付与されるという追加のセキュリティと保証が提供されます。 条件付きアクセスの詳細については、「
重要
パート 1: Microsoft Entra Connect をインストールする
カスタム設定または Express 設定を使用して Microsoft Entra Connect をインストールします。 デバイスの書き戻しを有効にする前に、すべてのユーザーとグループが正常に同期されるようにすることをお勧めします。
第2部: Microsoft Entra Connect でデバイスの書き戻しを有効にする
インストール ウィザードをもう一度実行します。 [追加タスク] ページから [デバイス オプションの構成] を選択し、[次 ] を選択します。
手記
新しい [デバイスの構成] オプションは、バージョン 1.1.819.0 以降でのみ使用できます。
[デバイス オプション] ページで、[デバイス書き戻しの構成]を選択します。 [デバイス ライトバックの無効化] オプションは、デバイス ライトバックを有効にするまで使用できません。 [次 を選択して、ウィザードの次のページに移動します。
を選択します書き戻しページには、指定されたドメインが既定のデバイス ライトバック フォレストとして表示されます。
デバイス コンテナーの ページには、次の 2 つのオプションのいずれかを使用して Active Directory を準備するオプションが用意されています。
a. エンタープライズ管理者の資格情報を提供する: デバイスを書き戻す必要があるフォレストに対してエンタープライズ管理者の資格情報が提供されている場合、Microsoft Entra Connect は、デバイス ライトバックの構成中にフォレストを自動的に準備します。
b. PowerShell スクリプトのダウンロード: Microsoft Entra Connect は、デバイス ライトバック用に Active Directory を準備できる PowerShell スクリプトを自動生成します。 Microsoft Entra Connect でエンタープライズ管理者の資格情報を指定できない場合は、PowerShell スクリプトをダウンロードすることをお勧めします。 ダウンロードした PowerShell スクリプト CreateDeviceContainer.ps1 を、デバイスが書き戻されるフォレストのエンタープライズ管理者に提供します。
を準備するActive Directory フォレストを準備するために、次の操作が実行されます。
- まだ存在しない場合は、CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn]の下に新しいコンテナーとオブジェクトを作成して構成します。
- まだ存在しない場合は、CN=RegisteredDevices,[domain-dn] の下に新しいコンテナーとオブジェクトを作成して構成します。 デバイス オブジェクトは、このコンテナーに作成されます。
- Active Directory 上のデバイスを管理するために、Microsoft Entra Connector アカウントに必要なアクセス許可を設定します。
- Microsoft Entra Connect が複数のフォレストにインストールされている場合でも、1 つのフォレストでのみ実行する必要があります。
デバイスが Active Directory に同期されていることを確認する
デバイスの書き戻しが正常に動作するようになりました。 デバイス オブジェクトが AD に書き戻されるまでに最大 3 時間かかることがあります。 デバイスが正しく同期されていることを確認するには、同期規則の完了後に次の手順を実行します。
Active Directory 管理センターを起動します。
フェデレーションされているドメイン内の RegisteredDevices を展開します。
現在登録されているデバイスが一覧表示されます。
条件付きアクセスを有効にする
このシナリオを有効にする詳細な手順については、「Microsoft Entra Device Registrationを使用したオンプレミスの条件付きアクセスの設定」を参照してください。
トラブルシューティング
[書き戻し] チェック ボックスは無効のままです
前の手順に従ってもデバイス ライトバックのチェック ボックスが有効になっていない場合は、次の手順に従って、ボックスが有効になる前にインストール ウィザードで確認される内容を確認します。
まず、次のことを行います。
- デバイスが存在するフォレストには、デバイス オブジェクトと関連する属性が存在するように、フォレスト スキーマが Windows 2012 R2 レベルにアップグレードされている必要があります。
- インストール ウィザードが既に実行されている場合、変更は検出されません。 この場合は、インストール ウィザードを完了し、もう一度実行します。
- 初期化スクリプトで指定したアカウントが、実際には Active Directory コネクタで使用されている正しいユーザーであることを確認します。 これを確認するには、次の手順に従います。
- スタート メニューから、同期サービス
開きます。 - [コネクタ] タブを開きます。
- 種類が Active Directory Domain Services のコネクタを見つけて選択します。
- [アクション]で、[プロパティ]を選択します。
- [Active Directory フォレストに接続] に移動します。 この画面で指定したドメインとユーザー名が、スクリプトに指定されたアカウントと一致することを確認します。
Sync Service Manager でコネクタ アカウントを
する
- スタート メニューから、同期サービス
Active Directory の構成を確認します。
- デバイス登録サービスが、構成の名前付けコンテキストの下の次の場所 (CN=DeviceRegistrationService、CN=Device Registration Services、CN=Device Registration Configuration、CN=Services、CN=Configuration) にあることを確認します。
- 構成名前空間を検索して、構成オブジェクトが 1 つだけあることを確認します。 複数ある場合は、重複を削除します。
トラブルシューティング 
- Device Registration Service オブジェクトで、属性 msDS-DeviceLocation が存在し、値があることを確認します。 この場所を検索し、objectType msDS-DeviceContainer に存在することを確認します。
- Active Directory コネクタで使用されるアカウントに、前の手順で見つかった登録済みデバイス コンテナーに対する必要なアクセス許可があることを確認します。 これは、このコンテナーに対して想定されるアクセス許可です。
トラブルシューティング 
に対するアクセス許可を確認する
- Active Directory アカウントに CN=Device Registration Configuration、CN=Services、CN=Configuration オブジェクトに対するアクセス許可があることを確認します。
問題解決 
に対するアクセス許可を確認する
追加情報
- 条件付きアクセス を使用したリスク管理
- Microsoft Entra Device Registration を使用したオンプレミスの条件付きアクセスの設定
次の手順
オンプレミス ID を Microsoft Entra IDと統合する方法について詳しく学ぶ。