共同管理のトラブルシューティング: 既存の Configuration Manager マネージド デバイスを Intune に自動登録する
この記事は、既存の Configuration Manager マネージド デバイスを Intune に自動登録 して共同管理を設定するときに発生する可能性がある問題を理解し、トラブルシューティングするのに役立ちます。
このシナリオでは、Configuration Manager を使用して Windows 10 デバイスを引き続き管理することも、ワークロードを必要に応じて Microsoft Intune に選択的に移動することもできます。 ワークロードを構成する方法の詳細については、「 Support Tip: Configuring workloads in a co-managed environmentを参照してください。
開始する前に
トラブルシューティングを開始する前に、問題に関する基本的な情報を収集し、必要なすべての構成手順に従っていることを確認することが重要です。 これは、問題をよりよく理解し、解決策を見つける時間を短縮するのに役立ちます。 これを行うには、トラブルシューティング前の質問の次のチェックリストに従います。
- 共同管理を構成するために必要な とロール がありますか?
- どの Microsoft Entra ハイブリッド ID オプション 選択しましたか?
- 現在の MDM 機関は何ですか?
- Microsoft Entra Connect のインストールと構成 しましたか。
- Microsoft Entra ID P1 または P2 ライセンス構成に使用した UPN に割り当しましたか?
- Intune ライセンスユーザーに割り当てしましたか?
- 管理されたドメインまたはfederated ドメインに対して Microsoft Entra ハイブリッド参加を構成しました?
- Microsoft Entra ハイブリッド参加の Configuration Manager クライアント エージェントの設定構成しましたか?
- Intune テナントで自動登録を構成しましたか?
- Configuration Manager で共同管理を しましたか。
ほとんどの問題は、これらの手順の 1 つ以上が完了していないために発生します。 ステップがスキップされたか、正常に完了しなかった場合は、各手順の詳細を確認するか、次のチュートリアルを参照してください。 既存の Configuration Manager クライアントの共同管理を有効にする。
Windows 10 デバイスで次のログ ファイルを使用して、クライアントでの共同管理の問題をトラブルシューティングします。
%WinDir%\CCM\logs\CoManagementHandler.log
ハイブリッド Microsoft Entra 構成のトラブルシューティング
Microsoft Entra ハイブリッド ID または Microsoft Entra Connect に影響する問題が発生している場合は、次のトラブルシューティング ガイドを参照してください。
- Microsoft Entra Connect のインストールに関する問題のトラブルシューティング
- Microsoft Entra Connect 同期中のエラーのトラブルシューティング
- Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング
- Microsoft Entra のシームレス シングル サインオンのトラブルシューティング
- Microsoft Entra パススルー認証のトラブルシューティング
- Active Directory フェデレーション サービス (AD FS)でのシングル サインオンの問題のトラブルシューティング
マネージド ドメインまたはフェデレーション ドメインの Microsoft Entra ハイブリッド参加に影響する問題が発生している場合は、次のトラブルシューティング ガイドを参照してください。
一般的な問題
クライアントは、Microsoft Entra ID と Intune を使用して登録プロセスを開始するために Configuration Manager 管理ポイントからポリシーを受信しませんでした
この問題は、Intune ではなく Configuration Manager の問題が原因で発生します。 client ログ ファイルを使用してこのような問題のトラブルシューティングを行うことができます。
Configuration Manager クライアントがインストールされています。 ただし、デバイスが Microsoft Entra ID に登録されておらず、エラーは表示されません
この問題は通常、Configuration Manager クライアント エージェントの設定が、クライアントに登録を指示するように構成されていないために発生します。
この問題を解決するには、「 クライアント設定の構成」の手順に従って、クライアントが Microsoft Entra ID に登録を指示していることを確認します。
Configuration Manager クライアントがインストールされ、デバイスが Microsoft Entra ID で正常に登録されます。 ただし、デバイスは Intune に自動的に登録されず、エラーは表示されません
この問題は、通常、Intune テナントの Microsoft Entra ID>Mobility (MDM および MAM)>Microsoft Intune で自動登録が正しく構成されていない場合に発生します。
この問題を解決するには、「 Intune へのデバイスの自動登録を構成するの手順に従います。
Configuration Manager コンソールの [管理] > Cloud Services の下に共同管理ノードが見つかりません
この問題は、Configuration Manager のバージョンがバージョン 1906 より前の場合に発生します。
この問題を解決するには、Configuration Manager をバージョン 1906 以降のバージョンに更新します。
Microsoft Entra ハイブリッド参加済みデバイスが登録に失敗し、エラー 0x8018002aが生成されない
この問題が発生すると、次の現象も発生します。
次のエラー メッセージは、イベント ビューアーの Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin ログに記録されます。
MDM の自動登録: 失敗 (不明な Win32 エラー コード: 0x8018002a)
次のエラー メッセージは、イベント ビューアーの Applications and Services Logs>Microsoft>Windows>Microsoft Entra ID>Operational ログに記録されます。
エラー: 0xCAA2000C要求にはユーザーの操作が必要です。
コード: interaction_required
説明: AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したために、多要素認証を使用してアクセスする必要があります。
この問題は、多要素認証 (MFA) が Enforced である場合に発生します。 これにより、Configuration Manager クライアント エージェントは、ログインしているユーザー資格情報を使用してデバイスを登録できなくなります。
Note
MFA Enabled と Enforced の違いがあります。 違いの詳細については、「 Microsoft Entra 多要素認証のユーザー状態を参照してください。 このシナリオは、MFA Enabled を持つものの、MFA Enforcedを持たないようにすることで機能します。
この問題を解決するには、次のいずれかの方法を使用します。
- MFA を Enabled に設定しますが、 Enforced には設定しません。 詳細については、「 多要素認証を設定するを参照してください。
- Trusted IP の登録中に MFA を一時的に無効にする。
自動登録後にデバイスの同期に失敗する
Configuration Manager バージョン 1906 以降、Windows 10 バージョン 1803 以降を実行している共同管理デバイスは、Microsoft Entra デバイス トークンに基づいて Microsoft Intune サービスに自動的に登録されます。 ただし、デバイスの同期が失敗し、 Settings>Accounts>Access の職場または学校で次のエラー メッセージが表示。
資格情報を確認できなかったため、同期が完全に成功しなかった。 [同期] を選択してサインインし、もう一度やり直します。
この問題が発生すると、イベント ビューアーの Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin ログに次のエラー メッセージが記録されます。
MDM セッション: 同期セッションユーザー トークンの Microsoft Entra トークンを取得できませんでした: (不明な Win32 エラー コード: 0xcaa2000c) デバイス トークン: (関数が正しくありません)。
次のエラー メッセージは、イベント ビューアーの Applications and Services Logs>Microsoft>Windows>Microsoft Entra ID>Operational ログに記録されます。
エラー: 0xCAA2000C要求にはユーザーの操作が必要です。
コード: interaction_required
説明: AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したために、多要素認証を使用してアクセスする必要があります。
この問題は、MFA が Enabled または Enforced、または MFA を必要とする Microsoft Entra 条件付きアクセス ポリシーがすべてのクラウド アプリに適用されている場合に発生します。 ポータルでデバイスとのユーザーの関連付けを禁止します。
この問題を解決するには、次のいずれかの方法を使用します。
- MFA が Enabled または Enforced の場合:
- MFA を Disabled に設定します。 詳細については、「 従来のユーザーごとの MFA を無効にするを参照してください。
- Trusted IP を使用して MFA をバイパス。
- Microsoft Entra 条件付きアクセス ポリシーを使用する場合は、ユーザー資格情報を使用してデバイスの同期を許可するために MFA を必要とするポリシーから Microsoft Intune アプリを除外します。
Microsoft Entra ハイブリッド参加済み Windows 10 デバイスが、エラー 0x800706D9または0x80180023で Intune に登録できない
この問題が発生すると、通常、イベント ビューアーの Applications and Services Logs>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin log に次のエラー メッセージが表示されます。
MDM 登録: OMA-DM クライアントの構成に失敗しました。 RAWResult: (0x800706D9) 結果: (不明な Win32 エラー コード: 0x80180023)。
MDM 登録: プロビジョニングに失敗しました。 結果: (不明な Win32 エラー コード: 0x80180023)。
MDM 登録: 失敗 (不明な Win32 エラー コード: 0x80180023)
MDM の自動登録: デバイス資格情報 (0x80180023)、失敗 (%2)
MDM の登録解除: サーバーへの登録解除アラートの送信中にエラーが発生しました。 結果: (関数が正しくありません。)。
MDM の登録解除: dmwappushservice のスタートアップの種類を demand-start に変更できませんでした。 結果: (指定されたサービスはインストール済みサービスとして存在しません)。
この問題は、 dmwappushservice
サービスがデバイスに存在しない場合に発生します。 確認するには、 services.msc
を実行してこのサービスを検索します。
この問題を解決するには、次の手順に従ってください。
影響を受けるデバイスと同じバージョンの Windows 10 を実行する動作中のデバイスでは、次のレジストリ キー export 。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice
影響を受けるデバイスにローカル管理者としてログオンし、 .reg ファイルを影響を受けるデバイスにコピーしてから、ローカル レジストリとマージします。
影響を受けるデバイスを再起動します。
古い Microsoft Entra 登録を削除し、グループ ポリシーを更新します。
影響を受けるデバイスをもう一度再起動します。 デバイスは Microsoft Entra ID で登録し、Intune に自動的に登録できる必要があります。
Microsoft Entra ハイブリッド参加がマネージド ドメインで失敗し、エラー 0x801c03f2
デバイス上のコマンド プロンプトから dsregcmd /status
を実行すると、ドメインに参加しているが、Microsoft Entra ハイブリッドに参加していないことがわかります。 次のエラー メッセージは、イベント ビューアーの Application と Service Logs>Microsoft>Windows>User Device Registration>Admin log に記録されます。
サーバーの応答: {"ErrorType":"DirectoryError","Message":"id <DeviceID>" のデバイス オブジェクトに公開キー ユーザー証明書が見つかりません。
この問題は、次のいずれかの状況で発生します。
- デバイス オブジェクトが Microsoft Entra ID にありません。
Usercertificate
属性には、オンプレミスの Active Directoryまたは Microsoft Entra ID にデバイス証明書がありません。
Windows 10 デバイスの登録をマネージド ドメインで機能させるには、最初にデバイス オブジェクトを同期する必要があります。 登録プロセスは次のように機能します。
- Windows 10 デバイスは、オンプレミス ドメインに参加した後、初めて起動します。
- デバイスの登録がトリガーされ、証明書要求が作成されます。
- 要求が作成されると、証明書の公開キーがデバイス オブジェクトのオンプレミス AD に発行されます。 これにより、デバイス オブジェクトの
Usercertificate
属性が更新されます。 同時に、署名されたデバイス登録要求が Microsoft Entra ID に送信されます。 - Microsoft Entra ID でデバイス オブジェクトを認証したり、署名された要求を確認したりできないため、登録が失敗します。
- 次回同期サイクルが実行されると、
Usercertificate
属性が設定されているデバイス オブジェクトが検索され、デバイス オブジェクトが Microsoft Entra ID に同期されます。 - 次回登録サービスがトリガーされると (1 時間ごとに実行されます)、デバイスは秘密キーによって署名された新しい要求を送信します。
- Azure は、同期サイクル中にオンプレミス ドメインから受信したパブリック証明書を使用して、要求の署名を検証します。 Microsoft Entra ID が要求の署名を確認できる場合、デバイスの登録は成功します。
この問題を修正するには、次の手順に従ってください。
オンプレミス AD で、
Usercertificate
属性が設定され、正しい証明書があることを確認します。バックエンド デバイス オブジェクトを確認し、
Usercertificate
属性が存在し、設定されていることを確認します。証明書が見つからない場合、または誰かがオンプレミス AD から証明書を削除した場合 (その証明書は Microsoft Entra ID から削除されます)、デバイスの登録は失敗します。 この問題を解決するには、クライアント デバイスで次の操作を行います。
管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
dsregcmd /leave
certlm.msc
を実行して、ローカル コンピューターの証明書ストアを開きます。MS-Organization-Access によって発行されたコンピューター証明書が削除されていることを確認します。
クライアント デバイスを再起動して、新しいデバイス登録をトリガーします。
デバイスが再起動されたら、オンプレミス AD のデバイス オブジェクトで新しい証明書公開キーが更新されていることを確認します。 複数のドメイン コントローラーがある場合は、属性がすべてのドメイン コントローラーにレプリケートされていることを確認します。
Microsoft Entra Connect サーバーで差分同期をトリガーします。
同期が完了したら、クライアントを再起動するか、
dsregcmd /debug
コマンドを実行するか、Workplace Join でスケジュールされたタスク Automatic-Device-Join を実行して、デバイスの登録をトリガーできます。
デバイスの自動登録がエラー 0x80280036で失敗する
この問題が発生すると、次のエラー メッセージがイベント ビューアーの Application ログとサービス ログ>Microsoft>Windows>User Device Registration>Admin log に記録されます。
DeviceRegistrationApi::BeginJoin がエラー コードで失敗しました: 0x80280036
説明:
終了コードで結合要求の初期化に失敗しました:TPM は FIPS モードでのみ使用可能なコマンドを実行しようとしています。
この問題は、クライアント デバイスの TPM チップで FIPS モードが有効になっている場合に発生します。 AZURE デバイスの登録では、FIPS モードはサポートされていないか、推奨されていません。 詳細については、「 FIPS モードを推奨しない理由」を参照してください。
Microsoft Entra ハイブリッド結合がエラー 0x80090016で失敗する
Windows 10 デバイスのハイブリッド Microsoft Entra 登録が失敗し、次のエラー メッセージが表示されます。
問題が発生しました。 正しいサインイン情報を使用し、組織でこの機能を使用していることを確認してください。 もう一度やり直すか、エラー コードをシステム管理者に問い合わせて0x80090016
0x80090016のエラー メッセージ Keyset が存在しません。 つまり、TPM キーにアクセスできなかったため、デバイスの登録でデバイス キーを保存できませんでした。
この問題は、Windows が TPM の所有者でない場合に発生します。 Windows 10 以降では、オペレーティング システムによって TPM の所有権が自動的に初期化され、取得されます。 ただし、このプロセスが失敗した場合、Windows は所有者になりません。これにより問題が発生します。
この問題を解決するには、TPM をクリアし、クライアント デバイスを再起動します。 TPM をクリアするには、次の手順に従います。
Windows セキュリティ アプリを開きます。
Device security を選択します。
[セキュリティ プロセッサの詳細 選択します。
[セキュリティ プロセッサ トラブルシューティングを選択します。
Clear TPM をクリックします。
重要
TPM をクリアする前に、次の点に注意してください。
- TPM をクリアすると、データが失われる可能性があります。 TPM に関連付けられているすべての作成済みキーと、仮想スマート カード、ログオン PIN、BitLocker キーなど、それらのキーによって保護されているデータが失われます。
- デバイスで BitLocker が有効になっている場合は、TPM をクリアする前に BitLocker を無効にしてください。
- TPM によって保護または暗号化されているデータのバックアップと回復方法があることを確認します。
メッセージが表示されたら、デバイスを再起動します。
Note
再起動中に、TPM をクリアすることを確認するボタンを押すよう UEFI から求められる場合があります。 再起動が完了すると、TPM は Windows 10 で使用できるように自動的に準備されます。
デバイスの再起動後、Microsoft Entra ハイブリッド参加が成功します。 確認するには、コマンド プロンプト dsregcmd /status
コマンドを実行します。 次の結果は、結合が成功したことを示しています。
AzureAdJoined : YES
DomainName : \<on-prem Domain name>
詳細については、「 TPM をトラブルシューティングする」を参照してください。
詳細
共同管理の問題のトラブルシューティングの詳細については、次の記事を参照してください。
Intune と Configuration Manager の共同管理の詳細については、次の記事を参照してください。