共同管理のトラブルシューティング: 最新のプロビジョニングを使用したブートストラップ
この記事は、パス 2 を使用して共同管理を設定するときに発生する可能性がある問題の理解とトラブルシューティングに役立ちます。 最新のプロビジョニングを使用して Configuration Manager クライアントを起動します。
このシナリオは、Microsoft Entra ID に参加して Intune に自動的に登録する新しい Windows 10 デバイスがあり、Configuration Manager クライアントをインストールして共同管理状態に達した場合に発生します。
開始する前に
トラブルシューティングを開始する前に、問題に関する基本的な情報を収集し、必要なすべての構成手順に従っていることを確認することが重要です。 これにより、問題をよりよく理解し、解決策を見つける時間を短縮できます。 これを行うには、トラブルシューティング前の質問の次のチェックリストに従います。
- どの Microsoft Entra ハイブリッド ID オプション 選択しましたか?
- 現在の MDM 機関は何ですか?
- 拡張 HTTP 設定しましたか?
- Azure でクラウド サービスを作成 しましたか。
- クラウド管理ゲートウェイ (CMG) を構成しましたか?
- CMG トラフィックのクライアント側ロールを構成 しましたか。
- Configuration Manager クライアント Intune にインストールしましたか。
ほとんどの問題は、これらの手順の 1 つ以上が完了していないために発生します。 ステップがスキップされたか、正常に完了しなかった場合は、各ステップの詳細を確認するか、次のチュートリアルを参照してください。
チュートリアル: 最新のプロビジョニング済みクライアントの共同管理を有効にする
ハイブリッド Microsoft Entra 構成のトラブルシューティング
Microsoft Entra ハイブリッド ID または Microsoft Entra Connect に影響する問題が発生している場合は、次のトラブルシューティング ガイドを参照してください。
- Microsoft Entra Connect のインストールに関する問題のトラブルシューティング
- Microsoft Entra Connect 同期中のエラーのトラブルシューティング
- Microsoft Entra Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング
- Microsoft Entra のシームレス シングル サインオンのトラブルシューティング
- Microsoft Entra パススルー認証のトラブルシューティング
- Active Directory フェデレーション サービス (AD FS)でのシングル サインオンの問題のトラブルシューティング
マネージド ドメインまたはフェデレーション ドメインの Microsoft Entra ハイブリッド参加に影響する問題が発生している場合は、次のトラブルシューティング ガイドを参照してください。
よく寄せられる質問
共同管理を構成するには、どのようなロールが必要ですか?
共同管理を構成するために必要な とロール を次に示します。
共同管理シナリオでワークロードを検証し、ポリシーとアプリの由来を判断するために使用できるログは何ですか?
Windows 10 デバイスでは、次のログ ファイルを使用できます。
%WinDir%\CCM\logs\CoManagementHandler.log
クラウド サービスに一意の DNS 名があることを検証操作方法。
これを行うには、次の手順を実行します。
- Azure ポータルにサインインしAll Services>Cloud Services (クラシック)に移動し、[追加] をクリック。
- [ DNS 名 フィールドに、使用する名前を入力します。
- 使用できる名前がある場合は、 Cloud サービス ウィンドウで作成せずにメモします。
- 内部 DNS サーバーと外部 DNS サーバーの両方でドメインを <name>.cloudapp.net にマップする CNAME レコードを作成します。
Configuration Manager クライアント セットアップ MSI はどこにありますか?
ccmsetup.msi ファイルは、Configuration Manager サイト サーバーの次のフォルダーにあります。
<ConfigMgr installation directory>\bin\i386
Intune からマネージド Windows 10 デバイスへの Configuration Manager クライアントの展開を確認操作方法?
展開を確認するには、Windows 10 デバイスで次の手順を実行します。
- エクスプローラーを開き、
%WinDir%\CCM\logs
に移動します。 - CMTrace でADALOperationProvider.log ファイルを開き、 Microsoft Entra ID (ユーザー) トークンの取得と Microsoft Entra ID (デバイス) トークンの取得を探してトークンを確認します。
- CMTrace で、CoManagementHandler.log ファイルを開き、MDM と Device Provisioned に既に登録されている Device を探して 登録を確認します。
- コントロール パネルを開き、検索ボックスに「Configuration Manager」と入力して選択します。
- General タブを選択し、割り当てられた管理ポイントを確認します。
- Network タブを選択し、Internet ベースの管理ポイントを確認します。
一般的な問題
Configuration Manager では、Microsoft Entra 参加済みクライアントに対して HTTPS 対応の管理ポイントのみが許可されます
この問題は、Configuration Manager Current Branch バージョン 1802 以前のバージョンを使用している場合に発生します。 これらのバージョンでは、CMG に対して有効にする管理ポイントは HTTPS である必要があります。 バージョン 1806 以降では、管理ポイントは HTTP にすることができます。
この問題を解決するには、Configuration Manager Current Branch バージョン 1806 以降のバージョンに更新します。
拡張 HTTP の代わりに PKI 証明書が有効なオプションであるかどうか
PKI 証明書は引き続き有効なオプションですが、次の要件があります。
- すべてのクライアント通信は HTTPS 経由で行われます。
- 署名インフラストラクチャを高度に制御する必要があります。
詳細については、「 Enhanced HTTP」を参照してください。
[サイトの構成] で [クライアント コンピューターの通信] タブが見つかりません
Configuration Manager Current Branch バージョン 1906 以降では、このタブの名前が Communication Security に変更されます。
[HTTP サイト システムに Configuration Manager で生成された証明書を使用する] オプションは有効ですが、証明書は受信されません
この動作は予期されています。 管理ポイントがサイトから新しい証明書を受信して構成するまでに、最大で 30 分かかる場合があります。 次のログを使用して、これを追跡、監視、確認できます。
<ConfigMgr installation directory>\Logs\CloudMgr.log
リソースのレコードと Microsoft Entra ID の関連情報が Configuration Manager データベースに作成されない
構成管理サイトを Microsoft Entra ID にオンボードしても、Microsoft Entra ユーザー リソースは検出されず、Configuration Manager データベースに入力されません。 通常、このシナリオでは0x87d00231 エラーが発生します。
この問題は、次のいずれかの状況で発生します。
- Azure portal でアプリ登録の API アクセス許可を正常に構成できませんでした。
- Microsoft Entra ユーザー検出が有効になっていないか、構成されていません。
この問題を解決するには、 Microsoft Entra user Discovery の手順に従って、API アクセス許可と Microsoft Entra ユーザー探索を構成します。 次のログを使用して詳細を確認できます。
<ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log
サイト サーバー上%WinDir%\CCM\logs\CcmMessaging.log
クライアントで%WinDir%\CCM\logs\LocationServices.log
クライアントで
Note
Configuration Manager サイトが新規または最近再構築された場合は、 Active Directory ユーザー探索も構成する必要があります。
CoManagementHandler.log 起動する登録タイマーのキューを示しています...
Windows デバイス上のADALOperationProvider.log ファイルには、 Microsoft Entra ID (ユーザー) トークンの取得と Microsoft Entra ID (デバイス) トークンの取得が示されています。 ただし、デバイスは登録されておらず、CoManagementHandler.logの最後の行は、... で起動する登録タイマーのキューです。
この動作は、Configuration Manager Current Branch バージョン 1806 以降のバージョンで想定されています。 バージョン 1806 以降では、自動登録はすべてのクライアントに対してすぐには行われません。 この動作は、大規模な環境での登録のスケーリングを向上するのに役立ちます。 Configuration Manager は、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 個のクライアントがある場合、登録は数日にわたって行われる可能性があります。
共同管理を監視するには、Configuration Manager コンソールの Monitoring>Co-Management に移動します。
Configuration Manager コンソールからカスタマイズしたクライアント インストール コマンドをコピーしましたが、Configuration Manager クライアントをインストールできません
この問題は、次のいずれかの状況で発生します。
- コマンドのインストール パラメーターは、 サポートされている値に準拠していません。
- コマンド ラインの長さが 1,024 文字を超えています。
この問題を解決するには、コマンドが要件を満たし、コマンド ラインの長さが 1,024 文字以下であることを確認します。
Configuration Manager エージェントの状態が Intune で異常である
Intune は、次のレジストリ サブキーの ClientHealthLastSyncTime
と ClientHealthStatus
の値に基づいて Configuration Manager エージェントの状態を評価します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM
ClientHealthStatus
で見つかった値は、次のような複数のフラグの組み合わせです。
- 1: クライアントがインストールされている
- 2: クライアントが登録されました
- 4: 正常な正常性評価
- 8: クライアントのインストールまたはアップグレードエラー
- 16: 管理ポイントとの通信エラー
ClientHealthStatus
の一般的な値を次に示します。
- 1: クライアントがインストールされているが、登録されていない
- 3: クライアントがインストールおよび登録されているが、正常性評価が成功したことをまだ報告していない
- 5: クライアントがインストールされ、現在登録されておらず、正常な正常性評価が送信されました (以前)
- 7: クライアントが正常
- 23: クライアントは正常でしたが、管理ポイントとの通信エラーが発生しました
ClientHealthStatus
値が 7 (正常) の場合、ClientHealthLastSyncTime
が 30 日を超えない場合、Intune は Configuration Manager クライアントを正常と見なします。
ClientHealthStatus
の値が 7 (異常) でない場合、ClientHealthLastSyncTime
が 48 時間を超えない場合、Intune は Configuration Manager クライアントを正常と見なします。
ClientHealthLastSyncTime
値は Configuration Manager クライアントの Client Notification コンポーネントによって更新され、ログ ファイルがCcmNotificationAgent.logされます。
この問題をトラブルシューティングするには、 ClientHealthLastSyncTime
が最新でない場合は、CcmNotificationAgent.log ファイルを確認します。 例を次に示します。
値 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 で MDM_ConfigSetting.ClientHealthLastSyncTime を更新しています (0x2504)
ClientHealthLastSyncTime
の値が最新の状態で、Configuration Manager エージェントの最終チェックイン時刻が Intune で2/1/1/1900場合は、デバイス コンプライアンス ポリシーのワークロードが Configuration Manager によって管理されることを意味します。 この場合は、コンプライアンス ポリシーワークロードを Intune またはパイロット Intune にswitch します。
CMG 接続ポイントが切断済みとして表示される
この問題は、CMG 接続ポイントの役割がインストールされているリモート サイト システムとプライマリ サイト間のアクセス許可の問題が原因で発生します。
リモート サイト システムは CMG から TrafficData
レポートを収集し、状態メッセージを介してプライマリ サイトにデータを送信します。 SMS_Cloud_ProxyConnector.logのサンプル ログ スニペットを次に示します。
SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - 送信する状態メッセージ: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~
リモート サイト システムも管理ポイントであるため、これらの状態メッセージは、プライマリ サイトにファイルを送信する MP ファイル ディスパッチ マネージャーによってアクセスされる送信トレイに移動されます。 mpfdm.logのサンプル ログ スニペットを次に示します。
SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Moving 1 *.C:\SMS\MP\OUTBOXES\statemsg.box\ から \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\ への SMX ファイル。
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~ファイル C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX を \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX に移動しました
アクセス許可の問題がある場合、MP File Dispatch Manager はプライマリ サイトの受信トレイにアクセスできません。次のエラーがmpfdm.logに記録されます。
SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: 受信トレイのソースに接続できません。30 秒スリープ状態になり、もう一度やり直してください。
この問題を解決するには、リモート サイト システムのコンピューター アカウントをプライマリ サイトのローカル管理者グループに追加します。
クライアントは CMG を使用して管理ポイントを見つけられないので、エラー 403 が発生する
この問題が発生すると、次のエラーがクライアントのLocationServices.logに記録されます。
[CCMHTTP]エラー情報: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices
さらに、CMG 接続ポイント サーバーのSMS_Cloud_ProxyConnector.logに次のエラーが記録されます。
MessageID: <ID> RequestURI: https://<FQDN>/SMS_MP/.sms_aut?SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR
CMG 接続ポイント サーバーに有効なクライアント認証証明書がある場合、最も可能性の高い原因は、証明書の証明書失効リスト (CRL) の検証に失敗することです。 この場合、0x87d0027e エラーが発生し、CAPI2 イベント ログに次のエラーが記録されます。
失効サーバーがオフラインだったため、失効機能は失効を確認できませんでした。 80092013
さらに、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging
レジストリ値を 1 に設定して詳細ログを有効にすると、次のようなエラー エントリがSMS_Cloud_ProxyConnector.logに記録されます。
チェーン ビルドに失敗した証明書: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
チェーン 0 の状態: RevocationStatusUnknown
チェーン 1 の状態: OfflineRevocation
チェーン ビルドに失敗した証明書: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
チェーン 0 の状態: RevocationStatusUnknown
チェーン 1 の状態: OfflineRevocation
許可されていない証明書: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
許可されたルート CA と秘密キーを持つフィルター処理された証明書の数: 0
クライアント認証でフィルター処理された証明書の数: 0
CRL チェックを自動的に無効にする代わりに、最初に動作することを確認することをお勧めします。 ただし、CRL チェックが正しく機能しない場合は、CMG 接続ポイントの CRL チェックを一時的に無効にします。 これにより、CRL チェックを実行せずにクライアント証明書を選択でき、管理ポイントとの通信が可能になります。
詳細
共同管理の問題のトラブルシューティングの詳細については、次の記事を参照してください。
Intune と Configuration Manager の共同管理の詳細については、次の記事を参照してください。