この記事は、マルチアプリ キオスク プロファイルが割り当てられている場合に、ユーザーが Microsoft Entra に参加している Windows 10 または Windows 11 コンピューターにログオンできない問題を解決するのに役立ちます。
現象
ユーザーがマルチアプリ キオスク プロファイルが割り当てられている Microsoft Entra 参加済みの Windows 10 または Windows 11 コンピューターにログオンしようとすると、ユーザー プロファイルが読み込まれる直前に試行が失敗します。
![[サインイン] ページのスクリーンショット。](media/users-cannot-logon-windows-multi-app-kiosk/welcome.png)
![[サインアウト] ページのスクリーンショット。](media/users-cannot-logon-windows-multi-app-kiosk/sign-out.png)
この状況では、キオスク プロファイルのログオンの種類は Microsoft Entra user または Group です。 さらに、Windows 10 または Windows 11 コンピューターはローカル アカウントを使用しており、イベント ビューアー ログに次のエラー メッセージが表示されます。
Microsoft Entra ID - 操作ログ (サンプル 1 - 条件付きアクセスで必要な MFA):
ログ名: Microsoft-Windows-AAD/Operational
ソース: Microsoft-Windows-AAD
日付: <Timestamp>
イベント ID 1098:
タスク カテゴリ: AadTokenBrokerPlugin 操作
レベル: エラー
キーワード: Error,Error
ユーザー: <User SID>
コンピューター: <コンピューター名>
説明:
エラー: 0xCAA2000C要求にはユーザーの操作が必要です。
コード: interaction_required
説明: AADSTS50076: 管理者によって行われた構成変更、または新しい場所に移動したため、多要素認証を使用して '00000003-0000-0000-c000-00000000000' にアクセスする必要があります。Microsoft Entra ID - 操作ログ (サンプル 2 - 条件付きアクセスで必要な利用規約 (TOU)):
ログ名: Microsoft-Windows-AAD/Operational
ソース: Microsoft-Windows-AAD
日付: <Timestamp>
イベント ID 1098:
タスク カテゴリ: AadTokenBrokerPlugin 操作
レベル: エラー
キーワード: Error,Error
ユーザー: <User SID>
コンピューター: <コンピューター名>
説明:
エラー: 0xCAA2000C要求にはユーザーの操作が必要です。
コード: interaction_required
説明: AADSTS50158: 外部セキュリティ チャレンジが満たされていません。 ユーザーは、追加の認証の課題を満たすために、別のページまたは認証プロバイダーにリダイレクトされます。割り当てられたアクセス - 管理者ログ:
ログ名: Microsoft-Windows-AssignedAccess/Admin
ソース: Microsoft-Windows-AssignedAccess
日付: <Timestamp>
イベント ID: 31000
タスク カテゴリ: 現在のユーザーに割り当てられたアクセス権を適用します。
レベル: エラー
ユーザー: <User SID>
コンピューター: <コンピューター名>
説明:
エラー:現在のユーザーに割り当てられたアクセス権の適用、サインアウト中の未指定エラー。..
原因
この動作は仕様です。
この問題は、ユーザーがユーザーの操作を必要とする条件付きアクセス ポリシーの対象となるために発生します。 たとえば、多要素認証 (MFA)、利用規約 (TOU) などです。
ソリューション
この問題を解決するには、MFA や TOU などのユーザー操作を必要とする条件付きアクセス ポリシーからキオスク ユーザーを除外します。
キオスク ユーザーが MFA に対して有効になっている場合は、MFA がマルチアプリ キオスク モードのシナリオでは現在サポートされていないため、無効にします。