次の方法で共有

マルチアプリ キオスク プロファイルが割り当てられている場合、ユーザーは Windows にログオンできません

  • [アーティクル]

この記事は、マルチアプリ キオスク プロファイルが割り当てられている場合に、ユーザーが Microsoft Entra 参加済み Windows 10 コンピューターにログオンできない問題を解決するのに役立ちます。

現象

ユーザーがマルチアプリ キオスク プロファイルが割り当てられている Microsoft Entra 参加済み Windows 10 コンピューターにログオンしようとすると、ユーザー プロファイルが読み込まれる直前に試行が失敗します。

[サインイン] ページのスクリーンショット。

[サインアウト] ページのスクリーンショット。

この状況では、キオスク プロファイルのログオンの種類は Microsoft Entra user または Group です。 さらに、Windows 10 コンピューターではローカル アカウントが使用され、イベント ビューアー ログに次のエラー メッセージが表示されます。

  • Microsoft Entra ID - 操作ログ (サンプル 1 - 条件付きアクセスで必要な MFA):

    ログ名: Microsoft-Windows-AAD/Operational
    ソース: Microsoft-Windows-AAD
    日付: <Timestamp>
    イベント ID 1098:
    タスク カテゴリ: AadTokenBrokerPlugin 操作
    レベル: エラー
    キーワード: Error,Error
    ユーザー: <User SID>
    コンピューター: <コンピューター名>
    説明:
    エラー: 0xCAA2000C要求にはユーザーの操作が必要です。
    コード: interaction_required
    説明: AADSTS50076: 管理者によって行われた構成変更、または新しい場所に移動したため、多要素認証を使用して '00000003-0000-0000-c000-00000000000' にアクセスする必要があります。

  • Microsoft Entra ID - 操作ログ (サンプル 2 - 条件付きアクセスで必要な利用規約 (TOU)):

    ログ名: Microsoft-Windows-AAD/Operational
    ソース: Microsoft-Windows-AAD
    日付: <Timestamp>
    イベント ID 1098:
    タスク カテゴリ: AadTokenBrokerPlugin 操作
    レベル: エラー
    キーワード: Error,Error
    ユーザー: <User SID>
    コンピューター: <コンピューター名>
    説明:
    エラー: 0xCAA2000C要求にはユーザーの操作が必要です。
    コード: interaction_required
    説明: AADSTS50158: 外部セキュリティ チャレンジが満たされていません。 ユーザーは、追加の認証の課題を満たすために、別のページまたは認証プロバイダーにリダイレクトされます。

  • 割り当てられたアクセス - 管理者ログ:

    ログ名: Microsoft-Windows-AssignedAccess/Admin
    ソース: Microsoft-Windows-AssignedAccess
    日付: <Timestamp>
    イベント ID: 31000
    タスク カテゴリ: 現在のユーザーに割り当てられたアクセス権を適用します。
    レベル: エラー
    ユーザー: <User SID>
    コンピューター: <コンピューター名>
    説明:
    エラー:現在のユーザーに割り当てられたアクセス権の適用、サインアウト中の未指定エラー。..

原因

この動作は仕様です。

この問題は、ユーザーがユーザーの操作を必要とする条件付きアクセス ポリシーの対象となるために発生します。 たとえば、多要素認証 (MFA)、利用規約 (TOU) などです。

ソリューション

この問題を解決するには、MFA や TOU などのユーザー操作を必要とする条件付きアクセス ポリシーからキオスク ユーザーを除外します。

キオスク ユーザーが MFA に対して有効になっている場合は、MFA がマルチアプリ キオスク モードのシナリオでは現在サポートされていないため、無効にします。