次の方法で共有


ユニバーサル プリントでのハイブリッド AD/Microsoft Entra ID Environment の有効化

適用先:Windows Server 2016

背景

この情報は、ハイブリッド AD 構成を有効にすることが組織にとって適切な選択であるかどうかを判断するのに役立ちます。

ハイブリッド AD 構成とは何ですか?

ハイブリッド AD 構成は、組織で AD と Microsoft Entra ID の両方を使用する設定です。 このような環境では、これらのディレクトリ サービスの両方にユーザー アカウントが存在します。

「ハイブリッド AD 構成を有効にする」とはどういう意味ですか?

ユニバーサル プリント コネクタは、インストールされている PC 上で Windows サービスとして実行されます。 コネクタ関数の 1 つは、ユニバーサル プリントから印刷ジョブを取得し、ターゲット プリンターに送信することです。 コネクタは、"System" アカウントを使用して、スプーラーに印刷ジョブを送信します。 したがって、ユニバーサル プリント ポータルには印刷ジョブを送信した Microsoft Entra ID のユーザー名が表示されますが、ユニバーサル プリントを使用して印刷が行われるすべての印刷ジョブは、ユーザー "System" によって送信されたコネクタの Windows プリンター キューに表示されます。

Active Directory ドメインに依存する一部の従来の印刷管理アプリケーションは、スプーラー キューからユーザー名を読み取り、その情報を使用して何らかの機能を実行します (たとえば、ユーザーの毎月の印刷割り当てから印刷ジョブを差し引くなど)。 これらのアプリケーションがユニバーサル プリントでよりシームレスに動作するように更新されるまで、印刷ジョブを開始したユーザーの ID を取得することはできません。

ユニバーサル プリント コネクタで “ハイブリッド AD 構成を有効にする” オプションをオンにすると、コネクタは Microsoft Entra ID ユーザー ID を対応するローカル AD ドメイン ユーザー ID にマップしようとします。 一致する ID が見つかった場合、コネクタ サービスはそのユーザーのドメイン ID になりすましてから、ユーザーに代わって印刷ジョブをスプーラーに送信します。 その場合、印刷ジョブを作成したユーザーのドメイン ユーザー名がコネクタ PC のスプーラー キューに表示され、レガシー アプリケーションがそれを読み取ることができるようになります。

前提条件

このインストールを始める前に、いくつかのサブスクリプション、サービス、コンピューターを用意する必要があります。 手順は次のとおりです:

デプロイメントの手順

以下の手順で、ハイブリッド AD または Microsoft Entra ID 環境を有効にするために必要な、一般的なユニバーサル プリントのデプロイの設定を有効にすることができます。

手順 1 - Microsoft Entra Connect をインストールする

  1. Microsoft Entra ID Connect によって、Microsoft Entra ID がオンプレミスの AD に同期されます。 Active Directory を使用した Windows Server マシンで、簡単設定を使用して Microsoft Entra ID Connect ソフトウェアをダウンロードおよびインストールします。 「簡単設定を使用した Microsoft Entra ID Connect の開始」を参照してください。

手順 2 - プリント サーバーをセットアップする

  1. プリント サーバーに利用可能な Windows Update プログラムがすべてインストールされていることを確認してください (続行する前にサーバーを更新してください)。

    注: Server 2019 にビルド 17763.165 以降のパッチが適用されている必要があります。

    プリント サーバーとして機能する Windows Server (Windows サーバー) コンピューターでは、プリント サーバー ロールをインストールする必要があります。

    プリント サーバーの役割

  2. ローカル AD と Microsoft Entra ID アカウントのマッピングを確実に行うには、プリント サーバーとして動作する Windows Server がハイブリッド参加済みまたは Azure 参加済みである必要があります。 すべての手順が完了していることを確認するには、「ユニバーサル プリントのセットアップ」を参照してください。 要約すると、次のようになります。

手順 3 - ローカル AD の Microsoft Entra ID との Directory Sync をセットアップする

ユーザーまたはグループは、オンプレミスの Active Directory に存在し、Microsoft Entra ID と同期している必要があります。 ソリューションがルーティング不可能なドメイン (mydomain.local など) にデプロイされる場合、Microsoft Entra ID ドメイン (domainname.onmicrosoft.com など、またはサードパーティ ベンダーから購入したもの) をオンプレミスの Active Directory に UPN サフィックスとして追加する必要があります。 これにより、プリンターを公開するユーザーとまったく同じになります (例: admin@domainname.onmicrosoft.com)。 ローカル ドメインが確実に追加され、同期されるようにするには、「ディレクトリ同期のために非ルーティングドメインの準備を整える」を参照してください。

注: これは、完全なセットアップの基本的な要件であるため、重要な手順です。 ローカル AD ユーザーは、同期された Microsoft Entra ID アカウントと同じユーザー名である必要があります。
例: domain/user1 は user1@example.com に変換される必要があります

同期が行われると (デフォルトの同期の頻度は 30 分)、AD ユーザーが管理ポータルで同期されていることを確認できます。 Microsoft Entra ID で、ユーザー タブを選択すると、すべてのユーザーの一覧が表示されます。 ユーザーがそのリストでディレクトリを同期されているかどうかを簡単に確認できます。 ユーザーの詳細は、ソースが Windows Server AD であることを示す必要があります。

ユーザーはディレクトリ同期済みです

手順 4 - ユニバーサル プリント コネクタでのハイブリッド AD/Microsoft Entra ID サポートの有効化

コネクタがインストールされているプリント サーバーには、アプリケーションの右上隅にトグル ボタンが必要です。

  • コネクタの [ハイブリッド AD 構成を有効にする] オプションの [オン] ラジオ ボタンを選択します。

ハイブリッド AD 構成の有効化

デプロイを検証する

AD 参加済みのクライアント コンピューター上で Microsoft Entra ID 資格情報を使用して、Print Server にテスト印刷ジョブを送信することで、デプロイが正常に行われることを確認します。

コンピューターは、同期手順中にリンクされているのと同じアカウントを使用して Microsoft Entra ID に参加している必要があります。 [設定]>[アカウント]>[メールアドレス & アカウント]の順に進みます。 [職場または学校用のアカウントを追加する] をクリックし、Microsoft Entra ID アカウントをクライアント コンピューターに追加するための資格情報を使用してログインします。

展開を確認するためにテスト印刷を送信する手順を次に示します。

  • プリンターを追加してテスト ページを印刷する
  • 印刷キューに印刷ジョブがキューに入っていることに気付くと、C:/print フォルダーの下のプリント サーバーに、printerName.pdf という名前のテスト印刷ファイルが表示されます。
  • このファイルが表示された場合は、プリント サーバー ログの [トラブルシューティング] セクションに記載されているパスにあるイベント ログを確認することで、マッピングが正常に行われたかどうかを確認できます。

トラブルシューティング

展開時に発生する一般的な問題点を次に示します。

エラー 推奨される手順
指定したサーバーの機能を追加、または削除する要求が失敗しました サーバー上の更新プログラムをチェックして、Windows Server (Windows サーバー) に最新の更新プログラムがあることを確認します。
サーバーがドメインで Azure に参加しているかどうかを確認する コマンド プロンプトで dsregcmd を実行し、AzureADJoined と DomainJoined が "YES (はい)" の状態に設定されている場合に確認します。
印刷ジョブが "プリンターへ送信" 状態のままになります
  • コネクタで TLS 1.2 が有効になっていることを確認します。 手順 2 でリンクされている記事をご覧ください。
  • コネクタで HTTP2 が無効になっていることを確認します。 手順 2 でリンクされている記事をご覧ください。
  • 印刷ジョブは、ポータルで「中止済み」と表示されます。 プリント コネクタのイベント ログには、イベント 9「PrintJob failed System.Security.SecurityException: ユーザー名またはパスワードが間違っています...」に続いて、イベント 27「ジョブ <ID> に対する <ユーザー> の偽装に失敗しました。」が表示されます。 ここで説明するように、コンピューター アカウントが "Windows 承認アクセス グループ" のメンバーであることを確認します。アプリと API にはアクセスが必要です

    ユニバーサル プリントに関連するトラブルシューティングのヘルプについては、「ユニバーサル プリントのトラブルシューティング ガイド」を参照してください。

    トラブルシューティングに役立つログの場所を次に示します。

    コンポーネント ログの場所
    Windows 10 クライアント
  • イベント ビューアーを使用して、Microsoft Entra ID 操作のログを確認します。 [スタート] をクリックし、「イベント ビューアー」と入力します。 [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [Microsoft Entra ID] > [操作] の順に移動します。
  • ログを収集するには、フィードバック Hub を使います。 「フィードバック Hub アプリを使って Microsoft にフィードバックを送信する」をご覧ください
  • プリント サーバー イベント ビューアーを使用して、プリント コネクタのログを表示します。 [スタート] をクリックし、「イベント ビューアー」と入力します。 [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [PrintConnector] > [操作] に移動します。