既知の問題: Windows 365 Enterprise と現場
Windows 365 Enterprise の既知の問題を次に示します。
初めてのクラウド PC サインインによって、あり得ない移動場所アラートがトリガーされる
条件付きアクセスを使用すると、クラウド PC に初めてサインインしたユーザーが、あり得ない移動場所のアラートをトリガーする可能性があります。
ソリューション
次の手順に従ってリスクを調査し アクティビティが、物理的な場所とクラウド PC の場所に基づいて、ユーザーの予想される動作と一致することを確認します。
Windows 365 での透かしのサポート
透かしのサポートはセッション ホストで構成され、リモート デスクトップ クライアントによって適用されます。 透かしのサポートの設定は、グループ ポリシー (GPO) または Intune 設定カタログを使用して構成できます。 QR コード埋め込みコンテンツ設定の既定値では、管理者はクラウド PC の漏洩した画像からデバイス情報を検索できません。
ソリューション
透かしのサポートを構成するために使用する Intune 構成プロファイルの GPO または Intune 設定カタログで QR コード埋め込みコンテンツ設定が Device ID に構成されていることを確認します。
詳細については、「Azure Virtual Desktop 向けの管理用テンプレート」を参照してください。
iPad とリモート デスクトップ アプリを使用してクラウド PC にアクセスするときにスタート メニューとタスク バーが見つからない
ローカル以外の管理者ユーザーが iPad と Microsoft リモート デスクトップ アプリを使用してクラウド PC にサインインすると、Windows 11 ユーザー インターフェイスにスタート メニューとタスク バーが表示されない可能性があります。
ソリューション
リモート デスクトップ クライアントの最新バージョンがあることを確認します。リモート デスクトップ クライアントは、リモート デスクトップ サービスとリモート PC の リモート デスクトップ クライアントから見つけることができます。
さらに、 Windows 365 を使用してクラウド PC にサインインできます。
資格情報の復元と自動ローリング
Active Directory に登録されている多くのデバイスには、自動的に更新されるコンピューター アカウントのパスワードが含まれる場合があります。 既定では、これらのパスワードは 30 日ごとに更新されます。 この自動化は、ハイブリッド参加済み PC には適用されますが、Microsoft Entra ネイティブ PC には適用されません。
マシン アカウントのパスワードは、クラウド PC 上に保持されます。 クラウド PC が以前のパスワードが保存されているポイントに復元された場合、クラウド PC はドメインにサインインできません。
詳細については、「 Machine アカウントのパスワード プロセス」を参照してください。
カーソルの表示位置が実際の位置からオフセットされている
リモート デスクトップ セッションでは、テキスト ファイル内の 1 つの位置を選択すると、クラウド PC のカーソルに実際の位置とのオフセットが設定されます。
考えられる原因
高 DPI モードでは、サーバーとクラウド PC ブラウザーの両方でカーソルがスケーリングされます。 この競合により、表示されているカーソル位置と実際のカーソル フォーカスの間のオフセットが発生します。
ソリューション
高 DPI モードをオフにします。
Outlook は 1 か月のメールのみをダウンロードします
Outlook では、以前のメールの 1 か月間しかダウンロードされません。Outlook の設定では変更できません。
ソリューション
レジストリ エディターを開きます。
パスの下にある
syncwindowsettingレジストリ キーを削除します。\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\Cached Modeパスの下に
1値を持つsyncwindowsettingレジストリ キーを追加します。\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Cached Mode
これらの手順を完了すると、既定値は 1 か月になります。 ただし、ダウンロード期間は Outlook の設定で変更できます。
インプレース Windows アップグレードによってコンピューター名が変更される可能性がある
Windows 10 のリリース バージョン間で既存のクラウド PC を Windows 11 にアップグレードすると、Intune デバイス名を変更せずに、コンピューター名がプレフィックス "pps" の名前に変更される可能性があります。
ソリューション
Devices>All devices リストまたは Devices>Windows 365>All Cloud PC リストを使用して、変更されていない Intune デバイス名を使用して、Microsoft Intune でクラウド PC を検索して管理します。
Windows 365 のプロビジョニングが失敗する
Windows 365 のプロビジョニングエラーは、次の両方の条件が満たされている場合に発生する可能性があります。
- Desired State Configuration (DSC) 拡張機能が署名されていません。
- PowerShell 実行ポリシーは、GPO で AllSigned に設定されます。
ソリューション
- Azure ネットワーク接続 (ANC) が失敗し、"内部エラーが発生しました。 仮想マシンのデプロイがタイムアウトしました。"該当する場合は、関連する GPO を確認します。
- PowerShell 実行ポリシーが AllSigned に設定されているかどうかを確認します。 その場合は、GPO を削除するか、PowerShell 実行ポリシーを Unrestricted にリセットします。
- ANC 正常性チェックを再試行します。 チェックが成功した場合は、プロビジョニングを再試行してください。
コンプライアンス ポリシーに準拠していないクラウド PC レポート
次のデバイス コンプライアンス設定は、クラウド PC の評価時に 適用できません として報告します。
- トラステッド プラットフォーム モジュール (TPM)
- デバイス上のデータ ストレージの暗号化を要求する
次のデバイス コンプライアンス設定は、クラウド PC の評価時に 準拠していない として報告される場合があります。
- BitLocker が必要
- デバイスでセキュア ブートを有効にする必要があります。 セキュア ブート機能に対するクラウド PC のサポートが、すべてのユーザーが利用できるようになりました。
ソリューション
クラウド PC でセキュア ブートを有効にするには、特定のクラウド PC プロビジョニング を参照してください。
準拠していない設定を削除するには:
- すべてのクラウド PC のフィルターを作成します。
- クラウド PC に評価され、 準拠していない 設定のいずれかを含む既存のデバイス コンプライアンス ポリシーの場合は、この新しいフィルターを使用して、ポリシー割り当てからクラウド PC を除外します。
- 非準拠設定を使用せずに新しいデバイス コンプライアンス ポリシーを作成し、この新しいフィルターを使用してポリシー割り当てにクラウド PC を含めます。
シングル サインオン ユーザーに、接続の試行中にリモート デスクトップ接続を許可するダイアログが表示される
シングル サインオンを有効にすると、新しいクラウド PC への接続を起動するときに、Microsoft Entra ID に対する認証とリモート デスクトップ接続の許可を求めるプロンプトが表示されます。 Microsoft Entra は、30 日間、最大 15 台のデバイスを記憶してから、再度プロンプトを表示します。 このダイアログが表示された場合は、 Yes を選択して接続します。
このダイアログが表示されないようにするには、事前に設定されたデバイス グループを作成します。 手順に従って、ターゲット デバイス グループ 構成 を開始します。
Microsoft Entra 条件付きアクセスを通じてシングル サインオン ユーザー接続が拒否されている
考えられる原因
シングル サインオンを使用してサインインするために、リモート デスクトップ クライアントは Microsoft Entra のMicrosoft リモート デスクトップ アプリへのアクセス トークンを要求します。これは、接続に失敗した原因である可能性があります。
トラブルシューティングの手順
サインインの問題 トラブルシューティングの手順に従います。
クラウド PC がロックされると、シングル サインオン ユーザーはすぐに切断されます
シングル サインオンを使用しない場合、ユーザーはクラウド PC のロック画面を表示し、資格情報を入力して Windows セッションのロックを解除できます。 ただし、シングル サインオンを使用すると、Cloud PC はセッションを完全に切断して、次のことが行われます。
- ユーザーは、パスワードレス認証を使用してクラウド PC のロックを解除できます。
- クラウド PC のロックを解除するときに、条件付きアクセス ポリシーと多要素認証を適用できます。
管理されていないデバイスから接続するときに、シングル サインオン ユーザーに Microsoft Entra ID への再認証を求められることはありません
シングル サインオンを使用する場合、すべての認証動作 (サポートされている資格情報の種類とサインイン頻度を含む) は、Microsoft Entra ID によって実行されます。
ソリューション
Microsoft Entra ID を使用して定期的な再認証を適用するには、 sign-in frequency control を使用して条件付きアクセス ポリシーを作成します。
Intune 管理センターの [デバイス > 概要] ページにクラウド PC レポートが表示されない
Intune 管理センターで [ デバイスのプレビュー 設定をオンにすると、 Cloud PC のパフォーマンス (プレビュー) タブ、接続品質の問題がある Cloud PC レポート、 Cloud PC の使用率が低い場合 レポートは Overview ページに表示されません。
ソリューション
Devices>Overview ページの右上隅にある デバイス プレビュートグルをオフにします。
復元またはサイズ変更アクションの後、クラウド PC が再起動ループでスタックする
考えられる原因
この問題は、次のいずれかを使用する 2022 年 7 月より前にプロビジョニングされたクラウド PC で発生する可能性があります。
- Microsoft 攻撃表面の縮小ルール (たとえば、 Microsoft Intune のエンドポイント セキュリティ ポリシーを使用した攻撃表面の縮小設定の管理)、または
- プロビジョニング後のプロセス中にインストール言語スクリプトの実行をブロックするサード パーティ製ソリューション。
2022 年 7 月以降にプロビジョニングされたクラウド PC では、この問題は発生しません。
トラブルシューティングの手順
根本原因を特定します。
Windows イベント ログを検索します。 システムに次の再起動イベント (1074) が表示される場合は、手順 2 に進みます。
The process C:\WINDOWS\system32\wbem\wmiprvse.exe (<CPC Name>) has initiated the restart of computer <CPC Name> on behalf of user NT AUTHORITY\SYSTEM for the following reason: Application: Maintenance (Planned) Reason Code: 0x80040001 Shutdown Type: restart Comment: DSC is restarting the computer.管理者特権のコマンド ウィンドウで
Get-DscConfigurationStatusを実行します。 結果にジョブの再起動保留中が表示された場合は、手順 3 に進みます。管理者特権のコマンド ウィンドウで
Get-DscConfigurationを実行します。 結果に言語をインストールする DSC が表示される場合は、次のセクションに進みます。
ソリューション
再起動ループを停止するには、次のいずれかのオプションを試してください。
Azure Site Recovery ポリシーを削除するか、ポリシーを監査モードに切り替えてから、新しいポリシーをクラウド PC に適用します。
管理者特権のコマンド ウィンドウで、次のコマンドを実行してジョブを再起動します。
Remove-DSCConfiguration -Stage Pending,Current,Previous -Verbose
GCC High Government のお客様向けのクラウド PC 接続の問題
microsoft.us環境にリソースがデプロイされている GCC High Government のお客様の中には、Web クライアントまたは Safari ブラウザーを使用したクラウド PC への接続で問題が発生する場合があります。
考えられる原因
この問題は、Web クライアントまたは Safari ブラウザーがサード パーティの Cookie をブロックするときに発生します。 サード パーティの Cookie は、アクセスしているドメイン以外のドメインによって設定される Cookie です。
microsoft.us環境にデプロイされたリソースを持つ GCC High のお客様の場合、microsoft.us Cookie は Web クライアントまたは Safari ブラウザーによってサードパーティの Cookie と見なされます。 この考慮事項は、Web クライアントまたは Safari ブラウザーが、 microsoft.usとは異なるクラウド PC のドメイン名を使用してファースト パーティ ドメインを決定するためです。 Web クライアントまたは Safari ブラウザーがサード パーティの Cookie をブロックすると、 microsoft.us Cookie が次の場所からブロックされます。
- 格納中。
- 認証と承認に使用されます。
その結果、クラウド PC セッションに接続できません。
ソリューション
Web クライアント設定、Safari ブラウザー設定、またはグループ ポリシーで、 microsoft.us からサードパーティの Cookie を許可します。
この変更により、Web クライアントまたは Safari ブラウザーで microsoft.us Cookie を使用してクラウド PC セッションに接続できるようになります。
Windows セキュリティは、"メモリ整合性がオフです。 デバイスが脆弱である可能性があります。
Windows セキュリティは、"メモリ整合性がオフです。 デバイスが脆弱である可能性があります。
クラウド PC の Windows システム情報では、仮想化ベースのセキュリティ (VBS) 行に Enabled が表示されますが、実行されていない場合もあります。
この問題は、入れ子になった仮想化が有効になっている場合に発生する可能性があります。 入れ子になった仮想化を有効にすると、実行中の入れ子になったハイパーバイザーが必要になり、ダイレクト メモリ アクセス (DMA) 保護が禁止されます。 VBS を実行するときは、DMA 保護が必要です。
ソリューション
次のことを確認してください。
- クラウド PC の入れ子になった仮想化が無効になりました。
- ポリシーでは、DMA 保護で VBS が有効になっています。
もう 1 つのオプションは、相互に互換性がないため、VBS に DMA を必要としないことです。
Microsoft Teamsが画面キャプチャ保護を適用していない
画面キャプチャ保護が有効になっている場合、Windows 365 クラウド PCのMicrosoft Teamsは画面キャプチャ保護を適用しません。
トラブルシューティングの手順
WebRTC のバージョンが最新であることを確認します。
クライアントとサーバーが選択されるように画面キャプチャ保護ポリシーが正しく構成されていることを確認します。
- Microsoft Intune 管理センターにサインインしDevices>Configuration を選択し、ポリシーを選択します。
- 構成設定で、Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop を選択し、次が設定されていることを確認します。
- 画面キャプチャ保護を有効にする = 有効にする
- 画面キャプチャ保護オプション = クライアントとサーバーでの画面キャプチャのブロック
Windows 365 スコープ タグと入れ子になったグループ
Windows 365 では、入れ子になったセキュリティ グループはサポートされていません。 入れ子になったセキュリティ グループの先頭にスコープ タグを適用した場合、入れ子になった内部グループ内のクラウド PC にはスコープ タグが割り当てられません。
ソリューション
入れ子になったセキュリティ グループ内の各グループにスコープ タグを個別に適用します。
Windows 365 では、個々のクラウド PC のスコープ タグの編集はサポートされていません
Windows 365 ユーザー インターフェイスと Graph API では、個々のクラウド PC のスコープ タグの編集はサポートされていません。
ソリューション
Intune の All Devices ブレードで個々のクラウド PC のスコープ タグを編集し、スコープ タグの関連付けを Windows 365 サービスと同期します。
カスタム イメージのスコープ タグを編集できない
カスタム イメージに適用されるスコープ タグは、トップレベル管理者が編集したり直接追加したりすることはできません。
ソリューション
スコープ管理者がカスタム イメージを作成すると、それらのカスタム イメージには、スコープ管理者に関連付けられているのと同じスコープ タグでタグ付けされます。
たとえば、スコープ タグ "Scope Tag A" でスコープを設定した管理者がカスタム イメージを作成した場合、作成されたカスタム イメージには自動的に "Scope Tag A" というタグが付けられます。
WebRTC リダイレクター サービスが最新のWindows 365 クラウド PC ギャラリー イメージに含まれていない
クラウド PC ギャラリー イメージの 2024 年 5 月 21 日の更新プログラムには、WebRTC リダイレクター サービスがありません。 このコンポーネントがないと、Teams メディア リダイレクトは機能しません。
これは、次のギャラリー イメージに適用されます。
- Windows 11 23H2 と Microsoft 365 アプリ
- Windows 11 22H2 と Microsoft 365 アプリ
トラブルシューティングの手順
新しくプロビジョニングされたクラウド PC の場合は、WebRTC が使用可能であることを確認します。 そうでない場合は、次のいずれかのオプションを使用できます。
既定でクラウド PC にインストールするアプリの一覧に WebRTC リダイレクター サービス アプリを追加するには、「 Microsoft 365 Apps を Microsoft Intune で Windows 10/11 デバイスに追加するの手順に従います。
WebRTC リダイレクター サービス アプリを個々のクラウド PC に追加するには、「 リモート デスクトップ WebRTC リダイレクター サービスをインストールするの手順に従います。 最新のインストーラーを入手するには、次のリンクを使用します: https://aka.ms/msrdcwebrtcsvc/msi。
Windows 365 の現場の問題
Windows 365 Frontline の問題を次に示します。
再プロビジョニング アクションは、構成の変更がないデバイスには適用されません
共有モードのクラウド PC の現場線の場合、プロビジョニング ポリシー イメージに変更が加えられない限り、再プロビジョニング アクションは開始されません。
回避策
すべてのデバイスを再プロビジョニングするには、割り当てグループを削除し、変更を保存してから、グループの割り当てをポリシーに追加し直します。 この回避策の方法では、すべてのアクティブ ユーザーのセッションが終了します。
クラウド PC のプロビジョニング中に Windows アプリにフロント ライン共有カードが表示される
Frontline Cloud PC を初めて共有モードでプロビジョニングすると、クラウド PC のプロビジョニング中に、Windows アプリに Frontline 共有カード Ready to Connect 状態で表示されます。 ユーザーは接続を選択できますが、"接続に失敗しました" というエラーが表示されます。
ソリューション
ユーザーは、クラウド PC に接続する前にすべてのダイアログを閉じる必要があります。
リセット後、ユーザーは約 90 秒間待機する必要があります
ユーザーが共有モードで Frontline Cloud PC で Reset アクションを実行すると、 Connect ボタンは約 90 秒間淡色表示されます。 この間、ユーザーは別の現場クラウド PC に接続できません。
ユーザーは、共有モードで Frontline Cloud PC に接続しているときに [接続] を選択できます
ユーザーが Frontline Cloud PC に接続されている場合、Windows アプリの接続ボタンは青色でクリック可能なままになります。 ユーザーが [接続] を選択すると、新しいウィンドウが開き、接続されます。 前のウィンドウは、新しい接続通知ダイアログで開いたままです。