次の方法で共有

Azure ネットワーク接続のトラブルシューティング

  • [アーティクル]

Azure ネットワーク接続 (ANC) は、環境を定期的にチェックして、すべての要件が満たされていること、および正常な状態であることを確認します。 チェックが失敗した場合は、Microsoft Intune 管理センターにエラー メッセージが表示されます。 このガイドには、チェックが失敗する可能性がある問題をトラブルシューティングするための手順が含まれています。

Active Directory ドメイン参加

クラウド PC がプロビジョニングされると、指定されたドメインに自動的に参加します。 ドメイン参加プロセスをテストするために、Windows 365 の正常性チェックが実行されるたびに、"CPC-Hth" のような名前のドメイン コンピューター オブジェクトが定義された組織単位 (OU) に作成されます。 これらのコンピューター オブジェクトは、正常性チェックが完了すると無効になります。 Active Directory ドメイン参加エラーは、さまざまな理由で発生する可能性があります。 ドメイン参加が失敗した場合は、次の点を確認します。

  • ドメイン参加ユーザーには、指定されたドメインに参加するための十分なアクセス許可があります。
  • ドメイン参加ユーザーは、指定された OU に書き込むことができます。
  • ドメイン参加ユーザーは、参加できるコンピューターの数に制限されません。 たとえば、ユーザーあたりの既定の最大参加数は 10 であり、この最大値はクラウド PC プロビジョニングに影響を与える可能性があります。
  • 使用されているサブネットは、ドメイン コントローラーに到達できます。
  • クラウド PC vNet/サブネットに接続されている仮想マシン (VM) でドメイン参加資格情報を使用して、 Add-Computer をテストします。
  • 組織内の物理コンピューターと同様に、ドメイン参加エラーのトラブルシューティングを行います。
  • インターネット ( contoso.com など) で解決できるドメイン名がある場合は、ドメイン ネーム システム (DNS) サーバーが内部として構成されていることを確認します。 また、パブリック ドメイン名ではなく、Active Directory ドメインの DNS レコードを解決できることを確認します。

Microsoft Entra デバイス同期

プロビジョニング中にモバイル デバイス管理 (MDM) 登録を行う前に、クラウド PC に Microsoft Entra ID オブジェクトが存在する必要があります。 このチェックは、組織のコンピューター アカウントがタイムリーに Microsoft Entra ID に同期されていることを確認するためのものです。

Microsoft Entra コンピューター オブジェクトが Microsoft Entra ID にすばやく表示されていることを確認します。 30 分以内に表示し、60 分以内に表示することをお勧めします。 コンピューター オブジェクトが 90 分以内に Microsoft Entra ID に到着しない場合、プロビジョニングは失敗します。

プロビジョニングが失敗した場合は、次の点を確認します。

  • Microsoft Entra ID の同期期間の構成は適切に設定されます。 ID チームと話して、ディレクトリが十分に高速に同期されていることを確認します。
  • Microsoft Entra ID はアクティブで正常です。
  • Microsoft Entra Connect は正常に実行されており、同期サーバーに問題はありません。
  • クラウド PC 用に提供されている OU に Add-Computer を手動で実行します。 そのコンピューター オブジェクトが Microsoft Entra ID に表示されるまでにかかる時間。

Azure サブネットの IP アドレス範囲の使用状況

ANC セットアップの一環として、クラウド PC が接続するサブネットを指定する必要があります。 クラウド PC ごとに、プロビジョニングによって仮想 NIC が作成され、このサブネットから IP アドレスが使用されます。

プロビジョニングするクラウド PC の数に対して十分な IP アドレス割り当てが使用可能であることを確認します。 また、プロビジョニングの失敗と潜在的なディザスター リカバリーのための十分なアドレス空間を計画します。

このチェックが失敗した場合は、次のことを確認してください。

  • Azure 仮想ネットワーク内のサブネットを確認します。 十分なアドレス空間が使用可能である必要があります。
  • 3 回のプロビジョニング再試行を処理するのに十分なアドレスがあることを確認します。各アドレスは、数時間使用されるネットワーク アドレスに保持される可能性があります。
  • 未使用の仮想ネットワーク インターフェイス カード (vNIC) を削除します。 クラウド PC 用の専用サブネットを使用して、他のサービスが IP アドレスの割り当てを使用していないことを確認することをお勧めします。
  • サブネットを展開して、使用可能なアドレスを増やします。 デバイスが接続されている場合、これは完了できません。

プロビジョニングの試行中に、リソース グループ レベル以上で適用される可能性がある CanNotDelete ロックを考慮することが重要です。 これらのロックが存在する場合、プロセスで作成されたネットワーク インターフェイスは自動的に削除されません。 自動的に削除されない場合は、再試行する前に vNIC を手動で削除する必要があります。

プロビジョニングの試行中に、リソース グループ レベル以上の既存のロックを考慮することが重要です。 これらのロックが存在する場合、プロセスで作成されたネットワーク インターフェイスは自動的に削除されません。 イベントが発生した場合は、再試行する前に vNIC を手動で削除する必要があります。

Azure テナントの準備

チェックが実行されると、指定された Azure サブスクリプションが有効で正常であることを確認します。 有効で正常でない場合、プロビジョニング中にクラウド PC を仮想ネットワークに接続し直すことができません。 課金の問題などの問題により、サブスクリプションが無効になる可能性があります。

多くの組織では、Azure ポリシーを使用して、リソースが特定のリージョンとサービスにのみプロビジョニングされるようにします。 すべての Azure ポリシーで、クラウド PC サービスとサポートされているリージョンが考慮されていることを確認する必要があります。

Azure portal にサインインし、Azure サブスクリプションが有効、有効、正常であることを確認します。

また、Azure portal にアクセスし、 Policiesを表示します。 リソースの作成をブロックしているポリシーがないことを確認します。

Azure 仮想ネットワークの準備

ANC を作成するときに、サポートされていないリージョンにある仮想ネットワークの使用をブロックします。 サポートされているリージョンの一覧については、「 Requirements」を参照してください。

このチェックが失敗した場合は、指定された仮想ネットワークがサポートされているリージョンの一覧のリージョンにあることを確認します。

DNS は Active Directory ドメインを解決できます

Windows 365 がドメイン参加を正常に実行するには、指定された仮想ネットワークに接続されているクラウド PC が内部 DNS 名を解決できる必要があります。

このテストでは、指定されたドメイン名の解決が試行されます。 たとえば、contoso.com や contoso.local などです。 このテストが失敗した場合は、次の点を確認します。

  • Azure 仮想ネットワーク内の DNS サーバーは、ドメイン名を正常に解決できる内部 DNS サーバーに正しく構成されています。
  • サブネット/vNet は、クラウド PC が提供された DNS サーバーに到達できるように正しくルーティングされます。
  • 宣言されたサブネット内のクラウド PC/VM は DNS サーバーで NSLOOKUP でき、内部名で応答します。

指定されたドメイン名に対する標準的な DNS 参照と共に、 _ldap._tcp.yourDomain.com レコードの存在も確認します。 このレコードは、指定された DNS サーバーが Active Directory ドメイン コントローラーであることを示します。 このレコードは、AD ドメイン DNS に到達可能であることを確認する信頼性の高い方法です。 ANC で提供されている仮想ネットワークを介してこれらのレコードにアクセスできることを確認します。

エンドポイント接続

プロビジョニング中、クラウド PC は、一般公開されている複数のMicrosoft サービスに接続する必要があります。 これらのサービスには、Microsoft Intune、Microsoft Entra ID、Azure Virtual Desktop が含まれます。

クラウド PC で使用されるサブネットから、すべての 必要なパブリック エンドポイント に到達できることを確認する必要があります。

このテストが失敗した場合は、次の点を確認します。

  • Azure 仮想ネットワークのトラブルシューティング ツールを使用して、指定された vNet/サブネットがドキュメントに記載されているサービス エンドポイントに確実に到達できるようにします。
  • 指定された DNS サーバーは、外部サービスを正しく解決できます。
  • クラウド PC サブネットとインターネットの間にプロキシはありません。
  • 必要なトラフィックをブロックする可能性があるファイアウォール規則 (物理、仮想、または Windows) はありません。
  • クラウド PC 用に宣言されているのと同じサブネット上の VM のエンドポイントをテストすることを検討してください。

Azure CloudShell を使用していない場合は、PowerShell 実行ポリシーが Unrestricted スクリプトを許可するように構成されていることを確認します。 グループ ポリシーを使用して実行ポリシーを設定する場合は、ANC で定義されている OU を対象とするグループ ポリシー オブジェクト (GPO) が、 Unrestricted スクリプトを許可するように構成されていることを確認します。 詳細については、「Set-ExecutionPolicy」を参照してください。

環境と構成の準備ができました

このチェックは、お客様が担当するインフラストラクチャに関連する可能性のあるインフラストラクチャ関連の多くの問題に使用されます。 これには、内部サービスのタイムアウトなどのエラーや、チェックの実行中にユーザーが Azure リソースを削除または変更した場合に発生するエラーが含まれる場合があります。

このエラーが発生した場合は、チェックを再試行することをお勧めします。 解決しない場合は、サポートにお問い合わせください。

ファースト パーティアプリのアクセス許可

ANC を作成すると、ウィザードによってリソース グループとサブスクリプションに対する特定のレベルのアクセス許可が付与されます。 これらのアクセス許可により、サービスはクラウド PC をスムーズにプロビジョニングできます。

このようなアクセス許可を保持している Azure 管理者は、それらを表示および変更できます。

これらのアクセス許可のいずれかが取り消されると、このチェックは失敗します。 Windows 365 アプリlication サービス プリンシパルに次のアクセス許可が付与されていることを確認します。

サブスクリプションのロールの割り当ては、クラウド PC サービス プリンシパルに付与されます。

また、アクセス許可が classic サブスクリプション管理者ロール または "ロール (クラシック)" として付与されていないことを確認します。このロールでは不十分です。 これは、前に示した Azure ロールベースのアクセス制御組み込みロールのいずれかである必要があります。

次のステップ

ANC 正常性チェックについて説明します