Microsoft Entra ID の Enterprise State Roaming 設定のトラブルシューティング

  • [アーティクル]

この記事では、Enterprise State Roaming の問題のトラブルシューティングと診断の方法について説明するとともに、既知の問題の一覧を示します。

Note

Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

注意

この記事は、2015年7月に Windows 10 で起動された Microsoft Edge レガシ HTML ベースのブラウザーに適用されます。 この記事は、2020 年 1 月 15 日にリリースされた新しい Microsoft Edge Chromium ベースのブラウザーには適用されません。 新しい Microsoft Edge の同期動作の詳細については、「Microsoft Edge Sync」を参照してください。

トラブルシューティングのための準備作業

トラブルシューティングを開始する前に、ユーザーとデバイスが適切に設定されており、 Enterprise State Roaming のすべての要件が満たされていることを確認します。

  1. 最新の更新プログラムがインストールされた Windows 10 またはそれ以降であり、デバイスには最小バージョン 1511 (OS ビルド 10586 以降) がインストールされている。
  2. デバイスが Microsoft Entra に参加しているか、ハイブリッド Microsoft Entra に参加している。 詳細については、デバイスを Microsoft Entra ID で管理する方法に関するページをご覧ください。
  3. Enterprise State Roaming の有効化に関するページで説明されているとおりに、Microsoft Entra ID のテナントで Enterprise State Roaming が有効になっていることを確認します。 すべてのユーザーまたは選択したグループのユーザーにだけローミングを有効にできます。
  4. ユーザーには、Microsoft Entra ID P1 または P2 ライセンスが割り当てらている。
  5. デバイスを再起動し、もう一度サインインして Enterprise State Roaming の機能にアクセスする必要があります。

ヘルプが必要な場合に含める情報

以下のガイダンスを使用しても問題を解決できない場合は、サポート エンジニアにお問い合わせください。 サポートにお問い合わせいただく際は、次の情報をお知らせください。

  • エラーの一般的な説明: ユーザーにエラー メッセージは表示されましたか。 エラー メッセージが表示されなかった場合は、気が付いた予期しない動作について詳しく説明してください。 どの機能で同期が有効になっていますか。また、同期することが求められるのはどのような機能ですか。 同期しないのは複数の機能ですか。または 1 つの機能ですか。
  • 影響を受けるユーザー – 同期が機能、または機能しないのは、1 人のユーザーですか。それとも複数のユーザーですか。 ユーザー 1 人当たりに関係するデバイスは何台ですか。 すべてのデバイスが同期しませんか。それとも同期するデバイスもあれば、同期しないデバイスもありますか。
  • ユーザーに関する情報 – ユーザーはどの ID を使用してデバイスにログインしていますか。 どのような方法でデバイスにログインしていますか。 ユーザーは、同期が許可されている選択されたセキュリティ グループの一部ですか。
  • デバイスに関する情報 – デバイスは Microsoft Entra に参加していますか。またはドメインで参加していますか。 どのビルドがデバイスにインストールされていますか。 最新の更新プログラムは何ですか。
  • 日付 / 時刻 / タイム ゾーン – エラーが表示された正確な日時を教えてください (タイム ゾーンを含む)。

これらの情報を含めることで、迅速に問題を解決するのに役立ちます。

問題のトラブルシューティングと診断

このセクションでは、Enterprise State Roaming に関連した問題のトラブルシューティングと診断の方法に関する推奨事項を示します。

同期、および "設定の同期" の設定ページを確認する

  1. Enterprise State Roaming を許可するよう構成されたドメインに Windows 10 またはそれ以降の PC を参加させたら、職場アカウントを使ってサインオンします。 [設定]>[アカウント]>[設定の同期] に移動して、同期と個々の設定がオンになっていて、設定ページの最上部に、職場アカウントを使って同期していることが示されていることを確認します。 [設定]>[アカウント]>[Your Info (ユーザー情報)] で、同じアカウントが自分のアカウントとしても使われていることを確認します。

  2. 同期元のコンピューターで変更 (タスクバーを画面内で移動するなど) を行い、複数のコンピューター間で同期が機能することを確認します。 5 分以内に、2 つ目のコンピューターに変更が反映されることを確認します。

    • 画面をロックまたはロック解除 (Win + L) すると、同期をトリガーできる場合があります。
    • Enterprise State Roaming はコンピューター アカウントではなくユーザー アカウントに関連付けられているため、同期が機能するには、両方の PC で同じアカウントでサインインする必要があります。

潜在的な問題: [設定] ページでコントロールが利用できず、"Windows の一部の機能は、Microsoft アカウントまたは職場アカウントを使用している場合にのみ利用できます" というメッセージが表示される場合があります。 この問題は、デバイスをドメインで参加するよう設定して Microsoft Entra ID に登録したものの、Microsoft Entra ID にまだ認証されていない場合に発生することがあります。 考えられる原因としては、デバイス ポリシーを適用する必要があるものの、アプリケーションが非同期的に動作して、数時間かかる可能性があります。

デバイスの登録状態を確認する

Enterprise State Roaming では、デバイスを Microsoft Entra ID に登録する必要があります。 Enterprise State Roaming に限ったことではありませんが、次の手順を行うと Windows 10 またはそれ以降のクライアントが登録されていることを確認できるほか、拇印、Microsoft Entra ID の設定 URL、NGC の状態、およびその他の情報を確認することができます。

  1. 管理者特権を使用せずにコマンド プロンプトを開きます。 これを Windows で行う場合は、[ファイル名を指定して実行] \(Win + R) を開き、「cmd」と入力して開きます。
  2. コマンド プロンプトが開いたら、「*dsregcmd.exe /status*」を入力します。
  3. 期待する出力を得るには、AzureAdJoined フィールド値を "YES"、WamDefaultSet フィールド値を "YES"、WamDefaultGUID フィールド値を末尾が "(AzureAD)" である GUID にする必要があります。

潜在的な問題: WamDefaultSetAzureAdJoined の両方のフィールド値が "NO" になっていて、デバイスはドメインに参加して Microsoft Entra ID に登録されていますが、同期しません。このような場合は、デバイスにポリシーが適用されるまで待機する必要があるか、Microsoft Entra ID に接続するときにデバイスの認証に失敗したと考えられます。 ポリシーが適用されるまでには数時間かかる場合があります。 その他のトラブルシューティング手順としては、サインアウトしてからサインインし直してもう一度自動登録をしてみるか、タスク スケジューラでタスクを起動することなどが挙げられます。 場合によっては、管理者特権で開いたコマンド プロンプト画面で "dsregcmd.exe /leave" を実行して再起動し、登録し直すことが問題の解決に役立つことがあります。

潜在的な問題: SettingsUrl のフィールドが空で、デバイスが同期しません。最後にデバイスにログインしたのが、Enterprise State Roaming が有効になる前だった可能性があります。 デバイスを再起動して、ユーザーにサインインしてもらいます。 必要に応じて、ポータルの [ID][デバイス][概要][Enterprise State Roaming] の順に移動し、[デバイス間での設定とアプリ データの同期が許可されるユーザー] を無効にしてから再度有効にするよう、IT 管理者に依頼してください。 その後、デバイスを再起動してユーザーにサインインしてもらいます。 問題が解決されない場合、デバイスの証明書が不適切であれば、SettingsUrl が空になることがあります。 この場合、管理者特権で開いたコマンド プロンプト画面で "dsregcmd.exe /leave" を実行して再起動し、登録し直すと問題の解決に役立つことがあります。

Enterprise State Roaming と多要素認証

Microsoft Entra の多要素認証が構成されている場合、特定の条件下で Enterprise State Roaming がデータの同期に失敗する可能性があります。 このような場合の詳細については、サポート ドキュメント KB3193683 を参照してください。

潜在的な問題: ご自分のデバイスが Microsoft Entra 管理センターで MultiFactor Authentication を要求するように構成されている場合、パスワードを使用して Windows 10 またはそれ以降のデバイスにサインインしている状態で設定の同期が失敗することがあります。 このタイプの多要素認証の構成は、Azure 管理者アカウントの保護を意図したものです。 管理者ユーザーは、Windows Hello for Business の PIN を使用してWindows 10 またはそれ以降のデバイスにサインインするか、他の Azure サービス (Microsoft 365 など) にアクセスしている状態で多要素認証を行うことで同期が可能になる場合があります。

潜在的な問題: 管理者が Active Directory フェデレーション サービス (AD FS) の多要素認証の条件付きアクセス ポリシーを構成し、デバイスのアクセス トークンの有効期限が切れている場合は、同期が失敗することがあります。 一度サインアウトしてから Windows Hello for Business の PIN を使用してサインインし直すか、他の Azure サービス (Microsoft 365 など) にアクセスしている状態で多要素認証を行ってください。

イベント ビューアー

高度なトラブルシューティング方法として、イベント ビューアーを使って特定のエラーの検出ができるものがあります。 [イベント ビューアー]>[アプリケーションとサービス ログ]>[Microsoft]>[Windows]>[SettingSync-Azure] でイベントを表示します。同期の ID 関連の問題については、[アプリケーションとサービス ログ]>[Microsoft]>[Windows]>[Microsoft Entra ID] に移動します。

既知の問題

MDM ソフトウェアを使ってアプリがサイドロードされたデバイスで、同期が機能しません

Windows 10 Anniversary Update (バージョン 1607) を実行するデバイスに影響します。 イベント ビューアーの SettingSync-Azure ログに、イベント ID 6013 (エラー 80070259) が頻繁に表示されます。

推奨される操作
Windows 10 バージョン 1607 のクライアントに、2016 年 8 月 23 日にリリースされた累積的な更新プログラム (KB3176934 OS ビルド 14393.82) がインストールされていることを確認します。

日付、時刻、地域の設定が、ドメインに参加したデバイスで同期されません

ドメインに参加したデバイスでは、日付、時刻、地域の設定は同期されず、自動時刻が適用されます。 自動時刻を使用すると、他の日付、時刻、地域の設定がオーバーライドされ、これらの設定が同期されない場合があります。

推奨される操作
[なし] :

ドメインに参加したデバイスが企業ネットワークから離れると、同期されません

ドメインに参加して Microsoft Entra ID に登録されたデバイスが長時間企業ネットワークから離れると、同期が失敗して、ドメイン認証が完了しない場合があります。

推奨される操作
デバイスを企業ネットワークに接続し、同期を再開できるようにします。

Microsoft Entra 参加済みデバイスが同期されず、ユーザーのユーザー プリンシパル名に大文字と小文字が混在しています

ユーザーの UPN に大文字と小文字が混在していて (例: username ではなく UserName)、そのユーザーが Windows 10 ビルド 10586 から 14393 にアップグレードした Microsoft Entra 参加済みデバイスを使用している場合、ユーザーのデバイスは同期に失敗する場合があります。

推奨される操作
ユーザーはデバイスをクラウドから離し、デバイスを再度クラウドに参加させる必要があります。 このプロセスを行うには、ローカル管理者ユーザーとしてサインインし、[設定]>[システム]>[バージョン情報] に移動して [職場または学校からの管理または切断] を選択することで、デバイスの参加を解除します。 後述のファイルをクリーンアップし、[設定]>[システム]>[バージョン情報] で [職場または学校への接続] を選択して、デバイスを再度 Microsoft Entra に参加させます。 続けてデバイスを Microsoft Entra ID に参加させ、フローを完了します。

このクリーンアップの手順では、以下のファイルがクリーンアップされます。

  • 次の場所にある Settings.dat C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
  • 次のフォルダーの下にあるすべてのファイル C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account

イベント ID 6065:80070533 このアカウントは現在無効に設定されているため、このユーザーはサインインできません

ユーザーの資格情報の期限が切れている場合、SettingSync/デバッグ ログのイベント ビューアーにこのエラーが表示される場合があります。 しかも、この状況は、テナントで AzureRMS が自動的にプロビジョニングされなかったときに起こる可能性があります。

推奨される操作
最初のケースでは、資格情報を更新して、新しい資格情報でデバイスにサインインします。 AzureRMS の問題を解決するには、KB3193791 に示された手順を実行します。

イベント ID 1098:エラー:0xCAA5001C トークン ブローカーの操作が失敗しました

AAD/操作ログのイベント ビューアーには、このエラーが、Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F と共に表示される場合があります。 アクセス許可や所有権の属性が欠落している場合にこの問題が起こります。

推奨される操作
KB3196528 に示された手順を実行します。

次のステップ

概要については、Enterprise State Roaming の概要に関するページを参照してください。