Azure Active Directory デバイス管理の FAQ

Hybrid Azure AD Join を使用したの Windows 10 以降のデバイスは、[ユーザー デバイス] には表示されません。 Azure portal の [すべてのデバイス] ビューを使用してください。 PowerShell の Get-MsolDevice コマンドレットを使用することもできます。

[ユーザー デバイス] には、次のデバイスだけが表示されます。

• Hybrid Azure AD Join を使用したではないすべての個人用デバイス。
• Windows 10 以降でも Windows Server 2016 以降でもないすべてのデバイス。
• Windows 以外のすべてのデバイス。

Azure portal で [すべてのデバイス] に移動します。 デバイス ID を使用してデバイスを検索します。 [結合の種類] 列の値を確認します。 場合によっては、デバイスがリセットまたは再イメージ化されていることがあります。 そのため、デバイスでもデバイス登録状態を確認することが不可欠です。

• Windows 10 以降および Windows Server 2016 以降のデバイスの場合は、dsregcmd.exe /status を実行します。
• ダウンレベルの OS バージョンの場合は、%programFiles%\Microsoft Workplace Join\autoworkplace.exe を実行します。

トラブルシューティング情報については、次の記事をご覧ください。

• dsregcmd コマンドを使用したデバイスのトラブルシューティング
• Windows 10 と Windows Server 2016 のハイブリッド Azure Active Directory 参加済みデバイスのトラブルシューティング
• ハイブリッド Azure Active Directory 参加済みダウンレベル デバイスのトラブルシューティング

deviceID に表示されたデバイスの参加状態は、Azure AD での状態と一致しており、条件付きアクセスの評価基準を満たしている必要があります。 詳細については、条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する方法に関するページを参照してください。

Azure AD に参加または登録した Windows 10/11 デバイスで、シングル サインオンを有効にするプライマリ更新トークン (PRT) がユーザーに発行されます。 PRT の有効性は、デバイス自体の有効性に基づきます。 デバイス自体からアクションを開始せずに、Azure AD でデバイスが削除または無効にされている場合に、このメッセージがユーザーに表示されます。 デバイスは、次のいずれかのシナリオで Azure AD で削除または無効にすることができます。

• ユーザーが、マイ アプリ ポータルからデバイスを無効にする。
• 管理者 (またはユーザー) が、Azure portal で、または PowerShell を使用して、デバイスを削除または無効化する
• Hybrid Azure AD Join を使用したのみ:管理者が同期スコープからデバイス OU を削除し、その結果デバイスが Azure AD から削除される
• Azure AD Connect のバージョン 1.4.xx.x へのアップグレード。 「Azure AD Connect 1.4.xx.x およびデバイスの消失について」を参照してください。

この操作は設計によるものです。 この場合、デバイスは、クラウドのリソースにアクセスできません。 管理者は、不正なアクセスを防ぐため、古いデバイス、紛失したデバイス、または盗難されたデバイスに対してこのアクションを実行できます。 このアクションを意図せずに実行した場合は、次に示す手順を使用して、デバイスを再度有効にするか再登録する必要があります

• デバイスが Azure AD で無効になっている場合は、十分な特権を持つ管理者が Azure portal からデバイスを有効にすることができます

  注意

  Azure AD Connect を使用してデバイスを同期している場合、Hybrid Azure AD 参加済みデバイスは、次の同期サイクル中に自動的に再度有効になります。 そのため、Hybrid Azure AD Join を使用したデバイスを無効にする必要がある場合は、オンプレミスの AD から無効にする必要があります

• デバイスが Azure AD で削除された場合は、デバイスを再登録する必要があります。 再登録するには、デバイスで手動操作を実行する必要があります。 デバイスの状態に基づいて再登録する手順については、次の手順を参照してください。

  Hybrid Azure AD Join を使用した Windows 10/11 および Windows Server 2016/2019 デバイスを再登録するには、次の手順を実行します。

  1. 管理者としてコマンド プロンプトを開きます。
  2. 「dsregcmd.exe /debug /leave」と入力します。
  3. サインアウトしてからサインインして、デバイスを Azure AD に再登録するスケジュール済みタスクをトリガーします。

  Hybrid Azure AD に参加済みのダウンレベルの Windows OS バージョンの場合は、次の手順を実行します。

  1. 管理者としてコマンド プロンプトを開きます。
  2. 「"%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"」と入力します。
  3. 「"%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"」と入力します。

  Azure AD Join を使用した Windows 10/11 デバイスの場合、次の手順を実行します。

  1. 管理者としてコマンド プロンプトを開きます。
  2. dsregcmd /forcerecovery を入力します (このアクションを実行するには、管理者である必要があります)。
  3. 開いたダイアログで "サインイン" をクリックし、サインイン プロセスを続行します。
  4. サインアウトし、デバイスにサインインし直して、復旧を完了します。

  Azure AD 登録済み Windows 10/11 デバイスの場合、次の手順を実行します。

  1. [設定]>[アカウント]>[職場または学校にアクセスする] に移動します。
  2. アカウントを選択し、 [切断] を選択します。
  3. "+ 接続" をクリックし、サインイン プロセスを実行してデバイスを再度登録します。

• Windows 10 以降および Windows Server 2016 以降の場合、同じデバイスの参加を解除し、再度参加させる操作を繰り返すと、エントリの重複が発生することがあります。
• [職場または学校アカウントを追加] を使用する各 Windows ユーザーは、同じデバイス名で新しいデバイス レコードを作成します。
• オンプレミスの Azure Directory ドメインに参加しているダウンレベルの Windows OS バージョンでは、自動登録によって、デバイスにサインインするドメイン ユーザーごとに、同じデバイス名で新しいデバイス レコードが作成されます。
• Azure AD Join を使用したコンピューターをワイプして再インストールし、同じ名前で再度参加させると、同じデバイス名で別のレコードとして表示されます。

Windows 10/11 デバイス登録は FIPS 準拠の TPM 2.0 でのみサポートされ、TPM 1.2 ではサポートされていません。 デバイスが FIPS 準拠の TPM 1.2 を使用している場合は、Azure AD 参加または Hybrid Azure AD 参加に進む前に、それを無効にする必要があります。 TPM の FIPS モードを無効にするためのツールは、TPM の製造元に依存するため、Microsoft では提供していません。 サポートが必要な場合は、お使いのハードウェアの OEM にお問い合わせください。

Azure AD デバイスが無効とマークされた時点から取り消しが適用されるまで、最大で 1 時間かかります。

Azure AD には、Windows 10 1803 以降のリリースでの複数の Azure AD アカウントのサポートが追加されました。 ただし、Windows 10/11 では、トークン要求のサイズを制限し、信頼性の高いシングルサインオン (SSO) を可能にするため、1 つのデバイス上での Azure AD アカウントの数が 3 つに制限されます。 3 つのアカウントが追加されると、後続のアカウントに関するエラーがユーザーに表示されます。 エラー画面の問題に関するその他の情報には、"Add account operation is blocked because accout limit is reached" (アカウントの上限に達したため、アカウントの追加操作がブロックされます) という理由を示すメッセージが表示されます。

MS-Organization-Access 証明書は、Azure AD Device Registration サービスによってデバイス登録プロセス中に発行されます。 これらの証明書は、Windows でサポートされるすべての参加タイプ (Azure AD Join を使用したデバイス、Hybrid Azure AD Join を使用したデバイス、Azure AD 登録済みデバイス) に発行されます。 発行後は、デバイスから Primary Refresh Token (PRT) を要求する認証プロセスの中で使用されます。 この証明書は、Azure AD Join と Hybrid Azure AD Join を使用したデバイスでは Local Computer\Personal\Certificates に、Azure AD 登録済みデバイスでは Current User\Personal\Certificates に置かれます。 すべての MS-Organization-Access 証明書の既定の有効期間は 10 年ですが、対応する証明書ストアからそれらの証明書が削除されるのは、Azure AD からデバイスの登録が解除されたタイミングとなります。 うっかりこの証明書を削除してしまうとユーザーの認証エラーが発生します。そのような場合は、デバイスの再登録が必要となります。

純粋な Azure AD Join を使用したデバイスの場合、オフラインのローカル管理者アカウントを持っているか、作成する必要があります。 Azure AD ユーザーの資格情報ではサインインできません。 次に、 [設定]>[アカウント]>[職場または学校にアクセスする] に移動します。 アカウントを選択し、 [切断] を選択します。 画面の指示に従い、入力を求められたらローカル管理者の資格情報を入力します。 デバイスを再起動して、参加の解除プロセスを完了します。

はい。 Windows には、以前にサインインしたユーザーがネットワークに接続していなくてもすばやくデスクトップにアクセスできるようにする、キャッシュされたユーザー名とパスワードの機能があります。

Azure AD でデバイスが削除または無効化されても、Windows デバイスにはわかりません。 そのため、以前にサインインしたユーザーは、引き続きキャッシュされたユーザー名とパスワードを使ってデスクトップにアクセスします。 しかし、デバイスは削除または無効化されているため、ユーザーはデバイスベースの条件付きアクセスによって保護されているリソースにアクセスできません。

以前にサインインしたことのないユーザーは、デバイスにはアクセスできません。 そのようなユーザーには、キャッシュされたユーザー名とパスワードが有効になっていません。

はい、ただし限られた期間だけです。 Azure AD でユーザーが削除または無効化されても、Windows デバイスはそのことをすぐには認識しません。 そのため、以前にサインインしたユーザーは、キャッシュされたユーザー名とパスワードを使ってデスクトップにアクセスできます。

通常、デバイスが認識するユーザーの状態は、4 時間以内の状態です。 その後は、Windows がそれらのユーザーのデスクトップへのアクセスをブロックします。 ユーザーが Azure AD で削除または無効化されると、すべてのトークンが取り消されます。 そのため、ユーザーはリソースにアクセスできなくなります。

削除または無効化されたユーザーのうち、以前にサインインしたことのないユーザーは、デバイスにはアクセスできません。 そのようなユーザーには、キャッシュされたユーザー名とパスワードが有効になっていません。

いいえ。現在、ゲスト ユーザーは Azure AD Join を使用したデバイスにサインインできません。

Azure AD Join を使用したデバイス用にプリンターをデプロイするには、事前認証を使用した Windows Server ハイブリッド クラウド印刷のデプロイに関するページを参照してください。 ハイブリッド クラウド印刷には、Windows Server がオンプレミスで必要です。 現在、クラウドベースの印刷サービスは利用できません。

「Azure Active Directory に参加しているリモート PC への接続」をご覧ください。

特定の条件付きアクセス規則を、特定のデバイスの状態を必要とするように構成しましたか? デバイスが条件を満たしていない場合は、ユーザーがブロックされて、そのメッセージが表示されます。 条件付きアクセス ポリシー規則を評価してください。 このメッセージが表示されないようにするには、デバイスが条件を満たしていることを確認してください。

このシナリオの一般的な理由は次のとおりです。

• ユーザーの資格情報が有効ではなくなっています。
• コンピューターが Azure Active Directory と通信できません。 ネットワーク接続の問題を確認してください。
• フェデレーション サインインでは、有効になっていてアクセスできる WS-Trust エンドポイントがフェデレーション サーバーでサポートされている必要があります。
• パススルー認証が有効になっています。 そのため、サインインするときに一時パスワードを変更する必要があります。

現在、Azure AD 参加済みデバイスでは、ユーザーがロック画面でパスワード変更を求められることはありません。 そのため、一時または期限切れのパスワードを持つユーザーは、Windows にログインした後で、(Azure AD トークンを必要とする) アプリケーションにアクセスしたときにのみパスワードを変更するように求められます。

このエラーは、適切なライセンスを割り当てずに Intune への Azure Active Directory の自動登録を設定すると発生します。 Azure AD への参加を試みているユーザーに、適切な Intune ライセンスが割り当てられていることを確認してください。 詳細については、「Windows デバイスの登録をセットアップする」をご覧ください。

ユーザーがローカルのあらかじめ登録された Administrator アカウントを使用してデバイスにサインインしていることが原因と考えられます。 Azure Active Directory Join を使用してセットアップを完了する前に、別のローカル アカウントを作成してください。

MS-Organization-P2P-Access 証明書は、Azure AD によって Azure AD Join を使用したデバイスとHybrid Azure AD Join を使用したデバイスの両方に発行されます。 これらの証明書を使用して、リモート デスクトップのシナリオで同じテナント内のデバイス間の信頼を可能にします。 1 つの証明書はデバイスに発行され、もう 1 つはユーザーに発行されます。 デバイス証明書は Local Computer\Personal\Certificates 内に存在し、1 日間有効です。 この証明書は、デバイスが Azure AD でアクティブなままの場合、(新しい証明書を発行することで) 更新されます。 ユーザー証明書は、永続的ではなく 1 時間有効ですが、ユーザーが別の Azure AD 参加済みデバイスへのリモート デスクトップ セッションを試行すると、オンデマンドで発行されます。 これは期限切れ時に更新されません。 これらの証明書は、両方とも、Local Computer\AAD Token Issuer\Certificates 内に存在する MS-Organization-P2P-Access を使用して発行されます。 この証明書は、デバイスの登録時に Azure AD によって発行されます。

Azure AD 参加済みデバイスで以前にキャッシュされたログオンを無効にしたり、期限切れにしたりすることはできません。

Hybrid Azure AD Join を使用したデバイスの場合は、検証の制御に関する記事を参照して、AD での自動登録を無効にしてください。 そうすると、スケジュールされたタスクによってデバイスが再度登録されることはありません。 次に、管理者としてコマンド プロンプトを開き、「dsregcmd.exe /debug /leave」と入力します。 または、このコマンドを複数のデバイスに対するスクリプトとして実行し、一括で参加を解除します。

トラブルシューティング情報については、次の記事をご覧ください。

• Windows 10 と Windows Server 2016 のハイブリッド Azure Active Directory 参加済みデバイスのトラブルシューティング
• ハイブリッド Azure Active Directory 参加済みダウンレベル デバイスのトラブルシューティング

ユーザーがドメイン参加済みデバイス上のアプリに各自のアカウントを追加すると、[アカウントを Windows に追加しますか?] というプロンプトが表示されることがあります。プロンプトで "はい" と入力すると、デバイスが Azure AD に登録されます。 信頼の種類は Azure AD 登録済みとしてマークされます。 ご自身の組織で Hybrid Azure AD Join を有効にすると、デバイスは、Hybrid Azure AD Join を使用したになります。 それにより、同じデバイスに対して、2 つのデバイスの状態が表示されます。

ほとんどの場合、Hybrid Azure AD Join は Azure AD 登録済み状態よりも優先されます。その結果、お客様のデバイスは、認証および条件付きアクセスの評価で Hybrid Azure AD Join を使用しているものと見なされます。 しかし場合によっては、この二重状態が原因でデバイスの評価が非決定的になり、アクセスの問題が発生する可能性があります。 Azure AD 登録済み状態が自動的にクリーンアップされる Windows 10 バージョン 1803 以降にアップグレードすることをお勧めします。 Windows 10 マシンでこの二重状態を回避またはクリーンアップする方法を確認してください。

現在、ハイブリッド Azure AD 参加済みデバイスでの UPN の変更は完全にはサポートされていません。 UPN の変更後、ユーザーはデバイスにサインインして、オンプレミス アプリケーションにアクセスできますが、Azure AD での認証は失敗します。 その結果、ユーザーのデバイスで SSO と条件付きアクセスの問題が生じます。 現時点では、この問題を解決するには、Azure AD からデバイスの参加を解除 (昇格された特権を使用して "dsregcmd /leave" を実行) し、再度参加する (自動的に行われる) 必要があります。

UPN の変更は、Windows 10 2004 の更新プログラムでサポートされるほか、Windows 11 でも対応しています。 この更新プログラムがインストールされたデバイスのユーザーには、UPN の変更後も問題は発生しません

ユーザーのパスワードが変更された場合を除いて、必要ありません。 Windows 10/11 のHybrid Azure AD の参加が完了した後に、ユーザーが少なくとも 1 回サインインすると、そのデバイスにはクラウド リソースにアクセスするためのドメイン コントローラーへの通信経路は不要になります。 Windows 10/11 では、インターネット接続があればどこからでも Azure AD アプリケーションへのシングル サインオンが実現できますが、パスワードが変更された場合は例外です。 Windows Hello for Business でサインインしているユーザーは、パスワード変更後、ドメイン コントローラーへの通信経路がなくても、引き続き Azure AD アプリケーションへのシングル サインオンを利用できます。

パスワードを企業ネットワークの外部で (たとえば、Azure AD SSPR を使用して) 変更した場合、新しいパスワードを使用したユーザー サインインは失敗します。 Hybrid Azure AD Join を使用したデバイスの場合、オンプレミスの Active Directory がプライマリ機関です。 デバイスがドメイン コントローラーに対する通信経路を持たない場合、そのデバイスは新しいパスワードを検証できません。 このため、新しいパスワードでデバイスにサインインするためには、ユーザーはドメイン コントローラーとの接続を (VPN 経由または企業ネットワーク内のいずれかから) 確立する必要があります。 そうしないと、Windows でのキャッシュされたサインインの機能により、古いパスワードでしかサインインできません。 ただし、古いパスワードはトークン要求中に Azure AD によって無効にされます。そのため、ユーザーがアプリまたはブラウザーで新しいパスワードを使用して認証されるまで、シングル サインオンはできず、デバイスベースの条件付きアクセス ポリシーは失敗します。 この問題は、Windows Hello for Business を使用する場合は生じません。

• Windows 10/11 Azure AD 登録済みデバイスの場合、[設定]>[アカウント]>[職場または学校にアクセスする] に移動します。 アカウントを選択し、 [切断] を選択します。 デバイスの登録は、Windows 10/11 のユーザー プロファイルごとに行います。
• iOS および Android の場合は、Microsoft Authenticator アプリケーションの [設定]>[デバイスの登録] で、 [デバイスの登録を解除する] を選択します。
• macOS の場合は、Microsoft Intune ポータル サイト アプリケーションを使用して、管理対象からデバイスを登録解除して、登録を削除することができます。

Windows 10 バージョン 2004 以降の場合、このプロセスは、Workplace Join (WPJ) 削除ツールを使用して自動化できます。

次のレジストリを有効にすると、会社のドメインに参加済み、Azure AD 参加済み、またはハイブリッド Azure AD 参加済みの Windows 10/11 デバイスに、ユーザーが職場アカウントを追加できなくなります。 このポリシーを使用すると、ドメイン参加済みマシンを誤って同じユーザー アカウントで Azure AD に登録するのを防ぐこともできます。

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

はい。ただし、ハイブリッドのお客様が Azure デバイス登録サービスを利用してのみ可能となります。 Active Directory フェデレーション サービス (AD FS) のオンプレミス デバイス登録サービスではサポートされていません。

次の手順を実行します。

1. コンプライアンス ポリシーを作成する
2. macOS デバイスの条件付きアクセス ポリシーを定義する

備考:

• 条件付きアクセス ポリシーに含まれているユーザーがリソースにアクセスするには、macOS でサポートされているバージョンの Office が必要です。
• 最初のアクセス試行中に、ユーザーは、会社のポータルを使用してデバイスを登録するよう求められます。

次のステップ

• Azure AD 登録済みデバイスについて学習する
• Azure AD Join 済みデバイスについて学習する
• Hybrid Azure AD Join を使用したデバイスについて学習する
• Microsoft エラー ルックアップ ツール