Microsoft Entra のデバイス管理に関する FAQ

一般的な FAQ

最近、デバイスを登録しました。 ユーザー情報にデバイスが表示されないのはなぜですか? また、Microsoft Entra にハイブリッド参加済みデバイスのデバイス所有者が N/A とマークされるのはなぜですか?

Microsoft Entra ハイブリッド参加済みの Windows 10 以降のデバイスは、[ユーザー デバイス] には表示されません。 [すべてのデバイス] ビューを使用します。 PowerShell の Get-MsolDevice コマンドレットを使用することもできます。

[ユーザー デバイス] には、次のデバイスだけが表示されます。

  • Microsoft Entra にハイブリッド参加済みではないすべての個人用デバイス。
  • Windows 10 以降でも Windows Server 2016 以降でもないすべてのデバイス。
  • Windows 以外のすべてのデバイス。

クライアントのデバイスの登録状態はどうすればわかりますか?

[すべてのデバイス] に移動します。 デバイス ID を使用してデバイスを検索します。 [結合の種類] 列の値を確認します。 場合によっては、デバイスがリセットまたは再イメージ化されていることがあります。 そのため、デバイスでもデバイス登録状態を確認することが不可欠です。

  • Windows 10 以降および Windows Server 2016 以降のデバイスの場合は、dsregcmd.exe /status を実行します。
  • ダウンレベルの OS バージョンの場合は、%programFiles%\Microsoft Workplace Join\autoworkplace.exe を実行します。

トラブルシューティング情報については、次の記事をご覧ください。

組織のオンプレミス AD ユーザーは、Microsoft Entra ID で 2 つ以上の異なるテナントに分割されています。 クライアント マシン上のテナントごとに Windows PRT を取得できますか?

ユーザーとデバイスが同じテナントに属している場合、Windows クライアントは Microsoft Entra ID から PRT をフェッチします。 デバイスが登録されていない場合、またはユーザーがそこのメンバーでない場合、ユーザーは別のテナントの PRT を取得しません。 2 つのテナントが B2B 経由で相互に信頼している場合は、常にクロス テナント B2B アクセスを作成し、ホーム テナントからデバイス要求を信頼できます。

ユーザー情報にデバイス レコードが表示され、状態が登録済みとして表示されます。 条件付きアクセスを使用するように正しく設定されていますか?

deviceID に表示されたデバイスの参加状態は、Microsoft Entra ID での状態と一致しており、条件付きアクセスの評価基準を満たしている必要があります。 詳細については、条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する方法に関するページを参照してください。

Windows 10/11 デバイスに "Your organization has deleted the device (組織がデバイスを削除しました)" または "Your organization has disabled the device (組織がデバイスを無効にしました)" というエラー メッセージが表示されるのはなぜですか?

Microsoft Entra ID に参加または登録した Windows 10/11 デバイスのユーザーには、シングル サインオンを有効にするプライマリ更新トークン (PRT) が発行されます。 PRT の有効性は、デバイス自体の有効性に基づきます。 デバイス自体からアクションを開始せずに、Microsoft Entra ID でデバイスが削除または無効にされている場合に、このメッセージがユーザーに表示されます。 デバイスは、次のいずれかのシナリオで Microsoft Entra ID で削除または無効にすることができます。

  • ユーザーが、マイ アプリ ポータルからデバイスを無効にする。
  • 管理者 (またはユーザー) が、デバイスを削除または無効にする。
  • Microsoft Entra にハイブリッド参加済みのみ: 管理者が同期スコープからデバイス OU を削除し、その結果、Microsoft Entra ID からデバイスが削除される。
  • Microsoft Entra にハイブリッド参加済みのみ: 管理者がオンプレミスのコンピューター アカウントを無効にし、その結果、Microsoft Entra ID でデバイスが無効になる。
  • Microsoft Entra Connect のバージョン 1.4.xx.x へのアップグレード。 Microsoft Entra Connect 1.4.xx.x とデバイスの消失について理解する

デバイスを無効化または削除しましたが、デバイスのローカル状態にはまだ登録済みと表示されます。 どうすればよいですか。

この操作は設計によるものです。 この場合、デバイスは、クラウドのリソースにアクセスできません。 管理者は、不正なアクセスを防ぐため、古いデバイス、紛失したデバイス、または盗難されたデバイスに対してこのアクションを実行できます。 このアクションを意図せずに実行した場合は、次に示す手順を使用して、デバイスを再度有効にするか再登録する必要があります

  • デバイスが Microsoft Entra ID で無効になっている場合は、十分な特権を持つ管理者が Microsoft Entra 管理センターでデバイスを有効にすることができます。

    Note

    Microsoft Entra Connect を使用してデバイスを同期している場合、Microsoft Entra ハイブリッド参加済みデバイスは、次の同期サイクル中に自動的に再度有効になります。 そのため、Microsoft Entra にハイブリッド参加済みデバイスを無効にする必要がある場合は、オンプレミスの AD から無効にする必要があります。

  • デバイスが Microsoft Entra ID で削除された場合は、デバイスを再登録する必要があります。 再登録するには、デバイスで手動操作を実行する必要があります。 デバイスの状態に基づいて再登録する手順については、次の手順を参照してください。

    Microsoft Entra ハイブリッド参加済み Windows 10/11 および Windows Server 2016/2019 デバイスを再登録するには、次の手順を実行します。

    1. 管理者としてコマンド プロンプトを開きます。
    2. dsregcmd.exe /debug /leave」と入力します。
    3. サインアウトしてからサインインして、デバイスを Microsoft Entra ID に再登録するスケジュール済みタスクをトリガーします。

    Microsoft Entra ハイブリッド参加済みのダウンレベルの Windows OS バージョンの場合は、次の手順を実行します。

    1. 管理者としてコマンド プロンプトを開きます。
    2. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l"」と入力します。
    3. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j"」と入力します。

    Microsoft Entra 参加済み Windows 10/11 デバイスの場合、次の手順を実行します。

    1. 管理者としてコマンド プロンプトを開きます。
    2. dsregcmd /forcerecovery を入力します (このアクションを実行するには、管理者である必要があります)。
    3. 開いたダイアログで "サインイン" をクリックし、サインイン プロセスを続行します。
    4. サインアウトし、デバイスにもう一度サインインして回復を完了します。

    Microsoft Entra 登録済み Windows 10/11 デバイスの場合、次の手順を実行します。

    1. [設定]>[アカウント]>[職場または学校にアクセスする] に移動します。
    2. アカウントを選択し、 [切断] を選択します。
    3. "+ 接続" をクリックし、サインイン プロセスを実行してデバイスを再度登録します。

重複するデバイス エントリが表示されるのはなぜですか?

  • Windows 10 以降および Windows Server 2016 以降の場合、同じデバイスの参加を解除し、再度参加させる操作を繰り返すと、エントリの重複が発生することがあります。
  • [職場または学校アカウントを追加] を使用する各 Windows ユーザーは、同じデバイス名で新しいデバイス レコードを作成します。
  • オンプレミスの Azure Directory ドメインに参加しているダウンレベルの Windows OS バージョンでは、自動登録によって、デバイスにサインインするドメイン ユーザーごとに、同じデバイス名で新しいデバイス レコードが作成されます。
  • Microsoft Entra 参加済みコンピューターをワイプして再インストールし、同じ名前で再度参加させると、同じデバイス名で別のレコードとして表示されます。

Microsoft Entra での Windows 10/11 デバイス登録では、FIPS モードの TPM はサポートされますか?

Windows 10/11 デバイス登録は FIPS 準拠の TPM 2.0 でのみサポートされ、TPM 1.2 ではサポートされていません。 FIPS に準拠している TPM 1.2 がデバイスにある場合は、Microsoft Entra 参加または Microsoft Entra ハイブリッド参加を進める前に、それらを無効にする必要があります。 TPM の FIPS モードを無効にするためのツールは、TPM の製造元に依存するため、Microsoft では提供していません。 サポートが必要な場合は、お使いのハードウェアの OEM にお問い合わせください。

無効にしたデバイスからユーザーがリソースに引き続きアクセスできるのはなぜですか?

Microsoft Entra デバイスが無効とマークされた時点から取り消しが適用されるまで、最大で 1 時間かかります。

Note

登録済みデバイスの場合は、ユーザーがリソースにアクセスできないように、デバイスのワイプを実行することをお勧めします。 詳細については、「デバイス登録とは」を参照してください。

Windows 10/11 デバイス上の同じユーザー セッションで 3 つを超える Microsoft Entra ユーザー アカウントを追加できないのはなぜですか?

Microsoft Entra ID には、Windows 10 1803 以降のリリースでの複数の Microsoft Entra アカウントのサポートが追加されました。 ただし、Windows 10/11 では、トークン要求のサイズを制限し、信頼性の高いシングルサインオン (SSO) を可能にするため、1 つのデバイス上での Microsoft Entra アカウントの数が 3 つに制限されます。 3 つのアカウントが追加されると、後続のアカウントに関するエラーがユーザーに表示されます。 エラー画面の問題に関するその他の情報には、"Add account operation is blocked because accout limit is reached" (アカウントの上限に達したため、アカウントの追加操作がブロックされます) という理由を示すメッセージが表示されます。

Windows 10/11 デバイスに存在する MS-Organization-Access 証明書とは何ですか?

MS-Organization-Access 証明書は、デバイス登録プロセス中に Microsoft Entra デバイス登録サービスによって発行されます。 これらの証明書は、Windows でサポートされているすべての参加形態 (Microsoft Entra 参加済み、Microsoft Entra ハイブリッド参加済みデバイス、Microsoft Entra 登録済みデバイス) に発行されます。 発行後は、デバイスから Primary Refresh Token (PRT) を要求する認証プロセスの中で使用されます。 Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスの場合、この証明書は Local Computer\Personal\Certificates にありますが、Microsoft Entra 登録済みデバイスの場合、証明書は Current User\Personal\Certificates にあります。 すべての MS-Organization-Access 証明書の既定の有効期間は 10 年です。 これらの証明書は、デバイスが Microsoft Entra ID から登録解除されると、対応する証明書ストアから削除されます。 うっかりこの証明書を削除してしまうとユーザーの認証エラーが発生します。そのような場合は、デバイスの再登録が必要となります。

Microsoft Entra への参加に関する FAQ

デバイス上の Microsoft Entra 参加済みデバイスをローカルで参加解除するにはどうすればよいですか?

純粋な Microsoft Entra 参加済みデバイスの場合、オフラインのローカル管理者アカウントを持っているか、作成する必要があります。 Microsoft Entra ユーザーの資格情報ではサインインできません。 次に、 [設定]>[アカウント]>[職場または学校にアクセスする] に移動します。 アカウントを選択し、 [切断] を選択します。 画面の指示に従い、入力を求められたらローカル管理者の資格情報を入力します。 デバイスを再起動して、参加の解除プロセスを完了します。

ユーザーは Microsoft Entra ID で削除されたか無効にされた Microsoft Entra 参加済みデバイスにサインインできますか?

はい。 Windows には、以前にサインインしたユーザーがネットワークに接続していなくてもすばやくデスクトップにアクセスできるようにする、キャッシュされたユーザー名とパスワードの機能があります。

Microsoft Entra ID でデバイスが削除または無効化されても、Windows デバイスにはわかりません。 そのため、以前にサインインしたユーザーは、引き続きキャッシュされたユーザー名とパスワードを使ってデスクトップにアクセスします。 しかし、デバイスは削除または無効化されているため、ユーザーはデバイスベースの条件付きアクセスによって保護されているリソースにアクセスできません。

以前にサインインしたことのないユーザーは、デバイスにはアクセスできません。 そのようなユーザーには、キャッシュされたユーザー名とパスワードが有効になっていません。

無効にされたか削除されたユーザーは、Microsoft Entra 参加済みデバイスにサインインできますか?

はい、ただし限られた期間だけです。 Microsoft Entra ID でユーザーが削除または無効化されても、Windows デバイスはそのことをすぐには認識しません。 そのため、以前にサインインしたユーザーは、キャッシュされたユーザー名とパスワードを使ってデスクトップにアクセスできます。

通常、デバイスが認識するユーザーの状態は、4 時間以内の状態です。 その後は、Windows がそれらのユーザーのデスクトップへのアクセスをブロックします。 ユーザーが Microsoft Entra ID で削除または無効化されると、すべてのトークンが取り消されます。 そのため、ユーザーはリソースにアクセスできなくなります。

削除または無効化されたユーザーのうち、以前にサインインしたことのないユーザーは、デバイスにはアクセスできません。 そのようなユーザーには、キャッシュされたユーザー名とパスワードが有効になっていません。

ゲスト ユーザーは、Microsoft Entra 参加済みデバイスにサインインできますか?

いいえ。現在、ゲスト ユーザーは Microsoft Entra 参加済みデバイスにサインインできません。

ユーザーが Microsoft Entra 参加済みデバイスからプリンターを検索できません。 どうすればそれらのデバイスからの印刷を有効にできますか?

組織は、事前認証を使用して Windows Server ハイブリッド クラウドプリントをデプロイするか、Microsoft Entra 参加済みデバイスのユニバーサル印刷をすることを選択できます。

Microsoft Entra に参加しているリモート デバイスに接続する方法はありますか?

リモート Microsoft Entra 参加済み PC への接続に関するページを参照してください。

ユーザーに "ここからアクセスすることはできません" というメッセージが表示されるのはなぜですか?

特定の条件付きアクセス規則を、特定のデバイスの状態を必要とするように構成しましたか? デバイスが条件を満たしていない場合は、ユーザーがブロックされて、そのメッセージが表示されます。 条件付きアクセス ポリシー規則を評価してください。 このメッセージが表示されないようにするには、デバイスが条件を満たしていることを確認してください。

Microsoft Entra に参加したばかりのデバイスに対して、"ユーザー名またはパスワードが正しくありません" というメッセージが表示されるのはなぜですか?

このシナリオの一般的な理由は次のとおりです。

  • ユーザーの資格情報が有効ではなくなっています。
  • コンピューターが Microsoft Entra ID と通信できません。 ネットワーク接続の問題を確認してください。
  • フェデレーション サインインでは、有効になっていてアクセスできる WS-Trust エンドポイントがフェデレーション サーバーでサポートされている必要があります。
  • パススルー認証が有効になっています。 そのため、サインインするときに一時パスワードを変更する必要があります。

Microsoft Entra 参加済みデバイスでユーザーが一時または期限切れのパスワードを変更するにはどうすればよいですか?

現在、Microsoft Entra 参加済みデバイスでは、ユーザーがロック画面でパスワード変更を求められることはありません。 そのため、一時または期限切れのパスワードを持つユーザーは、Windows にログインした後で、(Microsoft Entra トークンを必要とする) アプリケーションにアクセスしたときにのみ、パスワードを変更するように求められます。

申し訳ありません。 エラーが発生しました PC に Microsoft Entra 参加を行おうとするとダイアログが表示されるのはなぜですか?

このエラーは、適切なライセンスを割り当てずに Intune を使って Microsoft Entra の自動登録を設定すると発生します。 Microsoft Entra への参加を試みているユーザーに、適切な Intune ライセンスが割り当てられていることを確認してください。 詳細については、「Windows デバイスの登録をセットアップする」をご覧ください。

エラー情報が表示されなかったにもかかわらず、PC を Microsoft Entra に参加させることができなかったのはなぜですか?

ユーザーがローカルのあらかじめ登録された Administrator アカウントを使用してデバイスにサインインしていることが原因と考えられます。 Microsoft Entra 参加を使用してセットアップを完了する前に、別のローカル アカウントを作成してください。

P2P Server アプリケーションとは何ですか? なぜテナントに登録されているのですか?

P2P Server アプリケーションは、テナント内の任意の Microsoft Entra 参加済みまたは Microsoft Entra ハイブリッド参加済み Windows デバイスへのリモート デスクトップ プロトコル (RDP) 接続を可能にするために、Microsoft Entra ID によって登録されたアプリケーションです。 このアプリケーションは、Microsoft Entra の証明機関から発行されたテナント全体の証明書を作成します。また、RDP 接続用の RDP デバイスおよびユーザー証明書を発行するために使われます。 これが正しいアプリケーションであることを確認するには、Microsoft Entra 管理センター>[アプリケーション]>[エンタープライズ アプリケーション] で P2P サーバー アプリケーションの [オブジェクト ID] を確認します。 すべてのアプリケーションを表示するには、適用されている既定のフィルターを削除します。 Microsoft Graph API を使ってこの [オブジェクト ID] を比較し、GET /servicePrincipals/{objectid} を使って詳細のクエリを実行し、servicePrincipalNames プロパティが urn:p2p_cert であることを確認します。

Windows 10/11 デバイスに存在する MS-Organization-P2P-Access 証明書とは何ですか?

MS-Organization-P2P-Access 証明書は、Microsoft Entra ID により、Microsoft Entra 参加済みデバイスと Microsoft Entra にハイブリッド参加済みデバイスの両方に発行されます。 これらの証明書を使用して、リモート デスクトップのシナリオで同じテナント内のデバイス間の信頼を可能にします。 1 つの証明書はデバイスに発行され、もう 1 つはユーザーに発行されます。 デバイス証明書は Local Computer\Personal\Certificates 内に存在し、1 日間有効です。 この証明書は、デバイスが Microsoft Entra ID でアクティブなままの場合、(新しい証明書を発行することで) 更新されます。 ユーザー証明書は、永続的ではなく有効期間が 1 時間ですが、ユーザーが別の Microsoft Entra 参加済みデバイスへのリモート デスクトップ セッションを試行すると、オンデマンドで発行されます。 これは期限切れ時に更新されません。 これらの証明書は、両方とも、Local Computer\AAD Token Issuer\Certificates 内に存在する MS-Organization-P2P-Access を使用して発行されます。 この証明書は、デバイスの登録時に Microsoft Entra によって発行されます。

Microsoft Entra 参加済みデバイスでユーザーのキャッシュされたログオンを無効にしたり、キャッシュ ログオンを期限切れにしたりするにはどうすればよいですか?

Microsoft Entra 参加済みデバイスで以前にキャッシュされたログオンを無効にしたり、期限切れにしたりすることはできません。

Microsoft Entra ハイブリッド参加に関する FAQ

Microsoft Entra にハイブリッド参加済みのデバイスをデバイスのローカルで参加解除するにはどうすればよいですか?

Microsoft Entra ハイブリッド参加済みデバイスの場合は、検証の制御に関する記事を参照して、AD での自動登録を無効にしてください。 そうすると、スケジュールされたタスクによってデバイスが再度登録されることはありません。 次に、管理者としてコマンド プロンプトを開き、「dsregcmd.exe /debug /leave」と入力します。 または、このコマンドを複数のデバイスに対するスクリプトとして実行し、一括で参加を解除します。

Microsoft Entra ハイブリッド参加機能のエラーの診断に関するトラブルシューティング情報はどこにありますか?

Microsoft Entra ハイブリッド参加済みの Windows 10/11 デバイスの Microsoft Entra 登録済みレコードが、Microsoft Entra デバイスの一覧に重複して表示されるのはなぜですか?

ユーザーがドメイン参加済みデバイス上のアプリに各自のアカウントを追加すると、[アカウントを Windows に追加しますか?] というプロンプトが表示されることがあります。プロンプトで "はい" と入力すると、デバイスが Microsoft Entra ID に登録されます。 信頼の種類は Microsoft Entra 登録済みとしてマークされます。 組織で Microsoft Entra ハイブリッド参加を有効にすると、デバイスも Microsoft Entra にハイブリッド参加済みとなります。 それにより、同じデバイスに対して、2 つのデバイスの状態が表示されます。

ほとんどの場合、Microsoft Entra ハイブリッド参加は Microsoft Entra 登録済み状態よりも優先されます。その結果、お客様のデバイスは、認証および条件付きアクセスの評価で Microsoft Entra ハイブリッド参加済みと見なされます。 しかし場合によっては、この二重状態が原因でデバイスの評価が非決定的になり、アクセスの問題が発生する可能性があります。 Microsoft Entra 登録済み状態が自動的にクリーンアップされる Windows 10 バージョン 1803 以降にアップグレードすることをお勧めします。 Windows 10 マシンでこの二重状態を回避またはクリーンアップする方法を確認してください。

UPN の変更後、Microsoft Entra ハイブリッド参加済みの Windows 10 デバイスでユーザーに問題が生じるのはなぜですか?

UPN の変更は、Windows 10 2004 の更新プログラムでサポートされるほか、Windows 11 でも対応しています。 この更新プログラムがインストールされたデバイスのユーザーには、UPN の変更後も問題は発生しません。

以前のバージョンの Windows 10 での UPN の変更は、Microsoft Entra ハイブリッド参加済みデバイスでは完全にはサポートされていません。 UPN の変更後、ユーザーはデバイスにサインインして、オンプレミス アプリケーションにアクセスできますが、Microsoft Entra ID での認証は失敗します。 その結果、ユーザーのデバイスで SSO と条件付きアクセスの問題が生じます。 この問題を解決するには、Microsoft Entra ID からデバイスの参加を解除 (昇格された特権を使用して "dsregcmd /leave" を実行) し、再度参加する (自動的に行われる) 必要があります。

Microsoft Entra ハイリッド参加済みの Windows 10/11 デバイスには、クラウド リソースにアクセスするためのドメイン コントローラーへの通信経路が必要ですか?

ユーザーのパスワードが変更された場合を除いて、必要ありません。 Windows 10/11 の Microsoft Entra ハイブリッド参加が完了した後に、ユーザーが少なくとも 1 回サインインすると、そのデバイスにはクラウド リソースにアクセスするためのドメイン コントローラーへの通信経路は不要になります。 Windows 10/11 では、インターネット接続があればどこからでも Microsoft Entra アプリケーションへのシングル サインオンが実現できますが、パスワードが変更された場合は例外です。 Windows Hello for Business でサインインしているユーザーは、パスワード変更後、ドメイン コントローラーへの通信経路がなくても、引き続き Microsoft Entra アプリケーションへのシングル サインオンを利用できます。

ユーザーがパスワードを変更し、企業ネットワークの外部から Microsoft Entra ハイブリッド参加済みの Windows 10/11 デバイスにサインインしようとするとどうなりますか?

パスワードを企業ネットワークの外部で (たとえば、Microsoft Entra SSPR を使用して) 変更した場合、新しいパスワードを使用したユーザー サインインは失敗します。 Microsoft Entra ハイブリッド参加済みデバイスでは、オンプレミスの Active Directory がプライマリ機関です。 デバイスがドメイン コントローラーに対する通信経路を持たない場合、そのデバイスは新しいパスワードを検証できません。 このため、新しいパスワードでデバイスにサインインするためには、ユーザーはドメイン コントローラーとの接続を (VPN 経由または企業ネットワーク内のいずれかから) 確立する必要があります。 そうしないと、Windows でのキャッシュされたサインインの機能により、古いパスワードでしかサインインできません。 ただし、古いパスワードはトークン要求中に Microsoft Entra ID によって無効にされます。そのため、ユーザーがアプリまたはブラウザーで新しいパスワードを使用して認証されるまで、シングル サインオンはできず、デバイスベースの条件付きアクセス ポリシーは失敗します。 Microsoft Entra 参加済みデバイスを使用している場合、この問題は発生しません。

Microsoft Entra 登録に関する FAQ

デバイスの Microsoft Entra 登録済み状態をローカルで削除するにはどうすればよいですか?

  • Windows 10/11 の Microsoft Entra 登録済みデバイスの場合、[設定]>[アカウント]>[職場または学校にアクセスする] に移動します。 アカウントを選択し、 [切断] を選択します。 デバイスの登録は、Windows 10/11 のユーザー プロファイルごとに行います。
  • iOS および Android の場合は、Microsoft Authenticator アプリケーションの [設定]>[デバイスの登録] で、 [デバイスの登録を解除する] を選択します。
  • macOS の場合は、Microsoft Intune ポータル サイト アプリケーションを使用して、管理対象からデバイスを登録解除して、登録を削除することができます。

Windows 10 バージョン 2004 以降の場合、このプロセスは、Workplace Join (WPJ) 削除ツールを使用して自動化できます。

Note

このツールでは、デバイス上のすべての SSO アカウントが削除されます。 この操作の後、すべてのアプリケーションは SSO 状態を失い、デバイスは管理ツール (MDM) から登録解除され、クラウドから登録解除されます。 次回アプリケーションでサインインが試みられたときに、アカウントを再度追加するように求められます。

ユーザーが会社の Windows 10/11 デバイスに職場アカウント (Microsoft Entra 登録済み) を追加できないようにするにはどうすればよいですか?

次のレジストリを有効にすると、会社のドメインに参加済み、Microsoft Entra 参加済み、または Microsoft Entra ハイブリッド参加済みの Windows 10/11 デバイスに、ユーザーが職場アカウントを追加できなくなります。 このポリシーを使用すると、ドメイン参加済みマシンを誤って同じユーザー アカウントで Microsoft Entra に登録するのを防ぐこともできます。

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001