元の製品バージョン: Windows 10 バージョン 1709 のすべてのエディション、Windows 10 バージョン 1703 のすべてのエディション、Windows 10 バージョン 1511 のすべてのエディション、Windows 10 バージョン 1607 のすべてのエディション
元の KB 番号: 3193683
現象
Microsoft Entra 管理センターと一部の Windows 10 クライアントで Enterprise State Roaming (ESR) を有効にしました。 デスクトップの背景やタスク バーの位置など、同期でサポートされている設定は、同じユーザーのデバイス間で同期されません。 次のイベント 1098 と 1097 は、Microsoft-Windows-AAD/Operational イベント ログに記録されます。
Log Name: Microsoft-Windows-AAD/Operational
Source: Microsoft-Windows-AAD
Event ID: 1098
Task Category: AadTokenBrokerPlugin Operation
Level: Error
Keywords: Error,
Error Computer: Win10client.contoso.com
Description: Error: 0xCAA2000C The request requires user interaction. Code: interaction_required Description: AADSTS50076: The user is required to use multi-factor authentication to access this resource. Please retry with a new authorize request for the resource 'https://syncservice.windows.net/*'. Trace ID: <Trace ID GUID> Correlation ID: <Correlation ID GUID> Timestamp: yyyy-mmmm-dddd 01:30:38Z
TokenEndpoint: https://login.microsoftonline.com/common/oauth2/token Authority: https://login.microsoftonline.com/common
Client ID: <Client ID GUID>
Redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/<Client ID GUID>
Resource: https://syncservice.windows.net/*
Correlation ID (request): <Correlation ID GUID>
Log Name: Microsoft-Windows-AAD/Operational
Source: Microsoft-Windows-AAD
Event ID: 1097 Task Category: AadTokenBrokerPlugin
Operation Level: Warning
Keywords: Operational,
Operational Computer: Win10client.contoso.com
Description: Error: 0xCAA90004 Getting token by refresh token failed.
Authority: https://login.microsoftonline.com/common
Client ID: <Client ID GUID> Redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/<Client ID GUID>
Resource: https://syncservice.windows.net/*
Correlation ID (request): <Correlation ID GUID>
原因
多要素認証 (MFA) が有効になっているため、Enterprise State Roaming ではユーザーに追加の承認を求められません。
解決方法
Microsoft Entra 管理センターで多要素認証を必要とするようにデバイスが構成されている場合、パスワードを使用して Windows 10 デバイスにサインインするときに設定の同期に失敗することがあります。 この種類の多要素認証構成は、Azure 管理者アカウントを保護するためのものです。 管理者ユーザーは、Microsoft Passport for Work PIN を使用して Windows 10 デバイスにサインインするか、Microsoft Office 365 などの他の Azure サービスにアクセスしながら多要素認証を完了することで、同期を行うことができます。
Microsoft Entra 管理者がActive Directory フェデレーション サービス (AD FS)多要素認証の条件付きアクセス ポリシーを構成し、デバイスのアクセス トークンの有効期限が切れると、同期が失敗する可能性があります。 Microsoft Passport for Work PIN を使用してサインインしてサインアウトするか、Office 365 などの他の Azure サービスにアクセスするときに多要素認証を完了してください。
その他の情報
Microsoft は、デバイスで Enterprise State Roaming と MFA 承認が有効になっているエクスペリエンスを向上させる方法を調査しています。
詳細については、「 Settings とデータ ローミングに関する FAQを参照してください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。