マルチアプリ キオスク プロファイルが割り当てられている場合、ユーザーは Windows にログオンできません

この記事では、マルチアプリ キオスク プロファイルが割り当てられている場合、ユーザーが参加しているMicrosoft Entra Windows 10 コンピューターにログオンできない問題を解決するのに役立ちます。

現象

ユーザーがマルチアプリ キオスク プロファイルが割り当てられているMicrosoft Entra参加Windows 10コンピューターにログオンしようとすると、ユーザー プロファイルが読み込まれる直前に試行が失敗します。

この状況では、キオスク プロファイルのログオンの種類がユーザーまたはグループMicrosoft Entra。 さらに、Windows 10 コンピューターではローカル アカウントが使用され、イベント ビューアー ログに次のエラー メッセージが表示されます。

• Microsoft Entra ID - 運用ログ (サンプル 1 - 条件付きアクセスを介して MFA が必要):

  ログ名: Microsoft-Windows-AAD/Operational
  ソース: Microsoft-Windows-AAD
  日付: <タイムスタンプ>
  イベント ID: 1098
  タスク カテゴリ: AadTokenBrokerPlugin 操作
  レベル: エラー
  キーワード: エラー、エラー
  ユーザー: <ユーザー SID>
  コンピューター: <コンピューター名>
  説明:
  エラー: 0xCAA2000C 要求にはユーザーの操作が必要です。
  コード: interaction_required
  説明: AADSTS50076: 管理者によって行われた構成の変更、または新しい場所に移動したため、多要素認証を使用して '0000003-0000-0000-c000-000000000' にアクセスする必要があります。

• Microsoft Entra ID - 運用ログ (サンプル 2 - 条件付きアクセスで必要な使用条件 (TOU)):

  ログ名: Microsoft-Windows-AAD/Operational
  ソース: Microsoft-Windows-AAD
  日付: <タイムスタンプ>
  イベント ID: 1098
  タスク カテゴリ: AadTokenBrokerPlugin 操作
  レベル: エラー
  キーワード: エラー、エラー
  ユーザー: <ユーザー SID>
  コンピューター: <コンピューター名>
  説明:
  エラー: 0xCAA2000C 要求にはユーザーの操作が必要です。
  コード: interaction_required
  説明: AADSTS50158: 外部セキュリティ チャレンジが満たされていません。 ユーザーは、追加の認証の課題を満たすために別のページまたは認証プロバイダーにリダイレクトされます。

• 割り当てられたアクセス - 管理 ログ:

  ログ名: Microsoft-Windows-AssignedAccess/管理
  ソース: Microsoft-Windows-AssignedAccess
  日付: <タイムスタンプ>
  イベント ID: 31000
  タスク カテゴリ: 現在のユーザーに割り当てられたアクセスを適用します。
  レベル: エラー
  ユーザー: <ユーザー SID>
  コンピューター: <コンピューター名>
  説明:
  エラー 現在のユーザーに割り当てられたアクセスを適用してサインアウトするエラーが未指定です。...

原因

この動作は仕様です。

この問題は、ユーザーがユーザー操作を必要とする条件付きアクセス ポリシーを対象としているために発生します。 たとえば、多要素認証 (MFA)、使用条件 (TOU) などです。

ソリューション

この問題を解決するには、MFA や TOU などのユーザー操作を必要とする条件付きアクセス ポリシーからキオスク ユーザーを除外します。

キオスク ユーザーが MFA に対して有効になっている場合は、MFA がマルチアプリ キオスク モードのシナリオでは現在サポートされていないため、無効にします。