Azure ネットワーク接続のトラブルシューティング

Azure ネットワーク接続 (ANC) は、環境を定期的にチェックして、すべての要件が満たされていること、および正常な状態であることを確認します。 チェックが失敗した場合は、Microsoft Intune 管理センターにエラー メッセージが表示されます。 このガイドには、チェックが失敗する可能性がある問題をトラブルシューティングするための手順が含まれています。

Active Directory ドメイン参加

クラウド PC がプロビジョニングされると、指定されたドメインに自動的に参加します。 ドメイン参加プロセスをテストするために、Windows 365 の正常性チェックが実行されるたびに、"CPC-Hth" のような名前のドメイン コンピューター オブジェクトが定義された組織単位 (OU) に作成されます。 これらのコンピューター オブジェクトは、正常性チェックが完了すると無効になります。 Active Directory ドメイン参加エラーは、さまざまな理由で発生する可能性があります。 ドメイン参加が失敗した場合は、次の点を確認します。

• ドメイン参加ユーザーには、指定されたドメインに参加するための十分なアクセス許可があります。
• ドメイン参加ユーザーは、指定された OU に書き込むことができます。
• ドメイン参加ユーザーは、参加できるコンピューターの数に制限されません。 たとえば、ユーザーあたりの既定の最大参加数は 10 であり、この最大値はクラウド PC プロビジョニングに影響を与える可能性があります。
• 使用されているサブネットは、ドメイン コントローラーに到達できます。
• クラウド PC vNet/サブネットに接続されている仮想マシン (VM) でドメイン参加資格情報を使用して、 Add-Computer をテストします。
• 組織内の物理コンピューターと同様に、ドメイン参加エラーのトラブルシューティングを行います。
• インターネット ( contoso.com など) で解決できるドメイン名がある場合は、ドメイン ネーム システム (DNS) サーバーが内部として構成されていることを確認します。 また、パブリック ドメイン名ではなく、Active Directory ドメインの DNS レコードを解決できることを確認します。

ANC 正常性チェックで次のエラーが発生した場合は、Azure とオンプレミスの構成が必要な Windows 365 エンドポイントに正常に到達できるように、次の 2 つのセクションの推奨事項を検討してください。

内部サーバー エラー

内部サーバーエラー: DSCスクリプトを実行できません

ドメイン コントローラーの視界

組織内のドメイン コントローラーとの通信を成功させるには、ハイブリッド ドメインに参加しているクラウド PC を許可するように ANC を構成することが不可欠です。 ANC 接続に使用される Azure vNet にドメイン コントローラーへのネットワーク ルートがあることを確認し、DNS セットアップで正常に解決できることを確認します。

注

このセクションは、ハイブリッド環境にのみ適用されます。

ANC の Windows リモート管理 (WinRM) 要件

ANC セットアップを完了するには WinRM が必要です。

プロビジョニングを成功させるには、プロビジョニング ポリシーで使用されるグループに対して、グループ ポリシー オブジェクト (GPO) または Microsoft Intune 構成サービス プロバイダー (CSP) を使用して、WinRM が特定の IP アドレスに制限されていないことを確認します。 WinRM は、任意の IP アドレスからのネットワーク要求を許可するように構成する必要があります。

詳細については、GPO の構成または Intune CSPに関するページを参照してください。

ANC エンドポイント アクセス

ANC の構成中、サービスは ネットワーク要件に記載されているさまざまな Microsoft エンドポイントから構成データをダウンロードする必要があります。 ネットワーク設定が正しく構成されていないことが原因でこれらのエンドポイントに到達できないと、エラーが発生する可能性があります。 アクセスを確実に成功させるには、ANC 接続に使用される vNET でトランスポート層セキュリティ (TLS) 検査を回避する必要があります。 使用されている Azure vNet を介してこれらのエンドポイントを正常に解決して到達できることを確認し、ネットワーク内で使用されているファイアウォール、プロキシ、またはその他のネットワーク サービスがそれらのエンドポイントへのアクセスを許可していることを確認します。

Microsoft Entra デバイス同期

プロビジョニング中にモバイル デバイス管理 (MDM) 登録を行う前に、クラウド PC に Microsoft Entra ID オブジェクトが存在する必要があります。 このチェックは、組織のコンピューター アカウントがタイムリーに Microsoft Entra ID に同期されていることを確認するためのものです。

Microsoft Entra コンピューター オブジェクトが Microsoft Entra ID にすばやく表示されていることを確認します。 30 分以内に表示し、60 分以内に表示することをお勧めします。 コンピューター オブジェクトが 90 分以内に Microsoft Entra ID に到着しない場合、プロビジョニングは失敗します。

プロビジョニングが失敗した場合は、次の点を確認します。

• Microsoft Entra ID の同期期間の構成は適切に設定されます。 ID チームと話して、ディレクトリが十分に高速に同期されていることを確認します。
• Microsoft Entra ID はアクティブで正常です。
• Microsoft Entra Connect は正常に実行されており、同期サーバーに問題はありません。
• クラウド PC 用に提供されている OU に Add-Computer を手動で実行します。 そのコンピューター オブジェクトが Microsoft Entra ID に表示されるまでにかかる時間。

注

推奨される構成が正しく設定され、プロビジョニングエラーがないことを確認した後に Entra ID 同期の警告 を受け取った場合は、それ以上の操作は必要ありません。 この警告は、同期が完了した直後にチェックが実行された場合に発生する可能性があります。

Azure サブネットの IP アドレス範囲の使用状況

ANC セットアップの一環として、クラウド PC が接続するサブネットを指定する必要があります。 クラウド PC ごとに、プロビジョニングによって仮想 NIC が作成され、このサブネットから IP アドレスが使用されます。

プロビジョニングするクラウド PC の数に対して十分な IP アドレス割り当てが使用可能であることを確認します。 また、プロビジョニングの失敗と潜在的なディザスター リカバリーのための十分なアドレス空間を計画します。

このチェックが失敗した場合は、次のことを確認してください。

• Azure 仮想ネットワーク内のサブネットを確認します。 十分なアドレス空間が使用可能である必要があります。
• 3 回のプロビジョニング再試行を処理するのに十分なアドレスがあることを確認します。各アドレスは、数時間使用されるネットワーク アドレスに保持される可能性があります。
• 未使用の仮想ネットワーク インターフェイス カード (vNIC) を削除します。 クラウド PC 用の専用サブネットを使用して、他のサービスが IP アドレスの割り当てを使用していないことを確認することをお勧めします。
• サブネットを展開して、使用可能なアドレスを増やします。 デバイスが接続されている場合、これは完了できません。

プロビジョニングの試行中に、リソース グループ レベル以上で適用される可能性がある CanNotDelete ロックを考慮することが重要です。 これらのロックが存在する場合、プロセスで作成されたネットワーク インターフェイスは自動的に削除されません。 自動的に削除されない場合は、再試行する前に vNIC を手動で削除する必要があります。

プロビジョニングの試行中に、リソース グループ レベル以上の既存のロックを考慮することが重要です。 これらのロックが存在する場合、プロセスで作成されたネットワーク インターフェイスは自動的に削除されません。 イベントが発生した場合は、再試行する前に vNIC を手動で削除する必要があります。

Azure テナントの準備

チェックが実行されると、指定された Azure サブスクリプションが有効で正常であることを確認します。 有効で正常でない場合、プロビジョニング中にクラウド PC を仮想ネットワークに接続し直すことができません。 課金の問題などの問題により、サブスクリプションが無効になる可能性があります。

多くの組織では、Azure ポリシーを使用して、リソースが特定のリージョンとサービスにのみプロビジョニングされるようにします。 すべての Azure ポリシーで、クラウド PC サービスとサポートされているリージョンが考慮されていることを確認する必要があります。

Azure portal にサインインし、Azure サブスクリプションが有効、有効、正常であることを確認します。

また、Azure portal にアクセスし、 Policiesを表示します。 リソースの作成をブロックしているポリシーがないことを確認します。

Azure 仮想ネットワークの準備

ANC を作成するときに、サポートされていないリージョンにある仮想ネットワークの使用をブロックします。 サポートされているリージョンの一覧については、「 Requirements」を参照してください。

このチェックが失敗した場合は、指定された仮想ネットワークがサポートされているリージョンの一覧のリージョンにあることを確認します。

DNS は Active Directory ドメインを解決できます

Windows 365 がドメイン参加を正常に実行するには、指定された仮想ネットワークに接続されているクラウド PC が内部 DNS 名を解決できる必要があります。

このテストでは、指定されたドメイン名の解決が試行されます。 たとえば、contoso.com や contoso.local などです。 このテストが失敗した場合は、次の点を確認します。

• Azure 仮想ネットワーク内の DNS サーバーは、ドメイン名を正常に解決できる内部 DNS サーバーに正しく構成されています。
• サブネット/vNet は、クラウド PC が提供された DNS サーバーに到達できるように正しくルーティングされます。
• 宣言されたサブネット内のクラウド PC/VM は DNS サーバーで NSLOOKUP でき、内部名で応答します。

指定されたドメイン名に対する標準的な DNS 参照と共に、 _ldap._tcp.yourDomain.com レコードの存在も確認します。 このレコードは、指定された DNS サーバーが Active Directory ドメイン コントローラーであることを示します。 このレコードは、AD ドメイン DNS に到達可能であることを確認する信頼性の高い方法です。 ANC で提供されている仮想ネットワークを介してこれらのレコードにアクセスできることを確認します。

エンドポイント接続

プロビジョニング中、クラウド PC は、一般公開されている複数のMicrosoft サービスに接続する必要があります。 これらのサービスには、Microsoft Intune、Microsoft Entra ID、Azure Virtual Desktop が含まれます。

クラウド PC で使用されるサブネットから、すべての 必要なパブリック エンドポイント に到達できることを確認する必要があります。

このテストが失敗した場合は、次の点を確認します。

• Azure 仮想ネットワークのトラブルシューティング ツールを使用して、指定された vNet/サブネットがドキュメントに記載されているサービス エンドポイントに確実に到達できるようにします。
• 指定された DNS サーバーは、外部サービスを正しく解決できます。
• クラウド PC サブネットとインターネットの間にプロキシはありません。
• 必要なトラフィックをブロックする可能性があるファイアウォール規則 (物理、仮想、または Windows) はありません。
• クラウド PC 用に宣言されているのと同じサブネット上の VM のエンドポイントをテストすることを検討してください。

Azure CloudShell を使用していない場合は、PowerShell 実行ポリシーが Unrestricted スクリプトを許可するように構成されていることを確認します。 グループ ポリシーを使用して実行ポリシーを設定する場合は、ANC で定義されている OU を対象とするグループ ポリシー オブジェクト (GPO) が、 Unrestricted スクリプトを許可するように構成されていることを確認します。 詳細については、「Set-ExecutionPolicy」を参照してください。

環境と構成の準備ができました

このチェックは、お客様が担当するインフラストラクチャに関連する可能性のあるインフラストラクチャ関連の多くの問題に使用されます。 これには、内部サービスのタイムアウトなどのエラーや、チェックの実行中にユーザーが Azure リソースを削除または変更した場合に発生するエラーが含まれる場合があります。

このエラーが発生した場合は、チェックを再試行することをお勧めします。 解決しない場合は、サポートにお問い合わせください。

ファースト パーティアプリのアクセス許可

ANC を作成すると、ウィザードによってリソース グループとサブスクリプションに対する特定のレベルのアクセス許可が付与されます。 これらのアクセス許可により、サービスはクラウド PC をスムーズにプロビジョニングできます。

このようなアクセス許可を保持している Azure 管理者は、それらを表示および変更できます。

これらのアクセス許可のいずれかが取り消されると、このチェックは失敗します。 Windows 365 アプリlication サービス プリンシパルに次のアクセス許可が付与されていることを確認します。

• Azure サブスクリプションの閲覧者 ロール。
• 指定したリソース グループに対する Windows365 ネットワーク インターフェイス共同作成者 ロール。
• 仮想ネットワーク上の Windows 365 ネットワーク ユーザー ロール。

サブスクリプションのロールの割り当ては、クラウド PC サービス プリンシパルに付与されます。

また、アクセス許可が classic サブスクリプション管理者ロール または "ロール (クラシック)" として付与されていないことを確認します。このロールでは不十分です。 これは、前に示した Azure ロールベースのアクセス制御組み込みロールのいずれかである必要があります。

次のステップ

ANC 正常性チェックについて説明します。