グループ ポリシーを使用した Windows 10 デバイスの自動登録

適用対象:

  • Windows 11
  • Windows 10

Windows 10 Version 1709 以降、グループ ポリシーを使用して、Active Directory (AD) ドメインに結合しているデバイス用にモバイル デバイス管理 (MDM) の自動登録をトリガーすることができます。

Intune への登録は、ローカルの AD に作成されたグループ ポリシーによってトリガーされ、ユーザーの操作なしで行われます。 この原因と影響のメカニズムは、多数のドメインに参加している大規模な量の企業デバイスを Microsoft Intune に自動的に一括登録することができることを意味します。 Azure AD アカウントを使用してデバイスにサインインすると、バックグラウンドで登録プロセスが開始されます。

要件:

  • バージョン 1709 以降の Windows 10 Active Directory に参加している PC
  • エンタープライズは、モバイル デバイス管理 (MDM) サービスを構成しています
  • オンプレミスの Active Directory を Azure ADと統合する必要があります (Azure AD Connect)
  • デバイスは、クラシック エージェントを使用している Intune には登録されていないことが必要です (エージェントを使用して管理されたデバイスでは、error 0x80180026 の登録に失敗します)
  • Windows Server バージョン の最小要件は、ハイブリッド Azure AD join の要件に基づいています。 詳細については、「ハイブリッド Azure Active Directory 結合の実装を計画する方法」を参照してください。

自動登録は、MDM サービスと PC 用の Azure Active Directory 登録の有無に依存します。 Windows 10 バージョン 1607 以降、エンタープライズが Azure AD に AD を登録すると、ドメインに参加している Windows PC は、自動的に Azure AD –登録されます。

Windows 10 Version 1709 では、登録プロトコルが更新され、デバイスがドメインに結合しているかどうかを確認します。 詳細については、「 [MS-MDE2]: モバイル デバイス登録プロトコル バージョン 2」を参照してください。 例については、「MS-MDE2 プロトコル ドキュメントの 4.3.1 RequestSecurityToken」を参照してください。

自動登録グループ ポリシーが有効になっていると、MDM 登録を開始するタスクがバックグラウンドで作成されます。 このタスクは、ユーザーの Azure Active Directory 情報の既存の MDM サービス構成を使用します。 多要素認証が必要な場合は、認証を完了するように求めるメッセージが表示されます。 登録が構成されると、ユーザーは設定ページで状態を確認できます。

Windows 10 Version 1709 以降、同じポリシーがグループ ポリシーおよび MDM に構成されている場合、グループ ポリシーは MDM より優先されます。 Windows 10 Version 1803 以降では、新しい設定を使用すると MDM に優先するように変更できます。 詳細については、「Windows 10 グループ ポリシーと Intune MDM ポリシーのどちらを優先するか」を参照してください。

このポリシーが機能するためには、MDM サービス プロバイダがドメインに参加しているデバイス用に開始された MDM 登録をグループ ポリシーに許可していることを確認する必要があります。

自動登録の要件と設定を確認する

自動登録機能が期待どおりに動作していることを確認するには、さまざまな要件と設定が正しく構成されていることを確認する必要があります。 次の手順では、Intune サービスを使用して必要な設定を示します。

  1. デバイスを登録するユーザーが有効な Intune ライセンスを持っている必要があります。

    Intune ライセンスの確認.

  2. Intune を使用してデバイスをモバイル デバイス管理 (MDM) に登録するユーザーに対して自動登録がアクティブ化されているのを確認します。 詳細については、「Azure AD と Microsoft Intune: 新しいポータルでの自動 MDM 登録」を参照してください。

    自動登録ライセンス認証の確認.

    重要

    BYOD (Bring Your Own Device) の場合は、すべてのユーザー (またはユーザーの同じグループ) に対してモバイル デバイス管理 (MAM) と MDM 両方のユーザー スコープが有効になっている場合、MAM ユーザー スコープが優先されます。 デバイスは、MDM に登録するのではなく、Windows 情報保護 (WIP) ポリシーを使用します (構成した場合)。

    企業所有のデバイスの場合、両方のスコープが有効になっている場合は、MDM ユーザー スコープが優先されます。 デバイスには MDM が登録されます。

  3. デバイスの OS バージョンが Windows 10 Version 1709 以降であることを確認します。

  4. グループ ポリシーを通した Intune への自動登録は、ハイブリッド Azure AD に結合しているデバイスにのみ有効です。 この状態は、デバイスはローカルの Active Directory と Azure Active Directory の両方に結合する必要があることを意味します。 デバイスがハイブリッド Azure AD に結合していることを確認するには、コマンド ラインから dsregcmd /status を実行します。

    AzureAdJoinedDomainJoinedYES に設定されている場合、デバイスは適切にハイブリッド結合されていることを確認できます。

    自動登録デバイスの状態の結果。

    さらに、[SSO 状態のセクション] に AzureAdPrt[YES] として表示されていることを確認します。

    自動登録の Azure AD prt の確認。

    この情報は、Azure AD デバイスのリストにもあります。

    Azure AD デバイスのリスト。

  5. 自動登録時の MDM 探索 URL が https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc であることを確認する

    [MDM 探索 URL]

  6. テナントによっては、モビリティの下に Microsoft IntuneMicrosoft Intune 登録の両方がある場合があります。 自動登録の設定が、Microsoft Intune 登録ではなく、Microsoft Intune で構成されていることを確認します。

    MDM Intune のモビリティ設定。

  7. 既定の Azure AD 資格情報グループ ポリシーを使用して自動 MDM 登録を有効にする (ローカル グループ ポリシー エディター > コンピューター構成>ポリシー > 管理用テンプレート > Windows コンポーネント > MDM) が、Intuneに登録する必要があるすべてのデバイスに適切に展開されていることを確認します。

グループ ポリシーが正常に展開されているかどうかを確認するには、ドメインの管理者に問い合わせてください。

  1. デバイスが Intune Silverlight ポータルで使用されている以前の Intune クライアントに登録されていないことを確認します (Azure ポータルより前に使用されていた Intune ポータルです)。

  2. Microsoft Intune が Windows デバイスの登録を許可していることを確認します。

    Windows デバイスの登録。

1 台の PC の自動登録グループ ポリシーを構成する

この手順は、新しい自動登録ポリシーのしくみを説明する目的にのみ使用します。 この手順は、エンタープライズでの運用環境には推奨されません。 一括展開の場合、グループ ポリシー管理コンソールのプロセスを使用する必要があります。

要件:

  • Windows 10 Version 1709 以降を実行している場合
  • エンタープライズは MDM サービスが既に構成されています
  • エンタープライズ AD は、Azure AD に登録されている必要があります
  1. GPEdit.msc を実行します。 [スタート] を選択し、テキストボックスの種類で gpedit

    GPEdit デスクトップ アプリの検索結果。

  2. [最適一致] で、[グループ ポリシーの編集] を選択して起動します。

  3. ローカル コンピュータ ポリシーで、[管理用テンプレート]>[Windows コンポーネント]>[MDM] を選択します。

    MDM ポリシー。

  4. [既定の Azure AD 資格情報を使用して MDM の自動登録を有効にする] (以前の Windows 10 Version 1709 ではAAD トークンを使用した MDM の自動登録と呼ばれていました) をダブルクリックします。 Windows 10 バージョン 1903 以降の ADMX ファイルの場合は、使用する資格情報の種類として [ユーザー資格情報] を選択します。

    MDM 自動登録ポリシー。

  5. [有効化] を選択し、ドロップダウンから[ユーザーの資格情報][使用する視覚情報の種類を選択する] を選択して、[OK] を選択します。

    Windows 10 Version 1903 では、MDM.admx ファイルが更新され、デバイスの登録に使用する資格情報を選択するオプションが追加されました。 デバイスの資格情報は、Windows 10 Version 1903 以降がインストールされているクライアントにのみ有効な新機能です。 以前のリリースの既定の動作では、ユーザーの資格情報に戻されます。 デバイス資格情報は、Intune サブスクリプションがユーザー中心であるため、共同管理または Azure Virtual Desktop マルチセッション ホスト プールを使用するシナリオでのMicrosoft Intune登録でのみサポートされます。 ユーザー資格情報は、 Azure Virtual Desktop 個人用ホスト プールでサポートされています。

    クライアントでグループ ポリシーの更新が発生すると、タスクが作成され、1 日の期間で 5 分ごとに実行されるようにスケジュールされます。 タスク名は、"Azure Active Directory から MDM に自動登録するために登録クライアントが作成したスケジュール" と呼ばれます。

    スケジュールされたタスクを表示するには、タスク スケジューラ アプリを起動します。

    2 要素認証が必要な場合は、プロセスを完了するように求めるメッセージが表示されます。 スクリーンショットの例を次に示します。

    2 要素認証通知。

    ヒント

    Azure AD の条件付きアクセス ポリシーを使用して、この動作を回避することができます。 詳細については、「条件付きアクセスとは」を参照してください。

  6. MDM に正常に登録されたことを確認するには、[スタート]>[設定]>[アカウント]>[職場または学校にアクセス] をクリックし、自分のドメイン アカウントを選択します。

  7. [情報] を選択すると、MDM の登録情報が表示されます。

    職場/学校の設定。

    [情報] ボタンまたは登録情報が表示されない場合は、登録が失敗した可能性があります。 タスク スケジューラ アプリの状態を確認します。

タスク スケジューラ アプリ

  1. [スタート] を選択し、テキスト ボックスの種類 task scheduler を選択します。

    タスク スケジューラの検索結果。

  2. [最適一致][タスク スケジューラ] を選択して起動します。

  3. タスク スケジューラ ライブラリで、Microsoft > Windows を開き、[EnterpriseMgmt] を選択します。

    スケジュールされたタスクの自動登録。

    タスクの結果を表示するには、スクロールバーを右に移動して、[最終実行結果] を表示します。 メッセージ 0x80180026 はエラー メッセージ (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED) です。 [履歴] タブにログが表示されます。

    デバイスの登録がブロックされる場合、IT 管理者がMDM の登録を無効にするポリシーを有効にしている可能性があります。

    GPEdit コンソールには、デバイスの IT 管理者が設定したポリシーの状態が反映されません。 ポリシーを設定するのは、ユーザーのみです。

複数のデバイスの自動登録を構成する

要件:

  • Windows 10 Version 1709 以降を実行している場合
  • エンタープライズでは MDM サービスが既に構成されています (Intune またはサード パーティのサービス プロバイダーを使用)
  • エンタープライズ AD は、Azure AD に統合されている必要があります。
  • PC が同じコンピューター グループに属していることを確認します。

重要

ポリシーが表示されない場合は、Windows 10 Version 1803、Version 1809、または Version 1903 用の ADMX がインストールされていない可能性があります。 この問題を修正するには、次の手順を使用します。 最新の MDM.admx は後方互換性があることに注意してください。

  1. ダウンロード:

  2. ドメイン コントローラーにパッケージをインストールします。

  3. フォルダーのバージョンに応じて、次の操作を行います。

    • 1803 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 April 2018 Update (1803) v2

    • 1809 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 October 2018 Update (1809) v2

    • 1903 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 May 2019 Update (1903) v3

    • 1909 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 November 2019 Update (1909)

    • 2004 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 May 2020 Update (2004)

    • 20H2 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 October 2020 Update (20H2)

    • 21H1 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 May 2021 Update (21H1)

    • 21H2 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 2021 Update V2 (21H2)

    • 22H2 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 October 2022 Update (22H2)

    • 22H2 -->C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 11 September 2022 Update (22H2)

  4. 抽出したポリシー定義フォルダーの名前を PolicyDefinitions に変更します。

  5. PolicyDefinitions フォルダーを \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions にコピーします。

    このフォルダーが存在しない場合は、ドメイン全体に対して、中央ポリシー ストアに切り替えることができます。

  6. ポリシーが使用可能になるまで、SYSVOL DFSR レプリケーションが完了するのを待ちます。

この手順は、将来のどのバージョンでも同様に動作します。

  1. グループ ポリシー オブジェクト (GPO) を作成し、グループ ポリシーコンピューターの構成>ポリシー>管理用テンプレート>Windows コンポーネント> MDM >を有効にして、既定の Azure AD 資格情報を使用して MDM の自動登録を有効にします

  2. PC のセキュリティ グループを作成します。

  3. GPO をリンクします。

  4. セキュリティ グループを使用してフィルター処理を行います。

デバイスの自動登録のトラブルシューティング

必須の確認手順をすべて実行しても問題が解決しない場合は、ログ ファイルを調査します。 調査する最初のログ ファイルは、対象の Windows 10 デバイスのイベント ログです。

イベント ビューアー ログを収集するには、次の操作を行います。

  1. イベント ビューアーを開きます。

  2. アプリケーションとサービスのログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin に移動します。

    ヒント

    Intune のイベント ログの収集方法の詳細については、「MDM イベント ビューアー ログを収集する」を参照してください。

  3. 自動登録を正常に完了したことを意味するイベント ID 75 を検索します。 自動登録が正常に完了した場合のスクリーンショットの例を次に示します。

    イベント ID 75。

    ログにイベント ID 75 が見つからない場合は、自動登録が失敗していることを示しています。 このエラーは、次の理由で発生することがあります。

    • エラーが発生して登録に失敗しました。 この場合は、自動登録の失敗を示しているイベント ID 76 を検索します。 自動登録に失敗したスクリーンショットの例を次に示します。

      イベント ID 76。

      トラブルシューティングを行うには、イベントに表示されているエラー コードを確認します。 詳細については、「Microsoft Intune で Windows デバイス登録の問題に関するトラブルシューティング」を参照してください。

    • 自動登録がまったくトリガーされませんでした。 この場合、イベント ID 75、イベント ID 76 のいずれも見つかりません。 その理由を知るためには、以下のセクションで説明するように、デバイス上で発生している内部メカニズムを理解する必要があります。

      自動登録プロセスは、タスク スケジューラー内のタスク (Microsoft>Windows>EnterpriseMgmt) によってトリガーされます。 このタスクは、既定の Azure AD 資格情報を使用して MDM の自動登録を有効にするグループ ポリシー ([コンピューターの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[MDM] の順に移動) が、次に示すスクリーンショットのように、対象のコンピューターに正常に展開された場合に表示されます。

      タスク スケジューラ。

    このタスクは標準ユーザーには表示されません。管理者の資格情報を使用して、スケジュールされたタスクを実行し、タスクを見つけます。

    このタスクは、1 日の間、5 分ごとに実行されます。 タスクが成功したかどうかを確認するには、タスク スケジューラ のイベント ログ ( アプリケーションとサービス ログ > Microsoft > Windows > タスク スケジューラ > 操作) を確認します。 Azure Active Directory から MDM に自動登録するために登録クライアントによって作成されたタスク スケジューラがイベント ID 107 によってトリガーされているエントリを検索します。

    イベント ID 107。

    タスクが完了すると、新しいイベント ID 102 がログに記録されます。

    イベント ID 102。

    タスク スケジューラのログには、自動登録の成否に関わらず、イベント ID 102 (タスク完了) が表示されます。 この状態の表示は、タスク スケジューラ ログが自動登録タスクがトリガーされたかどうかを確認する場合にのみ役立つことを意味します。 自動登録の成否を示しているわけではありません。

    Azure AD から MDM に自動登録するために登録クライアントによって作成されたタスク スケジュールが表示されない場合は、グループ ポリシーに問題がある可能性があります。 コマンド プロンプトで gpupdate /force コマンドをすぐに実行して、グループ ポリシー オブジェクトを適用します。 この手順に従っても問題が解決しない場合は、Active Directory についてのトラブルシューティングを続ける必要があります。 よく見られるエラーの 1 つは、ターゲット クライアント デバイス (HKLM > Software > Microsoft > Enrollments) 上のレジストリの古い登録エントリに関連しています。 デバイスが登録されている場合 (Intune だけでなく、MDM ソリューションの場合も含みます)、レジストリに追加された登録情報が表示されます。

    古い登録エントリ。

    既定では、これらのエントリはデバイスの登録を解除したときに削除されますが、登録解除後もレジストリ キーが残っている場合があります。 この場合、gpupdate /force は自動登録タスクを開始しません。エラーコード 2149056522 がアプリケーションとサービスのログ>Microsoft>Windows>タスク スケジューラ>操作イベント ログ ファイルは、イベント ID 7016 に表示されます。

    この問題を解決するには、手動でレジストリ キーを削除します。 削除するレジストリ キーがわからない場合は、上のスクリーンショットのように、ほとんどのエントリが表示されるキーを使用してください。 その他のすべてのキーには、次のスクリーンショットに示すように、表示されるエントリが少なくなります:

    手動で削除したエントリ。