Share via

共同管理のトラブルシューティング: 最新のプロビジョニングを使用したブートストラップ

  • [アーティクル]

この記事は、パス 2: 最新のプロビジョニングでConfiguration Manager クライアントをブートストラップする方法で共同管理を設定するときに発生する可能性がある問題を理解し、トラブルシューティングするのに役立ちます。

このシナリオは、Microsoft Entra IDに参加し、Intuneに自動的に登録する新しいWindows 10 デバイスがある場合に発生し、Configuration Manager クライアントをインストールして共同管理状態に達します。

始める前に

トラブルシューティングを開始する前に、問題に関するいくつかの基本的な情報を収集し、必要なすべての構成手順に従うことを確認することが重要です。 これにより、問題をよりよく理解し、解決策を見つける時間を短縮できます。 これを行うには、トラブルシューティング前の質問の次のチェックリストに従います。

ほとんどの問題は、これらの手順の 1 つ以上が完了していないために発生します。 ステップがスキップされたか、正常に完了しなかった場合は、各ステップの詳細をチェックするか、次のチュートリアルを参照してください。

チュートリアル: 最新のプロビジョニング済みクライアントの共同管理を有効にする

ハイブリッド Microsoft Entra構成のトラブルシューティング

Microsoft Entraハイブリッド ID または Microsoft Entra Connect のいずれかに影響する問題が発生している場合は、次のトラブルシューティング ガイドを参照してください。

マネージド ドメインまたはフェデレーション ドメインMicrosoft Entraハイブリッド参加に影響する問題が発生している場合は、次のトラブルシューティング ガイドを参照してください。

よく寄せられる質問

共同管理を構成するために必要なロールは何ですか?

共同管理を構成するために必要な アクセス許可とロール を次に示します。

どのようなログを使用してワークロードを検証し、共同管理シナリオでポリシーとアプリの発生元を特定できますか?

Windows 10 デバイスでは、次のログ ファイルを使用できます。

%WinDir%\CCM\logs\CoManagementHandler.log

クラウド サービスに一意の DNS 名があることを検証操作方法。

これを行うには、次の手順を実行します。

  1. Azure portalにサインインし、[すべてのサービス>Cloud Services (クラシック)] に移動し、[追加] をクリックします。
  2. [ DNS 名 ] フィールドに、使用する名前を入力します。
  3. 使用できる名前がある場合は、[ クラウド サービス ] ウィンドウで作成せずにメモします。
  4. 内部 DNS サーバーと外部 DNS サーバーの両方でドメインを <name.cloudapp.net> にマップする CNAME レコードを作成します。

Configuration Manager クライアント セットアップ MSI はどこで確認できますか?

ccmsetup.msiファイルは、Configuration Manager サイト サーバーの次のフォルダーにあります。

<ConfigMgr installation directory>\bin\i386

Intuneからマネージド Windows 10 デバイスへのConfiguration Manager クライアントの展開を確認操作方法。

展開を確認するには、Windows 10 デバイスで次の手順を実行します。

  1. エクスプローラーを開き、 に移動します%WinDir%\CCM\logs
  2. CMTrace でADALOperationProvider.log ファイルを開き、[Microsoft Entra ID (ユーザー) トークンの取得] と [Microsoft Entra ID (デバイス) トークンの取得] を探してトークンを確認します。
  3. CMTrace で、CoManagementHandler.log ファイルを開き、[ デバイスが MDM に既に登録されている] と [デバイスプロビジョニング済み] を探して登録を確認します。
  4. コントロール パネル開き、検索ボックスに「Configuration Manager」と入力して選択します。
  5. [ 全般 ] タブを選択し、[ 割り当てられた管理ポイント] を確認します。
  6. [ ネットワーク ] タブを選択し、 インターネット ベースの管理ポイントを確認します。

一般的な問題

Configuration Managerでは、Microsoft Entra参加しているクライアントに対して HTTPS 対応の管理ポイントのみが許可されます

この問題は、現在のブランチ バージョン 1802 以前Configuration Manager使用している場合に発生します。 これらのバージョンでは、CMG に対して有効にする管理ポイントは HTTPS である必要があります。 バージョン 1806 以降では、管理ポイントは HTTP にすることができます。

この問題を解決するには、現在のブランチ バージョン 1806 以降Configuration Manager更新します。

強化された HTTP ではなく PKI 証明書がまだ有効なオプションであるかどうか

PKI 証明書は引き続き有効なオプションですが、次の要件があります。

  • すべてのクライアント通信は HTTPS 経由で行われます。
  • 署名インフラストラクチャの高度な制御が必要です。

詳細については、「 拡張 HTTP」を参照してください。

[サイトの構成] で [クライアント コンピューター通信] タブが見つかりません

現在のブランチ バージョン 1906 Configuration Manager以降、このタブの名前は Communication Security に変更されます。

[HTTP サイト システムにConfiguration Manager生成された証明書を使用する] オプションが有効になっていますが、証明書は受信されません

この動作は仕様です。 管理ポイントがサイトから新しい証明書を受信して構成するまでに最大 30 分かかる場合があります。 次のログを使用して、これを追跡、監視、確認できます。

<ConfigMgr installation directory>\Logs\CloudMgr.log

Microsoft Entra IDからのリソースとその関連情報のレコードは、Configuration Manager データベースに作成されません

構成管理サイトをMicrosoft Entra IDにオンボードすると、Microsoft Entraユーザー リソースは検出されず、Configuration Manager データベースに設定されません。 通常、このシナリオでは0x87d00231 エラーが発生します。

この問題は、次のいずれかの状況で発生します。

  • Azure portalでアプリ登録の API アクセス許可を正常に構成できませんでした。
  • Microsoft Entraユーザー検出が有効または構成されていません。

この問題を解決するには、「ユーザー探索をMicrosoft Entraして API のアクセス許可を構成し、ユーザー検出をMicrosoft Entraする」の手順に従います。 次のログを使用して、詳細をチェックできます。

  • <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log サイト サーバー上
  • %WinDir%\CCM\logs\CcmMessaging.log クライアントで
  • %WinDir%\CCM\logs\LocationServices.log クライアントで

注:

Configuration Manager サイトが新規または最近再構築された場合は、Active Directory ユーザー検出も構成する必要があります。

CoManagementHandler.logでは、 起動するキュー登録タイマーが表示されます。...

Windows デバイス上のADALOperationProvider.log ファイルには、Microsoft Entra ID (ユーザー) トークンの取得とMicrosoft Entra ID (デバイス) トークンの取得が表示されます。 ただし、デバイスは登録されておらず、CoManagementHandler.logの最後の行は、起動するキュー登録タイマーです。...

この動作は、Configuration Manager現在のブランチ バージョン 1806 以降のバージョンで想定されています。 バージョン 1806 以降では、自動登録はすべてのクライアントに対して即時ではありません。 この動作は、大規模な環境での登録のスケーリングを向上するのに役立ちます。 Configuration Managerは、クライアントの数に基づいて登録をランダム化します。 たとえば、環境に 100,000 クライアントがある場合、登録は数日にわたって発生する可能性があります。

共同管理を監視するには、Configuration Manager コンソールの [共同管理監視>] に移動します。

Configuration Manager コンソールからカスタマイズしたクライアント インストール コマンドをコピーしましたが、Configuration Manager クライアントをインストールできません

この問題は、次のいずれかの状況で発生します。

  • コマンドのインストール パラメーターは、 サポートされている値に準拠していません。
  • コマンド ラインの長さが 1,024 文字を超えています。

この問題を解決するには、コマンドが要件を満たし、コマンド ラインの長さが 1,024 文字以下であることを確認します。

エージェントConfiguration Manager状態が異常であるIntune

Intuneは、次のレジストリ サブキーの 値と ClientHealthStatus 値にClientHealthLastSyncTime基づいて、Configuration Manager エージェントの状態を評価します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

次の値 ClientHealthStatusを指定できます。

  • 1: クライアントがインストールされている
  • 2: クライアントが登録されている
  • 5: クライアントがインストールされているが、正常性評価がまだ実行されていない
  • 7: クライアントが正常
  • 8: クライアントのインストールまたはアップグレード エラー
  • 16: 管理ポイントでの通信エラー

値が ClientHealthStatus7 (正常) の場合、Intune は、 が 30 日を超えない場合ClientHealthLastSyncTime、Configuration Manager クライアントを正常と見なします。

値が ClientHealthStatus7 (異常) でない場合、Intune は、 が 48 時間を超えない場合ClientHealthLastSyncTime、Configuration Manager クライアントを正常と見なします。

値はClientHealthLastSyncTimeクライアントのクライアント通知コンポーネントConfiguration Manager更新され、ログ ファイルはCcmNotificationAgent.logされます。

この問題のトラブルシューティングを行うには、 が最新でない場合ClientHealthLastSyncTimeは、CcmNotificationAgent.log ファイルをチェックします。 次に例を示します:

MDM_ConfigSetting.ClientHealthLastSyncTime を値 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504) で更新する

値がClientHealthLastSyncTime最新の状態で、Configuration Manager エージェントの最後のチェック時刻がIntuneの 2/1/1900 である場合、これは、デバイス コンプライアンス ポリシーのワークロードがConfiguration Managerによって管理されることを意味します。 この場合は、コンプライアンス ポリシーワークロードをIntuneまたはパイロット Intuneに切り替えます

CMG 接続ポイントが切断済みとして表示される

この問題は、CMG 接続ポイントの役割がインストールされているリモート サイト システムとプライマリ サイトの間のアクセス許可の問題が原因で発生します。

リモート サイト システムは CMG からレポートを TrafficData 収集し、状態メッセージを介してプライマリ サイトにデータを送信します。 SMS_Cloud_ProxyConnector.logのサンプル ログ スニペットを次に示します。

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - 送信する状態メッセージ: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"<>EndPoints~~ EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~/<ProxyTrafficStateDetails>~~~~

リモート サイト システムも管理ポイントであるため、これらの状態メッセージは、ファイルをプライマリ サイトに送信する MP File Dispatch Manager によってアクセスされる送信トレイに移動されます。 mpfdm.logのサンプル ログ スニペットを次に示します。

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~ Moving 1 *.C:\SMS\MP\OUTBOXES\statemsg.box\ から \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\ への SMX ファイル。
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~ファイル C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX を \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX に移動しました

アクセス許可の問題が発生した場合、MP File Dispatch Manager はプライマリ サイトの受信トレイにアクセスできません。次のエラーがmpfdm.logに記録されます。

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: 受信トレイソースに接続できません。30 秒スリープ状態でもう一度やり直してください。

この問題を解決するには、リモート サイト システムのマシン アカウントをプライマリ サイトのローカル管理者グループに追加します。

クライアントは CMG を使用して管理ポイントを見つけられないので、エラー 403 が表示されます

この問題が発生すると、次のエラーがクライアントのLocationServices.logに記録されます。

[CCMHTTP]ERROR INFO: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

さらに、CMG 接続ポイント サーバーのSMS_Cloud_ProxyConnector.logに次のエラーが記録されます。

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut?SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

CMG 接続ポイント サーバーに有効なクライアント認証証明書がある場合、最も考えられる原因は、証明書の証明書失効リスト (CRL) の検証に失敗することです。 この場合、0x87d0027e エラーが発生し、CAPI2 イベント ログに次のエラーが記録されます。

失効サーバーがオフラインであったため、失効関数で失効をチェックできませんでした。 80092013

さらに、レジストリ値を 1 に設定して詳細ログをHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging有効にすると、次のようなエラー エントリがSMS_Cloud_ProxyConnector.logに記録されます。

チェーン ビルドに失敗した証明書: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
チェーン 0 の状態: 失効StatusUnknown
チェーン 1 の状態: OfflineRevocation
チェーン ビルドに失敗した証明書: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
チェーン 0 の状態: 失効StatusUnknown
チェーン 1 の状態: OfflineRevocation
許可されていない証明書: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
許可されたルート CA と秘密キーを持つフィルター処理された証明書の数: 0
クライアント認証でフィルター処理された証明書の数: 0

CRL チェックを自動的に無効にする代わりに、最初に動作することを確認することをお勧めします。 ただし、CRL チェックが正常に機能しない場合は、CMG 接続ポイントの CRL チェックを一時的に無効にします。 これにより、CRL チェックを実行せずにクライアント証明書を選択でき、管理ポイントとの通信が可能になります。

詳細

共同管理の問題のトラブルシューティングの詳細については、次の記事を参照してください。

IntuneとConfiguration Manager共同管理の詳細については、次の記事を参照してください。