Azure Active Directory デバイス管理の FAQAzure Active Directory device management FAQ

Q:最近、デバイスを登録しました。Q: I registered the device recently. Azure portal のユーザー情報にデバイスが表示されないのはなぜですか? Why can’t I see the device under my user info in the Azure portal? または、ハイブリッド Azure Active Directory (Azure AD) 参加済みデバイスのデバイス所有者が N/A とマークされるのはなぜですか?Or why is the device owner marked as N/A for hybrid Azure Active Directory (Azure AD) joined devices?

A: ハイブリッド Azure AD 参加済みの Windows 10 デバイスは、[ユーザー デバイス] には表示されません。A: Windows 10 devices that are hybrid Azure AD joined don't show up under USER devices. Azure portal の [すべてのデバイス] ビューを使用してください。Use the All devices view in the Azure portal. PowerShell の Get-MsolDevice コマンドレットを使用することもできます。You can also use a PowerShell Get-MsolDevice cmdlet.

[ユーザー デバイス] には、次のデバイスだけが表示されます。Only the following devices are listed under USER devices:

  • ハイブリッド Azure AD 参加済みではないすべての個人用デバイス。All personal devices that aren't hybrid Azure AD joined.
  • Windows 10 または Windows Server 2016 以外のすべてのデバイス。All non-Windows 10 or Windows Server 2016 devices.
  • Windows 以外のすべてのデバイス。All non-Windows devices.

Q:クライアントのデバイスの登録状態はどうすればわかりますか?Q: How do I know what the device registration state of the client is?

A: Azure portal で [すべてのデバイス] に移動します。A: In the Azure portal, go to All devices. デバイス ID を使用してデバイスを検索します。Search for the device by using the device ID. [結合の種類] 列の値を確認します。Check the value under the join type column. 場合によっては、デバイスがリセットまたは再イメージ化されていることがあります。Sometimes, the device might be reset or reimaged. そのため、デバイスでもデバイス登録状態を確認することが不可欠です。So it's essential to also check the device registration state on the device:

  • Windows 10 および Windows Server 2016 以降のデバイスの場合は、dsregcmd.exe /status を実行します。For Windows 10 and Windows Server 2016 or later devices, run dsregcmd.exe /status.
  • ダウンレベルの OS バージョンの場合は、%programFiles%\Microsoft Workplace Join\autoworkplace.exe を実行します。For down-level OS versions, run %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Q:Azure portal の [ユーザー情報] にデバイス レコードが表示され、Q: I see the device record under the USER info in the Azure portal. デバイスに状態が登録済みと表示されます。And I see the state as registered on the device. 条件付きアクセスを使用するように正しく設定されていますか?Am I set up correctly to use conditional access?

A: deviceID に表示されたデバイスの参加状態は、Azure AD での状態と一致しており、条件付きアクセスの評価基準を満たしている必要があります。A: The device join state, shown by deviceID, must match the state on Azure AD and meet any evaluation criteria for conditional access. 詳細については、条件付きアクセスを使用してクラウド アプリへのアクセスにマネージド デバイスを要求する方法に関するページを参照してください。For more information, see Require managed devices for cloud app access with conditional access.


Q:Azure portal で、または Windows PowerShell を使用してデバイスを削除しました。Q: I deleted my device in the Azure portal or by using Windows PowerShell. しかし、デバイスのローカル状態にはまだ登録済みと表示されます。But the local state on the device says it's still registered.

A: この操作は設計によるものです。A: This operation is by design. デバイスは、クラウドのリソースにアクセスできません。The device doesn't have access to resources in the cloud.

再登録する場合は、デバイスで手動操作を実行する必要があります。If you want to re-register, you must take a manual action on the device.

オンプレミスの Active Directory ドメインに参加済みの Windows 10 および Windows Server 2016 の参加状態をクリアするには、次の手順を実行します。To clear the join state from Windows 10 and Windows Server 2016 that are on-premises Active Directory domain joined, take the following steps:

  1. 管理者としてコマンド プロンプトを開きます。Open the command prompt as an administrator.

  2. dsregcmd.exe /debug /leave 」を入力します。Enter dsregcmd.exe /debug /leave.

  3. サインアウトしてからサインインして、デバイスを Azure AD に再登録するスケジュール済みタスクをトリガーします。Sign out and sign in to trigger the scheduled task that registers the device again with Azure AD.

オンプレミスの Active Directory ドメインに参加済みのダウンレベルの Windows OS バージョンの場合は、次の手順を実行します。For down-level Windows OS versions that are on-premises Active Directory domain joined, take the following steps:

  1. 管理者としてコマンド プロンプトを開きます。Open the command prompt as an administrator.
  2. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l" 」を入力します。Enter "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j" 」を入力します。Enter "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

Q:Azure portal に重複するデバイス エントリが表示されるのはなぜですか?Q: Why do I see duplicate device entries in the Azure portal?

A: A:

  • Windows 10 および Windows Server 2016 の場合、同じデバイスの参加を解除し、再度参加させる操作を繰り返すと、エントリの重複が発生することがあります。For Windows 10 and Windows Server 2016, repeated tries to unjoin and rejoin the same device might cause duplicate entries.

  • [職場または学校アカウントを追加] を使用する各 Windows ユーザーは、同じデバイス名で新しいデバイス レコードを作成します。Each Windows user who uses Add Work or School Account creates a new device record with the same device name.

  • オンプレミスの Azure Directory ドメインに参加しているダウンレベルの Windows OS バージョンでは、自動登録によって、デバイスにサインインするドメイン ユーザーごとに、同じデバイス名で新しいデバイス レコードが作成されます。For down-level Windows OS versions that are on-premises Azure Directory domain joined, automatic registration creates a new device record with the same device name for each domain user who signs in to the device.

  • Azure AD 参加済みコンピューターをワイプして再インストールし、同じ名前で再度参加させると、同じデバイス名で別のレコードとして表示されます。An Azure AD joined machine that's wiped, reinstalled, and rejoined with the same name shows up as another record with the same device name.


Q:Azure AD での Windows 10 デバイス登録では、FIPS モードの TPM はサポートされますか?Q: Does Windows 10 device registration in Azure AD support TPMs in FIPS mode?

A: いいえ。現在、Windows 10 デバイス登録では、すべてのデバイスの状態 (Hybrid Azure AD 参加、Azure AD 参加、および Azure AD 登録済み) について、FIPS モードの TPM はサポートされません。A: No, currently device registration on Windows 10 for all device states - Hybrid Azure AD join, Azure AD join and Azure AD registered - does not support TPMs in FIPS mode. Azure AD に正常に参加または登録するには、それらのデバイスで FIPS モードを無効にする必要があります。To successfully join or register to Azure AD, FIPS mode needs to be turned off for the TPMs on those devices


Q:Azure portal で無効にしたデバイスからユーザーがリソースに引き続きアクセスできるのはなぜですか?Q: Why can a user still access resources from a device I disabled in the Azure portal?

A: 取り消しが適用されるまで最大 1 時間かかります。A: It takes up to an hour for a revoke to be applied.

注意

登録済みデバイスの場合は、ユーザーがリソースにアクセスできないように、デバイスのワイプを実行することをお勧めします。For enrolled devices, we recommend that you wipe the device to make sure users can't access the resources. 詳細については、「デバイス登録とは」を参照してください。For more information, see What is device enrollment?.


Azure AD Join の FAQAzure AD join FAQ

Q:デバイス上の Azure AD 参加済みデバイスをローカルで参加解除するにはどうすればよいですか?Q: How do I unjoin an Azure AD joined device locally on the device?

A: A:

  • ハイブリッド Azure AD 参加済みデバイスの場合は、必ず自動登録をオフにしてください。For hybrid Azure AD joined devices, make sure to turn off automatic registration. その後、スケジュールされたタスクはデバイスを再登録しません。Then the scheduled task doesn't register the device again. 次に、管理者としてコマンド プロンプトを開き、「dsregcmd.exe /debug /leave」と入力します。Next, open a command prompt as an administrator and enter dsregcmd.exe /debug /leave. または、このコマンドを複数のデバイスに対するスクリプトとして実行し、一括で参加を解除します。Or run this command as a script across several devices to unjoin in bulk.

  • 純粋な Azure AD 参加済みデバイスの場合、オフラインのローカル管理者アカウントを持っているか、作成する必要があります。For pure Azure AD joined devices, make sure you have an offline local administrator account or create one. Azure AD ユーザーの資格情報ではサインインできません。You can't sign in with any Azure AD user credentials. 次に、[設定] > [アカウント] > [職場または学校にアクセスする] に移動します。Next, go to Settings > Accounts > Access Work or School. アカウントを選択し、[切断] を選択します。Select your account and select Disconnect. 画面の指示に従い、入力を求められたらローカル管理者の資格情報を入力します。Follow the prompts and provide the local administrator credentials when prompted. デバイスを再起動して、参加の解除プロセスを完了します。Reboot the device to finish the unjoin process.


Q:ユーザーは Azure AD で削除されたか無効にされた Azure AD 参加済みデバイスにサインインできますか?Q: Can my users sign in to Azure AD joined devices that are deleted or disabled in Azure AD?

A: はい。A: Yes. Windows には、以前にサインインしたユーザーがネットワークに接続していなくてもすばやくデスクトップにアクセスできるようにする、キャッシュされたユーザー名とパスワードの機能があります。Windows has a cached username and password capability that allows users who signed in previously to access the desktop quickly even without network connectivity.

Azure AD でデバイスが削除または無効化されても、Windows デバイスにはわかりません。When a device is deleted or disabled in Azure AD, it's not known to the Windows device. そのため、以前にサインインしたユーザーは、引き続きキャッシュされたユーザー名とパスワードを使ってデスクトップにアクセスします。So users who signed in previously continue to access the desktop with the cached username and password. しかし、デバイスは削除または無効化されているため、ユーザーはデバイス ベースの条件付きアクセスによって保護されているリソースにアクセスできません。But as the device is deleted or disabled, users can't access any resources protected by device-based conditional access.

以前にサインインしたことのないユーザーは、デバイスにはアクセスできません。Users who didn't sign in previously can't access the device. そのようなユーザーには、キャッシュされたユーザー名とパスワードが有効になっていません。There's no cached username and password enabled for them.


Q:無効化または削除されたユーザーは、Azure AD 参加済みデバイスにサインインできますか?Q: Can disabled or deleted users sign in to Azure AD joined devices?

A: はい、ただし限られた期間だけです。A: Yes, but only for a limited time. Azure AD でユーザーが削除または無効化されても、Windows デバイスはそのことをすぐには認識しません。When a user is deleted or disabled in Azure AD, it's not immediately known to the Windows device. そのため、以前にサインインしたユーザーは、キャッシュされたユーザー名とパスワードを使ってデスクトップにアクセスできます。So users who signed in previously can access the desktop with the cached username and password.

通常、デバイスが認識するユーザーの状態は、4 時間以内の状態です。Typically, the device is aware of the user state in less than four hours. その後は、Windows がそれらのユーザーのデスクトップへのアクセスをブロックします。Then Windows blocks those users' access to the desktop. ユーザーが Azure AD で削除または無効化されると、すべてのトークンが取り消されます。As the user is deleted or disabled in Azure AD, all their tokens are revoked. そのため、ユーザーはリソースにアクセスできなくなります。So they can't access any resources.

削除または無効化されたユーザーのうち、以前にサインインしたことのないユーザーは、デバイスにはアクセスできません。Deleted or disabled users who didn't sign in previously can't access a device. そのようなユーザーには、キャッシュされたユーザー名とパスワードが有効になっていません。There's no cached username and password enabled for them.


Q:UPN の変更後、Azure AD 参加済みデバイスでユーザーに問題が生じるのはなぜですか?Q: Why do my users have issues on Azure AD joined devices after changing their UPN?

A: 現在、Azure AD 参加済みデバイスでの UPN の変更は完全にはサポートされていません。A: Currently, UPN changes are not fully supported on Azure AD joined devices. そのため、UPN の変更後に Azure AD での認証が失敗します。So their authentication with Azure AD fails after their UPN changes. その結果、ユーザーのデバイスで SSO と条件付きアクセスの問題が生じます。As a result, users have SSO and Conditional Access issues on their devices. 現時点では、この問題を解決するために、ユーザーは新しい UPN を使用して [他のユーザー] タイルから Windows にサインインする必要があります。At this time, users need to sign in to Windows through the "Other user" tile using their new UPN to resolve this issue. 現在、この問題の対策に取り組んでいます。We are currently working on addressing this issue. なお、この問題は Windows Hello for Business でサインインしているユーザーには影響しません。However, users signing in with Windows Hello for Business do not face this issue.


Q:ユーザーが Azure AD 参加済みデバイスからプリンターを検索できません。Q: My users can't search printers from Azure AD joined devices. どうすればそれらのデバイスからの印刷を有効にできますか?How can I enable printing from those devices?

A: Azure AD 参加済みデバイス用にプリンターをデプロイするには、事前認証を使用した Windows Server ハイブリッド クラウド印刷のデプロイに関するページを参照してください。A: To deploy printers for Azure AD joined devices, see Deploy Windows Server Hybrid Cloud Print with Pre-Authentication. ハイブリッド クラウド印刷には、Windows Server がオンプレミスで必要です。You need an on-premises Windows Server to deploy hybrid cloud print. 現在、クラウドベースの印刷サービスは利用できません。Currently, cloud-based print service isn't available.


Q:Azure AD に参加しているリモート デバイスに接続する方法はありますか?Q: How do I connect to a remote Azure AD joined device?

A:Azure Active Directory に参加しているリモート PC への接続」をご覧ください。A: See Connect to remote Azure Active Directory-joined PC.


Q:ユーザーに "ここからアクセスすることはできません" というメッセージが表示されるのはなぜですか?Q: Why do my users see You can’t get there from here?

A: 特定の条件付きアクセス規則を、特定のデバイスの状態を必要とするように構成しましたか?A: Did you configure certain conditional access rules to require a specific device state? デバイスが条件を満たしていない場合は、ユーザーがブロックされて、そのメッセージが表示されます。If the device doesn't meet the criteria, users are blocked, and they see that message. 条件付きアクセス ポリシー規則を評価してください。Evaluate the conditional access policy rules. このメッセージが表示されないようにするには、デバイスが条件を満たしていることを確認してください。Make sure the device meets the criteria to avoid the message.


Q:一部のユーザーに、Azure AD 参加済みデバイスで Azure Multi-Factor Authentication のプロンプトが表示されないのはなぜですか?Q: Why don't some of my users get Azure Multi-Factor Authentication prompts on Azure AD joined devices?

A: ユーザーが Multi-Factor Authentication を使用してデバイスを Azure AD に参加または登録している可能性があります。A: A user might join or register a device with Azure AD by using Multi-Factor Authentication. それにより、デバイス自体がそのユーザーにとっての信頼された 2 つ目の要素になります。Then the device itself becomes a trusted second factor for that user. 同じユーザーがデバイスにサインインしてアプリケーションにアクセスするときは常に、Azure AD はデバイスを 2 つ目の要素と見なします。Whenever the same user signs in to the device and accesses an application, Azure AD considers the device as a second factor. これによりそのユーザーは、Multi-Factor Authentication の追加のプロンプトが表示されることなく、アプリケーションにシームレスにアクセスできます。It enables that user to seamlessly access applications without additional Multi-Factor Authentication prompts.

この動作は、This behavior:

  • Azure AD 参加済みデバイスと Azure AD 登録済みデバイスに適用できますが、ハイブリッド Azure AD 参加済みデバイスには適用できません。Is applicable to Azure AD joined and Azure AD registered devices - but not for hybrid Azure AD joined devices.

  • そのデバイスにサインインするその他のユーザーには適用されません。Isn't applicable to any other user who signs in to that device. そのため、そのデバイスにアクセスする他のすべてのユーザーは、Multi-Factor Authentication で必要な情報を取得します。So all other users who access that device get a Multi-Factor Authentication challenge. その後、Multi-Factor Authentication を必要とするアプリケーションにアクセスできるようになります。Then they can access applications that require Multi-Factor Authentication.


Q:Azure AD に参加したばかりのデバイスに対して、"ユーザー名またはパスワードが正しくありません" というメッセージが表示されるのはなぜですか?Q: Why do I get a username or password is incorrect message for a device I just joined to Azure AD?

A: このシナリオの一般的な理由は次のとおりです。A: Common reasons for this scenario are as follows:

  • ユーザーの資格情報が有効ではなくなっています。Your user credentials are no longer valid.

  • コンピューターが Azure Active Directory と通信できません。Your computer can't communicate with Azure Active Directory. ネットワーク接続の問題を確認してください。Check for any network connectivity issues.

  • フェデレーション サインインでは、有効になっていてアクセスできる WS-Trust エンドポイントがフェデレーション サーバーでサポートされている必要があります。Federated sign-ins require your federation server to support WS-Trust endpoints that are enabled and accessible.

  • パススルー認証が有効になっています。You enabled pass-through authentication. そのため、サインインするときに一時パスワードを変更する必要があります。So your temporary password needs to be changed when you sign in.


Q:PC を Azure AD に参加させようとしたときに [申し訳ありません。エラーが発生しました]Q: Why do I see the Oops… an error occurred! ダイアログが表示されるのはなぜですか?dialog when I try to Azure AD join my PC?

A: このエラーは、Intune への Azure Active Directory の登録を設定するときに発生します。A: This error happens when you set up Azure Active Directory enrollment with Intune. Azure AD への参加を試みているユーザーに、適切な Intune ライセンスが割り当てられていることを確認してください。Make sure that the user who tries to Azure AD join has the correct Intune license assigned. 詳細については、「Windows デバイスの登録をセットアップする」をご覧ください。For more information, see Set up enrollment for Windows devices.


Q:エラー情報が表示されなかったにもかかわらず、PC を Azure AD に参加させることができなかったのはなぜですか?Q: Why did my attempt to Azure AD join a PC fail, although I didn't get any error information?

A: ユーザーがローカルのあらかじめ登録された Administrator アカウントを使用してデバイスにサインインしていることが原因と考えられます。A: A likely cause is that you signed in to the device by using the local built-in administrator account. Azure Active Directory Join を使用してセットアップを完了する前に、別のローカル アカウントを作成してください。Create a different local account before you use Azure Active Directory join to finish the setup.


Q: Windows 10 デバイスに存在する MS-Organization-P2P-Access 証明書とは何ですか?Q:What are the MS-Organization-P2P-Access certificates present on our Windows 10 devices?

A: MS-Organization-P2P-Access 証明書は、Azure AD によって Azure AD 参加済みデバイスとハイブリッド Azure AD 参加済みデバイスの両方に発行されます。A: The MS-Organization-P2P-Access certificates are issued by Azure AD to both, Azure AD joined and hybrid Azure AD joined devices. これらの証明書を使用して、リモート デスクトップのシナリオで同じテナント内のデバイス間の信頼を可能にします。These certificates are used to enable trust between devices in the same tenant for remote desktop scenarios. 1 つの証明書はデバイスに発行され、もう 1 つはユーザーに発行されます。One certificate is issued to the device and another is issued to the user. デバイス証明書は Local Computer\Personal\Certificates 内に存在し、1 日間有効です。The device certificate is present in Local Computer\Personal\Certificates and is valid for one day. この証明書は、デバイスが Azure AD でアクティブなままの場合、(新しい証明書を発行することで) 更新されます。This certificate is renewed (by issuing a new certificate) if the device is still active in Azure AD. ユーザー証明書は Current User\Personal\Certificates 内に存在します。この証明書も 1 日間有効ですが、ユーザーが別の Azure AD 参加済みデバイスへのリモート デスクトップ セッションを試みたときに、オンデマンドで発行されます。The user certificate is present in Current User\Personal\Certificates and this certificate is also valid for one day, but it is issued on-demand when a user attempts a remote desktop session to another Azure AD joined device. これは期限切れ時に更新されません。It is not renewed on expiry. これらの証明書は、両方とも、Local Computer\AAD Token Issuer\Certificates 内に存在する MS-Organization-P2P-Access を使用して発行されます。Both these certificates are issued using the MS-Organization-P2P-Access certificate present in the Local Computer\AAD Token Issuer\Certificates. この証明書は、デバイスの登録時に Azure AD によって発行されます。This certificate is issued by Azure AD during device registration.


Q: Windows 10 デバイス上に MS-Organization-P2P-Access によって発行された有効期限切れの証明書が複数表示されるのはなぜですか?Q:Why do I see multiple expired certificates issued by MS-Organization-P2P-Access on our Windows 10 devices? どうすれば削除できますか?How can I delete them?

A: Windows 10 バージョン 1709 以前では、暗号化の問題のために、有効期限切れの MS-Organization-P2P-Access 証明書が引き続き存在するという問題が確認されました。A: There was an issue identified on Windows 10 version 1709 and lower where expired MS-Organization-P2P-Access certificates continued to exist on the computer store because of cryptographic issues. 多数の有効期限切れの証明書を処理できない VPN クライアント (Cisco AnyConnect など) を使用している場合、ユーザーにはネットワーク接続に関する問題が発生する可能性がありました。Your users could face issues with network connectivity, if you are using any VPN clients (e.g. Cisco AnyConnect) that cannot handle the large number of expired certificates. この問題は、Windows 10 1803 リリースで、MS-Organization-P2P-Access 証明書が自動的に削除されるように修正されました。This issue was fixed in Windows 10 1803 release to automatically delete any such expired MS-Organization-P2P-Access certificates. この問題は、デバイスを Windows 10 1803 に更新することで解決できます。You can resolve this issue by updating your devices to Windows 10 1803. 更新できない場合は、悪影響を及ぼすことなく、これらの証明書を削除できます。If you are unable to update, you can delete these certificates without any adverse impact.


Hybrid Azure AD Join の FAQHybrid Azure AD join FAQ

Q:Hybrid Azure AD Join のエラーの診断に関するトラブルシューティング情報はどこにありますか?Q: Where can I find troubleshooting information to diagnose hybrid Azure AD join failures?

A: トラブルシューティング情報については、次の記事をご覧ください。A: For troubleshooting information, see these articles:

Q:ハイブリッド Azure AD 参加済みの Windows 10 デバイスが、Azure AD デバイスの一覧に Azure AD 登録済みデバイスとして重複して表示されるのはなぜですか?Q: Why do I see a duplicate Azure AD registered record for my Windows 10 hybrid Azure AD joined device in the Azure AD devices list?

A: ユーザーがドメイン参加済みデバイス上のアプリに各自のアカウントを追加すると、[Add account to Windows?](アカウントを Windows に追加しますか?) というプロンプトが表示されることがあります。A: When your users add their accounts to apps on a domain-joined device, they might be prompted with Add account to Windows? このプロンプトで [はい] と入力すると、デバイスが Azure AD に登録されます。If they enter Yes on the prompt, the device registers with Azure AD. 信頼の種類は Azure AD 登録済みとしてマークされます。The trust type is marked as Azure AD registered. ご自身の組織で Hybrid Azure AD Join を有効にすると、デバイスは、ハイブリッド Azure AD 参加済みになります。After you enable hybrid Azure AD join in your organization, the device also gets hybrid Azure AD joined. それにより、同じデバイスに対して、2 つのデバイスの状態が表示されます。Then two device states show up for the same device.

Hybrid Azure AD Join は、Azure AD 登録済み状態よりも優先されます。Hybrid Azure AD join takes precedence over the Azure AD registered state. したがって、すべての認証と条件付きアクセス評価では、デバイスはハイブリッド Azure AD 参加とみなされます。So your device is considered hybrid Azure AD joined for any authentication and conditional access evaluation. Azure AD ポータルから Azure AD 登録済みデバイスのレコードを安全に削除できます。You can safely delete the Azure AD registered device record from the Azure AD portal. Windows 10 コンピューターでこの二重状態を回避またはクリーンアップする方法を確認してください。Learn to avoid or clean up this dual state on the Windows 10 machine.


Q:UPN の変更後、Windows 10 のハイブリッド Azure AD 参加済みデバイスでユーザーに問題が生じるのはなぜですか?Q: Why do my users have issues on Windows 10 hybrid Azure AD joined devices after changing their UPN?

A: 現在、ハイブリッド Azure AD 参加済みデバイスでの UPN の変更は完全にはサポートされていません。A: Currently UPN changes are not fully supported with hybrid Azure AD joined devices. UPN の変更後、ユーザーはデバイスにサインインして、オンプレミス アプリケーションにアクセスできますが、Azure AD での認証は失敗します。While users can sign in to the device and access their on-premises applications, authentication with Azure AD fails after a UPN change. その結果、ユーザーのデバイスで SSO と条件付きアクセスの問題が生じます。As a result, users have SSO and Conditional Access issues on their devices. 現時点では、この問題を解決するには、Azure AD からデバイスの参加を解除 (昇格された特権を使用して "dsregcmd /leave" を実行) し、再度参加する (自動的に行われる) 必要があります。At this time, you need to unjoin the device from Azure AD (run "dsregcmd /leave" with elevated privileges) and re-join (happens automatically) to resolve the issue. 現在、この問題の対策に取り組んでいます。We are currently working on addressing this issue. なお、この問題は Windows Hello for Business でサインインしているユーザーには影響しません。However, users signing in with Windows Hello for Business do not face this issue.


Q:Windows 10 のハイブリッド Azure AD 参加済みデバイスには、クラウド リソースにアクセスするためのドメイン コントローラーへの通信経路が必要ですか?Q: Do Windows 10 hybrid Azure AD joined devices require line of sight to the domain controller to get access to cloud resources?

A: ユーザーのパスワードが変更された場合を除いて、通常は必要ありません。A: Generally no, except when the user's password is changed. Windows 10 のハイブリッド Azure AD の参加が完了した後に、ユーザーが少なくとも 1 回サインインすると、そのデバイスにはクラウド リソースにアクセスするためのドメイン コントローラーへの通信経路は不要になります。Ater Windows 10 hybrid Azure AD join is complete, and the user has signed in at least once, the device doesn't require line of sight to the domain controller to access cloud resources. Windows 10 では、インターネット接続があればどこからでも Azure AD アプリケーションへのシングル サインオンが実現できますが、パスワードが変更された場合は例外です。Windows 10 can get single sign on to Azure AD applications from anywhere with an internet connection, except when a password is changed. Windows Hello for Business でサインインしているユーザーは、パスワード変更後、ドメイン コントローラーへの通信経路がなくても、引き続き Azure AD アプリケーションへのシングル サインオンを利用できます。Users who sign in with Windows Hello for Business continue to get single sign on to Azure AD applications even after a password change, even if they don't have line of sight to their domain controller.


Q:ユーザーがパスワードを変更し、企業ネットワークの外部から Windows 10 のハイブリッド Azure AD 参加済みデバイスへログインしようとするとどうなりますか?Q: What happens if a user changes their password and tries to login to their Windows 10 hybrid Azure AD joined device outside the corporate network?

A: パスワードを企業ネットワークの外部で (たとえば、Azure AD SSPR を使用して) 変更した場合、新しいパスワードを使用したユーザー ログオンは失敗します。A: If a password is changed outside the corporate network (for example, by using Azure AD SSPR), then the user logon with the new password will fail. ハイブリッド Azure AD 参加済みデバイスの場合、オンプレミスの Active Directory がプライマリ機関です。For hybrid Azure AD joined devices, on-premises Active Directory is the primary authority. デバイスがドメイン コントローラーに対する通信経路を持たない場合、そのデバイスは新しいパスワードを検証できません。When a device does not have line of sight to the domain controller, it is unable to validate the new password. このため、新しいパスワードでデバイスにサインインするためには、ユーザーはドメイン コントローラーとの接続を (VPN 経由または企業ネットワーク内のいずれかから) 確立する必要があります。So, user needs to establish connection with the domain controller (either via VPN or being in the corporate network) before they're able to sign in to the device with their new password. そうしないと、Windows でのキャッシュされたログオンの機能により、古いパスワードでしかサインインできません。Otherwise, they can only sign in with their old password because of cached logon capability in Windows. ただし、古いパスワードはトークン要求時に Azure AD によって無効にされるため、シングル サインオンができなくなり、デバイス ベースの条件付きアクセス ポリシーが失敗します。However, the old password is invalidated by Azure AD during token requests and hence, prevents single sign on and fails any device-based Conditional Access policies. この問題は、Windows Hello for Business を使用する場合は生じません。This issue doesn't occur if you use Windows Hello for Business.


Azure AD の登録の FAQAzure AD register FAQ

Q:Android デバイスや iOS BYOD デバイスを登録できますか?Q: Can I register Android or iOS BYOD devices?

A: はい。ただし、ハイブリッドのお客様が Azure デバイス登録サービスを利用してのみ可能となります。A: Yes, but only with the Azure device registration service and for hybrid customers. Active Directory フェデレーション サービス (AD FS) のオンプレミス デバイス登録サービスではサポートされていません。It's not supported with the on-premises device registration service in Active Directory Federation Services (AD FS).

Q:macOS デバイスを登録するにはどうしたらよいですか?Q: How can I register a macOS device?

A: 次の手順を実行します。A: Take the following steps:

  1. コンプライアンス ポリシーを作成するCreate a compliance policy
  2. macOS デバイスの条件付きアクセス ポリシーを定義するDefine a conditional access policy for macOS devices

解説:Remarks:

  • 条件付きアクセス ポリシーに含まれているユーザーがリソースにアクセスするには、macOS でサポートされているバージョンの Office が必要です。The users included in your conditional access policy need a supported version of Office for macOS to access resources.

  • 最初のアクセス試行中に、ユーザーは、会社のポータルを使用してデバイスを登録するよう求められます。During the first access try, your users are prompted to enroll the device by using the company portal.