Windows 10 と Windows Server 2016 のハイブリッド Azure Active Directory 参加済みデバイスのトラブルシューティングTroubleshooting hybrid Azure Active Directory joined Windows 10 and Windows Server 2016 devices

この記事は、次のクライアントに適用されます。This article is applicable to the following clients:

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

その他の Windows クライアントについては、「ハイブリッド Azure Active Directory 参加済みダウンレベル デバイスのトラブルシューティング」を参照してください。For other Windows clients, see Troubleshooting hybrid Azure Active Directory joined down-level devices.

この記事は、ハイブリッド Azure Active Directory 参加済みデバイスの構成が済んでいて、次のシナリオに対応していることが前提となります。This article assumes that you have configured hybrid Azure Active Directory joined devices to support the following scenarios:

このドキュメントでは、考えられる問題の解決方法について、トラブルシューティングのガイダンスを示します。This document provides troubleshooting guidance on how to resolve potential issues.

Windows 10 および Windows Server 2016 でハイブリッド Azure Active Directory 参加がサポートされるのは、Windows 10 November 2015 Update 以降となります。For Windows 10 and Windows Server 2016, hybrid Azure Active Directory join supports the Windows 10 November 2015 Update and above. Anniversary Update の使用をお勧めします。We recommend using the Anniversary update.

手順 1:参加状態を取得するStep 1: Retrieve the join status

参加状態を取得するには:To retrieve the join status:

  1. 管理者としてコマンド プロンプトを開きます。Open the command prompt as an administrator

  2. dsregcmd/status」と入力します。Type dsregcmd /status

| Device State                                                         |

    AzureAdJoined: YES
 EnterpriseJoined: NO
         DeviceId: 5820fbe9-60c8-43b0-bb11-44aee233e4e7
       Thumbprint: B753A6679CE720451921302CA873794D94C6204A
   KeyContainerId: bae6a60b-1d2f-4d2a-a298-33385f6d05e9
      KeyProvider: Microsoft Platform Crypto Provider
     TpmProtected: YES
     KeySignTest: : MUST Run elevated to test.
         TenantId: 72b988bf-86f1-41af-91ab-2d7cd011db47
       TenantName: Contoso
      SettingsUrl: eyJVcmlzIjpbImh0dHBzOi8va2FpbGFuaS5vbmUubWljcm9zb2Z0LmNvbS8iLCJodHRwczovL2thaWxhbmkxLm9uZS5taWNyb3NvZnQuY29tLyJdfQ==
   JoinSrvVersion: 1.0
    KeySrvVersion: 1.0
     DomainJoined: YES
       DomainName: CONTOSO

| User State                                                           |

             NgcSet: YES
           NgcKeyId: {C7A9AEDC-780E-4FDA-B200-1AE15561A46B}
    WorkplaceJoined: NO
      WamDefaultSet: YES
WamDefaultAuthority: organizations
     WamDefaultGUID: {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
         AzureAdPrt: YES

手順 2:参加状態を評価するStep 2: Evaluate the join status

以下のフィールドを確認し、必要な値が設定されていることを確認します。Review the following fields and make sure that they have the expected values:

AzureAdJoined :はいAzureAdJoined : YES

このフィールドは、デバイスが Azure AD に参加しているかどうかを示します。This field indicates whether the device is joined with Azure AD. この値が NO である場合、Azure AD への参加は済んでいません。If the value is NO, the join to Azure AD has not completed yet.

考えられる原因Possible causes:

  • 参加させるコンピューターの認証に失敗した。Authentication of the computer for a join failed.

  • コンピューターで検出できない HTTP プロキシが組織に存在する。There is an HTTP proxy in the organization that cannot be discovered by the computer

  • コンピューターが認証する際に Azure AD に到達できないか、登録する際に Azure DRS に到達できない。The computer cannot reach Azure AD to authenticate or Azure DRS for registration

  • コンピューターが、組織の内部ネットワーク上、またはオンプレミスの AD ドメイン コントローラーが認識できる VPN 上に存在しない可能性がある。The computer may not be on the organization’s internal network or on VPN with direct line of sight to an on-premises AD domain controller.

  • コンピューターに TPM が存在する場合、TPM が正常な状態ではない可能性がある。If the computer has a TPM, it can be in a bad state.

  • サービスが正しく構成されていない可能性がある。この場合、前述のドキュメントで構成をもう一度確認する必要があります。There might be a misconfiguration in the services noted in the document earlier that you will need to verify again. 一般的な例を次に示します。Common examples are:

    • フェデレーション サーバーで WS-Trust エンドポイントが有効になっていない。Your federation server does not have WS-Trust endpoints enabled

    • フェデレーション サーバーで、統合 Windows 認証を使用したネットワーク内のコンピューターからの受信認証が許可されていない。Your federation server does not allow inbound authentication from computers in your network using Integrated Windows Authentication.

    • Azure AD のコンピューターが属する AD フォレスト内の検証済みのドメイン名を参照するサービス接続ポイント オブジェクトがない。There is no Service Connection Point object that points to your verified domain name in Azure AD in the AD forest where the computer belongs to

DomainJoined :はいDomainJoined : YES

このフィールドは、デバイスがオンプレミス Active Directory に参加しているかどうかを示します。This field indicates whether the device is joined to an on-premises Active Directory or not. この値が NO である場合、デバイスはハイブリッド Azure AD 参加を実行できません。If the value is NO, the device cannot perform a hybrid Azure AD join.

WorkplaceJoined :NOWorkplaceJoined : NO

このフィールドは、デバイスが ("ワークプレースに参加済み" としてマークされた) 個人所有のデバイスとして Azure AD に登録されているかどうかを示します。This field indicates whether the device is registered with Azure AD as a personal device (marked as Workplace Joined). ドメインに参加していて、なおかつハイブリッド Azure AD 参加済みのコンピューターでは、この値は NO になります。This value should be NO for a domain-joined computer that is also hybrid Azure AD joined. この値が YES である場合、ハイブリッド Azure AD 参加が完了する前に、職場または学校アカウントが追加されています。If the value is YES, a work or school account was added prior to the completion of the hybrid Azure AD join. このケースで Anniversary Update バージョンの Windows 10 (1607) を使用すると、そのアカウントは無視されます。In this case, the account is ignored when using the Anniversary Update version of Windows 10 (1607).

WamDefaultSet :YES and AzureADPrt :はいWamDefaultSet : YES and AzureADPrt : YES

これらのフィールドは、ユーザーがデバイスへのサインイン時に Azure AD に対して正常に認証されたことを示します。These fields indicate whether the user has successfully authenticated to Azure AD when signing in to the device. これらの値が NO である場合、次のことが原因として考えられます。If the values are NO, it could be due:

  • 登録時にデバイスに関連付けられた TPM のストレージ キー (STK) に問題がある (管理者特権での実行時に KeySignTest を確認)Bad storage key (STK) in TPM associated with the device upon registration (check the KeySignTest while running elevated).

  • 代替ログイン IDAlternate Login ID

  • HTTP プロキシが見つからないHTTP Proxy not found

次の手順Next steps

ご不明な点がある場合は、デバイス管理の FAQ をご覧ください。For questions, see the device management FAQ