Azure ネットワーク接続のトラブルシューティング

  • [アーティクル]

Azure ネットワーク接続 (ANC) では、環境を定期的にチェックし、すべての要件が満たされており、正常な状態であることを確認します。 いずれかのチェックが失敗した場合は、Microsoft Endpoint Manager admin center にエラー メッセージが表示されます。 このガイドには、チェックが失敗する原因となる可能性がある問題のトラブルシューティングに関する詳細な手順がいくつか含まれています。

Active Directory ドメイン参加

プロビジョニングされたクラウド PC は、指定されたドメインに自動的に参加します。 ドメイン参加プロセスをテストするために、Windows 365 正常性チェックが実行されるたびに、定義された組織単位 (OU) に "CPC-Hth" のような名前のドメイン コンピューター オブジェクトが作成されます。 これらのコンピューター オブジェクトは、正常性チェックが完了すると無効になります。 Active Directory ドメイン参加エラーは、さまざまな理由で発生する可能性があります。 ドメイン参加に失敗した場合は、次のことを確認してください。

  • ドメイン参加ユーザーに、指定されたドメインに参加するのに十分なアクセス許可がある。
  • ドメイン参加ユーザーは、指定された組織単位 (OU) に書き込むことができる。
  • ドメイン参加ユーザーは、参加できるコンピューターの数について制限されていない。 たとえば、ユーザーあたりのデフォルトの最大結合数は 10 であり、この最大値はクラウド PC プロビジョニングに影響を与える可能性があります。
  • 使用されているサブネットがドメイン コントローラーに到達できる。
  • クラウド PC の vNet またはサブネットに接続されている VM で、ドメイン参加資格情報を使用して Add-Computer をテストする。
  • 組織内の物理コンピューターと同様に、ドメイン参加エラーのトラブルシューティングを行う。
  • インターネット上で解決できるドメイン名 (contoso.com など) がある場合は、お使いの DNS サーバーが内部として構成されていることを確認する。 パブリック ドメイン名ではなく、Active Directory ドメイン DNS レコードを解決できることも確認してください。

Azure Active Directory デバイスの同期

プロビジョニング中に MDM 登録を行うには、クラウド PC の Azure Active Directory (Azure AD) オブジェクトが存在する必要があります。 このチェックは、組織のコンピューター アカウントが Azure AD に適時に同期されていることを確認するためのものです。

Azure AD コンピューター オブジェクトが Azure AD にすぐに表示されることを確認します。 30 分以内 (長くても 60 分) が推奨されます。 コンピューター オブジェクトが 90 分以内に Azure AD に到達しなかった場合、プロビジョニングは失敗します。

プロビジョニングが失敗した場合は、次のことを確認してください。

  • Azure AD の同期期間の構成が適切に設定されている。 ID チームと相談し、ディレクトリの同期が十分に高速であることを確認してください。
  • Azure AD がアクティブで正常である。
  • Azure AD Connect が正常に実行されており、同期サーバーに問題がない。
  • クラウド PC に指定されている OU に対して、手動で Add-Computer を実行する。 コンピューター オブジェクトが Azure AD に表示されるまでかかる時間を計測します。

Azure サブネットの IP アドレス範囲の使用

ANC セットアップの一部として、サブネットを指定します。 このサブネットは、プロビジョニング プロセス中にすべてのクラウド PC に対して使用されます。 各クラウド PC のプロビジョニングでは、仮想 NIC を作成し、サブネットから IP アドレスを使用します。

プロビジョニングする予定のクラウド PC のボリュームに使用できる十分な IP アドレスが割り当てられていることを確認します。 また、プロビジョニング エラーや発生する可能性のあるディザスター リカバリーに十分なアドレス空間を計画します。

このチェックが失敗した場合は、次のことを確認してください。

  • Azure Virtual Network でサブネットをチェックする。 使用可能なアドレス空間が十分にある必要があります。
  • 3 回のプロビジョニングの再試行 (それぞれで数時間使用されるネットワーク アドレスが保持される可能性がある) を処理するのに十分なアドレスがある。
  • 未使用の vNIC と IP アドレスをすべて削除します。他のサービスによって割り当てが消費されていないことを確認するだけの場合は、クラウド PC 専用サブネットを使用することをお勧めします。
  • サブネットを展開し、より多くのアドレスを使用できるようにする。

Azure テナントの準備

チェック時に、指定された Azure サブスクリプションが有効で正常であることをチェックします。 有効で正常でない場合、プロビジョニング中にクラウド PC を vNet に接続し直すことはできません。 課金の問題などの問題により、サブスクリプションが無効になる場合があります。

多くの組織では Azure ポリシーを使用して、リソースが特定のリージョンとサービスにのみプロビジョニングされていることを確認します。 すべての Azure ポリシーでクラウド PC サービスとサポートされているリージョンが考慮されていることを確認する必要があります。

Azure portal にサインインし、Azure サブスクリプションが有効になっていること、使用可能であること、および正常であることを確認してください。

また、Azure portal にアクセスしてポリシーを表示します。 リソースの作成をブロックしているポリシーがないことを確認します。

Azure 仮想ネットワークの変換準備

ANC の作成時に、サポートされていないリージョンにある vNet の使用をブロックします。 サポートされているリージョンの一覧については、要件に関するページを参照してください。

このチェックが失敗した場合は、指定された vNet が、サポートされているリージョンの一覧のリージョンにあることを確認してください。

DNS で Active Directory ドメインを解決できる

Windows 365 でドメイン参加を正常に実行するには、指定された vNet に接続されているクラウド PC が内部 DNS 名を解決できる必要があります。

このテストでは、指定されたドメイン名の解決を試みます。 たとえば、contoso.com や contoso.local です。 このテストが失敗した場合は、次のことを確認してください。

  • Azure vNet 内の DNS サーバーが、ドメイン名を正常に解決できる内部 DNS サーバーに正しく構成されている。
  • 指定された DNS サーバーにクラウド PC が到達できるように、サブネットまたは vNet が適切にルーティングされている。
  • 宣言されたサブネット内のクラウド PC または仮想マシンにより DNS サーバー上で NSLOOKUP を実行でき、内部名で応答する。

指定されたドメイン名での標準の DNS ルックアップに加えて、_ldap._tcp.yourDomain.com レコードの存在も確認します。 このレコードは、提供された DNS サーバーが Active Directory ドメイン コントローラーであることを示しています。 レコードは、AD ドメイン DNS が到達可能であることを確認するための信頼できる方法です。 これらのレコードが、Azure ネットワーク接続で提供される vNet を通じてアクセス可能であることを確認してください。

エンドポイント接続

プロビジョニング中に、Microsoft の一般公開されている複数のサービスにクラウド PC を接続する必要があります。 これらのサービスには、Microsoft Intune、Azure Active Directory、Azure Virtual Desktop などがあります。

クラウド PC によって使用されているサブネットから、すべての必要なパブリックエンド ポイントに到達できることを確認する必要があります。

このテストが失敗した場合は、次のことを確認してください。

  • Azure Virtual Network のトラブルシューティング ツールを使用して、指定された vNet またはサブネットがドキュメントに一覧表示されているサービス エンドポイントに到達できることを確かめる。
  • 指定された DNS サーバーで外部サービスを正しく解決できる。
  • クラウド PC のサブネットとインターネットの間にプロキシがない。
  • 必要なトラフィックをブロックする可能性のあるファイアウォール規則 (物理、仮想、または Windows 内) がない。
  • クラウド PC に対して宣言されている同じサブネット上の VM からエンドポイントをテストすることを検討する。

環境と構成の準備ができている

このチェックは、お客様の責任となるインフラストラクチャに関連する可能性のある多くのインフラストラクチャ関連の問題に使用されます。 内部サービスのタイムアウトなどのエラーや、チェックの実行中にお客様が Azure リソースを削除または変更したことによって発生したエラーが含まれる場合があります。

場合によっては、これらのサービス エラーは一時的で、再試行すると正常に完了します。 サポートを利用せずに実行できるトラブルシューティングはそれ以上ない場合もあります。

このエラーが発生した場合は、チェックを再試行することをお勧めします。 それでも解決しない場合は、サポートにお問い合わせください。

ファースト パーティ アプリのアクセス許可

ANC の作成時に、ウィザードによって、リソース グループとサブスクリプションに対する特定のレベルのアクセス許可が付与されます。 これらのアクセス許可により、サービスはクラウド PC をスムーズにプロビジョニングできます。

これらのアクセス許可は、そのようなアクセス許可を保持する Azure 管理者が表示および変更できます。

これらのアクセス許可のいずれかが取り消された場合、このチェックは失敗します。 Windows 365 アプリケーション サービス プリンシパルに次のアクセス許可が付与されていることを確認してください。

サブスクリプションのロールの割り当ては、クラウド PC のサービス プリンシパルに付与されます。

また、アクセス許可がクラシック サブスクリプション管理者ロールまたは "ロール (クラシック)" として付与されていないことを確認してください。 このロールでは不十分です。 上に一覧表示されている Azure ロールベースのアクセス制御組み込みロールの 1 つである必要があります。

次の手順

ANC 正常性チェックについて学習する