グループ ポリシーを使用した Windows 10 デバイスの自動登録Enroll a Windows 10 device automatically using Group Policy

Windows 10 Version 1709 以降、グループ ポリシーを使用して、Active Directory (AD) ドメインに結合しているデバイス用に MDM の自動登録をトリガーすることができます。Starting in Windows 10, version 1709, you can use a Group Policy to trigger auto-enrollment to MDM for Active Directory (AD) domain-joined devices.

Intune への登録は、ローカルの AD に作成されたグループ ポリシーによってトリガーされ、ユーザーの操作なしで行われます。The enrollment into Intune is triggered by a group policy created on your local AD and happens without any user interaction. つまり、多数のドメインに参加している大規模な量の企業デバイスを Microsoft Intune に自動的に一括登録することができます。This means you can automatically mass-enroll a large number of domain-joined corporate devices into Microsoft Intune. Azure AD アカウントを使用してデバイスにサインインすると、バックグラウンドで登録プロセスが開始されます。The enrollment process starts in the background once you sign in to the device with your Azure AD account.

要件:Requirements:

  • Windows 10 Version 1709 以降を実行している場合AD-joined PC running Windows 10, version 1709 or later
  • エンタープライズは、モバイル デバイス管理 (MDM) サービスを構成していますThe enterprise has configured a mobile device management (MDM) service
  • オンプレミス広告はAZURE ad (AZURE Ad Connect 経由) と統合されている必要があります。The on-premises AD must be integrated with Azure AD (via Azure AD Connect)
  • デバイスは、クラシック エージェントを使用している Intune には登録されていないことが必要です (エージェントを使用して管理されたデバイスでは、error 0x80180026 の登録に失敗します)The device should not already be enrolled in Intune using the classic agents (devices managed using agents will fail enrollment with error 0x80180026)
  • Windows Server バージョン の最小要件は、ハイブリッド Azure AD join の要件に基づいています。The minimum Windows Server version requirement is based on the Hybrid Azure AD join requirement. 詳細については、「ハイブリッド Azure Active Directory 結合の実装を計画する方法」を参照してください。See How to plan your hybrid Azure Active Directory join implementation for more information.

自動登録は、MDM サービスと PC 用の Azure Active Directory 登録の有無に依存します。The auto-enrollment relies on the presence of an MDM service and the Azure Active Directory registration for the PC. Windows 10 バージョン 1607 以降、エンタープライズが Azure AD に AD を登録すると、ドメインに参加している Windows PC は、自動的に Azure AD –登録されます。Starting in Windows 10, version 1607, once the enterprise has registered its AD with Azure AD, a Windows PC that is domain joined is automatically Azure AD–registered.

注意

Windows 10 Version 1709 では、登録プロトコルが更新され、デバイスがドメインに結合しているかどうかを確認します。In Windows 10, version 1709, the enrollment protocol was updated to check whether the device is domain-joined. 詳細については、「[MS-MDE2]: モバイル デバイスの登録プロトコル バージョン 2」を参照してください。For details, see [MS-MDE2]: Mobile Device Enrollment Protocol Version 2. 例については、「MS-MDE2 プロトコル ドキュメントの 4.3.1 RequestSecurityToken」を参照してください。For examples, see section 4.3.1 RequestSecurityToken of the MS-MDE2 protocol documentation.

自動登録グループ ポリシーが有効になっていると、MDM 登録を開始するタスクがバックグラウンドで作成されます。When the auto-enrollment Group Policy is enabled, a task is created in the background that initiates the MDM enrollment. このタスクは、ユーザーの Azure Active Directory 情報の既存の MDM サービス構成を使用します。The task will use the existing MDM service configuration from the Azure Active Directory information of the user. 多要素認証が必要な場合は、認証を完了するように求めるメッセージが表示されます。If multi-factor authentication is required, the user will get a prompt to complete the authentication. 登録が構成されると、ユーザーは設定ページで状態を確認できます。Once the enrollment is configured, the user can check the status in the Settings page.

Windows 10 Version 1709 以降、同じポリシーが GP および MDM に構成されている場合、GP ポリシーの優先順位は MDM ポリシーより上です (GP ポリシーは MDM より優先されます)。In Windows 10, version 1709 or later, when the same policy is configured in GP and MDM, the GP policy wins (GP policy takes precedence over MDM). Windows 10 Version 1803 以降では、新しい設定を使用すると、ポリシーが競合した場合の優先度を MDM に変更できます。Since Windows 10, version 1803, a new setting allows you to change the policy conflict winner to MDM. 詳細については、「Windows 10 グループ ポリシーと Intune MDM ポリシーのどちらを優先するか」を参照してください。For additional information, see Windows 10 Group Policy vs. Intune MDM Policy who wins?

このポリシーが機能するためには、MDM サービス プロバイダがドメインに参加しているデバイス用にトリガーされた MDM 登録を GP に許可していることを確認する必要があります。For this policy to work, you must verify that the MDM service provider allows the GP triggered MDM enrollment for domain joined devices.

自動登録の要件と設定を確認するVerify auto-enrollment requirements and settings

自動登録機能が期待どおりに動作していることを確認するには、さまざまな要件と設定が正しく構成されていることを確認する必要があります。To ensure that the auto-enrollment feature is working as expected, you must verify that various requirements and settings are configured correctly. 次の手順では、Intune サービスを使用して必要な設定を示します。The following steps demonstrate required settings using the Intune service:

  1. デバイスを登録するユーザーに有効な Intune ライセンスがあることを確認します。Verify that the user who is going to enroll the device has a valid Intune license.

    Intune ライセンスの確認

  2. Intune にデバイスを登録するユーザーの自動登録が有効になっていることを確認します。Verify that auto-enrollment is activated for those users who are going to enroll the devices into Intune. 追加情報の詳細については、「Azure AD と Microsoft Intune: 新しいポータルでの自動 MDM 登録」を参照してください。For additional details, see Azure AD and Microsoft Intune: Automatic MDM enrollment in the new Portal.

    自動登録ライセンス認証の確認

    重要

    BYOD デバイスの場合は、すべてのユーザー (またはユーザーの同じグループ) に対して MAM と MDM 両方のユーザー スコープが有効になっている場合、MAM ユーザー スコープが優先されます。For BYOD devices, the MAM user scope takes precedence if both MAM user scope and MDM user scope (automatic MDM enrollment) are enabled for all users (or the same groups of users). デバイスは、MDM に登録するのではなく、Windows 情報保護 (WIP) ポリシーを使用します (構成した場合)。The device will use Windows Information Protection (WIP) Policies (if you configured them) rather than being MDM enrolled.

    企業のデバイスの場合、両方のスコープが有効になっている場合は、MDM ユーザー スコープが優先されます。For corporate devices, the MDM user scope takes precedence if both scopes are enabled. デバイスには MDM が登録されます。The devices get MDM enrolled.

  3. デバイスの OS バージョンが Windows 10 Version 1709 以降であることを確認します。Verify that the device OS version is Windows 10, version 1709 or later.

  4. グループ ポリシーを通した Intune への自動登録は、ハイブリッド Azure AD に結合しているデバイスにのみ有効です。Auto-enrollment into Intune via Group Policy is valid only for devices which are hybrid Azure AD joined. つまり、デバイスはローカルの Active Directory と Azure Active Directory の両方に結合する必要があります。This means that the device must be joined into both local Active Directory and Azure Active Directory. デバイスがハイブリッド Azure AD に結合していることを確認するには、コマンド ラインから dsregcmd /status を実行します。To verify that the device is hybrid Azure AD joined, run dsregcmd /status from the command line.

    AzureAdJoinedDomainJoinedYES に設定されている場合、デバイスは適切にハイブリッド結合されていることを確認できます。You can confirm that the device is properly hybrid-joined if both AzureAdJoined and DomainJoined are set to YES.

    自動登録デバイスの状態の結果

    さらに、[SSO 状態のセクション] に AzureAdPrt[YES] として表示されていることを確認します。Additionally, verify that the SSO State section displays AzureAdPrt as YES.

    自動登録の Azure AD prt の確認

    この情報は、Azure AD デバイスのリストにもあります。This information can also be found on the Azure AD device list.

    Azure AD デバイスのリスト

  5. 自動登録時の MDM 探索 URL が https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc であることを確認するVerify that the MDM discovery URL during auto-enrollment is https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc

    MDM 探索 URL

  6. テナントによっては、モビリティの下に Microsoft IntuneMicrosoft Intune 登録の両方がある場合があります。Some tenants might have both Microsoft Intune and Microsoft Intune Enrollment under Mobility. 自動登録の設定が、Microsoft Intune 登録ではなく、Microsoft Intune で構成されていることを確認します。Make sure that your auto-enrollment settings are configured under Microsoft Intune instead of Microsoft Intune Enrollment.

    MDM Intune のモビリティ設定

  7. 既定の Azure AD 資格情報を使用して、MDM の自動登録を有効にするグループ ポリシー (ローカル グループ ポリシー エディター > コンピューターの構成 > ポリシー > 管理用テンプレート > Windows コンポーネント > MDM) が、Intune に登録する必要があるすべてのデバイスに正しく展開されていることを確認します。Verify that the Enable Automatic MDM enrollment using default Azure AD credentials group policy (Local Group Policy Editor > Computer Configuration > Policies > Administrative Templates > Windows Components > MDM) is properly deployed to all devices which should be enrolled into Intune. グループ ポリシーが正常に展開されているかどうかを確認するには、ドメインの管理者に問い合わせてください。You may contact your domain administrators to verify if the group policy has been deployed successfully.

  8. デバイスが Intune Silverlight ポータルで使用されている以前の Intune クライアントに登録されていないことを確認します (これは、Azure ポータルより前に使用されていた Intune ポータルです)。Verify that the device is not enrolled with the old Intune client used on the Intune Silverlight Portal (this is the Intune portal used before the Azure portal).

  9. Azure AD によって、ログオン ユーザーがデバイスを登録できることを確認します。Verify that Azure AD allows the logon user to enroll devices. Azure AD デバイスの設定

  10. Microsoft Intune が Windows デバイスの登録を許可していることを確認します。Verify that Microsoft Intune should allow enrollment of Windows devices. Windows デバイスの登録

1 台の PC の自動登録グループ ポリシーを構成するConfigure the auto-enrollment Group Policy for a single PC

この手順は、新しい自動登録ポリシーのしくみを説明する目的にのみ使用します。This procedure is only for illustration purposes to show how the new auto-enrollment policy works. この手順は、エンタープライズでの運用環境には推奨されません。It is not recommended for the production environment in the enterprise. 一括展開の場合、グループ ポリシー管理コンソールのプロセスを使用する必要があります。For bulk deployment, you should use the Group Policy Management Console process.

要件:Requirements:

  • Windows 10 Version 1709 以降を実行している場合AD-joined PC running Windows 10, version 1709 or later
  • エンタープライズは MDM サービスが既に構成されていますEnterprise has MDM service already configured
  • エンタープライズ AD は、Azure AD に登録されている必要がありますEnterprise AD must be registered with Azure AD
  1. GPEdit.msc を実行するRun GPEdit.msc

    [スタート] をクリックし、テキストボックスに「gpedit」と入力します。Click Start, then in the text box type gpedit.

    GPEdit デスクトップ アプリの検索結果

  2. [最適一致] で、[グループ ポリシーの編集] をクリックして起動します。Under Best match, click Edit group policy to launch it.

  3. ローカル コンピュータ ポリシーで、[管理用テンプレート] > [Windows コンポーネント] > [MDM] をクリックします。In Local Computer Policy, click Administrative Templates > Windows Components > MDM.

    MDM ポリシー

  4. [既定の Azure AD 資格情報を使用して MDM の自動登録を有効にする] (以前の Windows 10 Version 1709 ではAAD トークンを使用した MDM の自動登録と呼ばれていました) をダブルクリックします。Double-click Enable automatic MDM enrollment using default Azure AD credentials (previously called Auto MDM Enrollment with AAD Token in Windows 10, version 1709). Windows 10 バージョン 1903 以降の ADMX ファイルの場合は、使用する資格情報の種類として [ユーザー資格情報] を選択します。For ADMX files in Windows 10, version 1903 and later, select User Credential as the Selected Credential Type to use.

    注意

    デバイスの資格情報 資格情報の種類は機能する場合がありますが、Intune ではまだサポートされていません。Device Credential Credential Type may work, however, it is not yet supported by Intune. サポートされるまでは、このオプションの使用はお勧めしません。We don't recommend using this option until it's supported. MDM 自動登録ポリシー

  5. [有効化] をクリックし、ドロップダウンから [ユーザーの資格情報][使用する視覚情報の種類を選択する] を選択して、[OK] をクリックします。Click Enable, and select User Credential from the dropdown Select Credential Type to Use, then click OK.

    注意

    Windows 10 Version 1903 では、MDM.admx ファイルが更新され、デバイスの登録に使用する資格情報を選択するオプションが追加されました。In Windows 10, version 1903, the MDM.admx file was updated to include an option to select which credential is used to enroll the device. デバイスの資格情報は、Windows 10 Version 1903 以降がインストールされているクライアントにのみ有効な新機能です。Device Credential is a new option that will only have an effect on clients that have installed Windows 10, version 1903 or later. 以前のリリースの既定の動作では、ユーザーの資格情報に戻されます。The default behavior for older releases is to revert to User Credential. デバイスに ConfigMgr エージェントがある場合、デバイスの資格情報 は登録の種類ではサポートされません。Device Credential is not supported for enrollment type when you have a ConfigMgr Agent on your device.

    クライアントでグループ ポリシーの更新が発生すると、タスクが作成され、1 日の期間で 5 分ごとに実行されるようにスケジュールされます。When a group policy refresh occurs on the client, a task is created and scheduled to run every 5 minutes for the duration of one day. タスク名は、"AAD から MDM に自動登録するために登録クライアントが作成したスケジュール" と呼ばれます。The task is called " Schedule created by enrollment client for automatically enrolling in MDM from AAD."

    スケジュールされたタスクを表示するには、タスク スケジューラ アプリを起動します。To see the scheduled task, launch the Task Scheduler app.

    2 要素認証が必要な場合は、プロセスを完了するように求めるメッセージが表示されます。If two-factor authentication is required, you will be prompted to complete the process. スクリーンショットの例を次に示します。Here is an example screenshot.

    2 要素認証通知

    ヒント

    Azure AD の条件付きアクセス ポリシーを使用して、この動作を回避することができます。You can avoid this behavior by using Conditional Access Policies in Azure AD. 詳細については、「条件付きアクセスとは」を参照してください。Learn more by reading What is Conditional Access?.

  6. MDM に正常に登録されたことを確認するには、[スタート] > [設定] > [アカウント] > [職場または学校にアクセス] をクリックし、自分のドメイン アカウントを選択します。To verify successful enrollment to MDM , click Start > Settings > Accounts > Access work or school, then select your domain account.

  7. [情報] をクリックすると、MDM の登録情報が表示されます。Click Info to see the MDM enrollment information.

    職場/学校の設定

    [情報] ボタンや登録情報が表示されない場合は、登録に失敗している可能性があります。If you do not see the Info button or the enrollment information, it is possible that the enrollment failed. タスク スケジューラ アプリの状態を確認します。Check the status in Task Scheduler app.

タスク スケジューラ アプリTask Scheduler app

  1. [スタート] をクリックし、テキストボックスに「タスク スケジューラ」と入力します。Click Start, then in the text box type task scheduler.

    タスク スケジューラの検索結果

  2. [最適一致] で、[タスク スケジューラ] をクリックして起動します。Under Best match, click Task Scheduler to launch it.

  3. タスク スケジューラ ライブラリ[Microsoft] > [Windows] を開き、[EnterpriseMgmt] をクリックします。In Task Scheduler Library, open Microsoft > Windows , then click EnterpriseMgmt.

    スケジュールされたタスクの自動登録

    タスクの結果を表示するには、スクロールバーを右に移動して、[最終実行結果] を表示します。To see the result of the task, move the scroll bar to the right to see the Last Run Result. 0x80180026 は失敗メッセージです (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED)。Note that 0x80180026 is a failure message (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED). [履歴] タブにログが表示されます。You can see the logs in the History tab.

    デバイスの登録がブロックされている場合は、IT 管理者がMDM の登録を無効にするポリシーを有効にしている可能性があります。If the device enrollment is blocked, your IT admin may have enabled the Disable MDM Enrollment policy. GPEdit コンソールには、デバイスの IT 管理者が設定したポリシーの状態が反映されないことに注意してください。Note that the GPEdit console does not reflect the status of policies set by your IT admin on your device. ポリシーを設定するのは、ユーザーのみです。It is only used by the user to set policies.

複数のデバイスの自動登録を構成するConfigure the auto-enrollment for a group of devices

要件:Requirements:

  • Windows 10 Version 1709 以降を実行している場合AD-joined PC running Windows 10, version 1709 or later
  • エンタープライズでは MDM サービスが既に構成されています (Intune またはサード パーティのサービス プロバイダーを使用)Enterprise has MDM service already configured (with Intune or a third-party service provider)
  • エンタープライズ AD は、Azure AD に統合されている必要があります。Enterprise AD must be integrated with Azure AD.
  • PC が同じコンピューター グループに属していることを確認します。Ensure that PCs belong to same computer group.

重要

ポリシーが表示されない場合は、Windows 10 Version 1803、Version 1809、または Version 1903 用の ADMX がインストールされていない可能性があります。If you do not see the policy, it may be because you don't have the ADMX for Windows 10, version 1803, version 1809, or version 1903 installed. この問題を修正するには、次の手順を使用します。To fix the issue, use the following procedures. 最新の MDM.admx は後方互換性があることに注意してください。Note that the latest MDM.admx is backwards compatible.

  1. ダウンロード:Download:

  2. ドメイン コントローラーにパッケージをインストールします。Install the package on the Domain Controller.

  3. フォルダーのバージョンに応じて、次の操作を行います。Navigate, depending on the version to the folder:

    • 1803 --> C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 April 2018 Update (1803) v21803 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 April 2018 Update (1803) v2

    • 1809 --> C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 October 2018 Update (1809) v21809 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2018 Update (1809) v2

    • 1903 --> C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 May 2019 Update (1903) v31903 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2019 Update (1903) v3

    • 1909 --> C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 November 2019 Update (1909)1909 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)

    • 2004 --> C:\Program Files (x86)\Microsoft グループ ポリシー\Windows 10 May 2020 Update (2004)2004 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 May 2020 Update (2004)

    • 20H2 --> C:\Program files (x86)\Microsoft グループ ポリシー\Windows 10 October 2020 Update (20H2)20H2 --> C:\Program Files (x86)\Microsoft Group Policy\Windows 10 October 2020 Update (20H2)

  4. [抽出されたポリシーの定義] フォルダーから PolicyDefinitions に名前を変更します。Rename the extracted Policy Definitions folder to PolicyDefinitions.

  5. PolicyDefinitions フォルダーを C:\Windows\SYSVOL\domain\Policies にコピーします。Copy PolicyDefinitions folder to C:\Windows\SYSVOL\domain\Policies.

    このフォルダーが存在しない場合は、ドメイン全体に対して、中央ポリシー ストアに切り替えられることに注意してください。If this folder does not exist, then be aware that you will be switching to a central policy store for your entire domain.

  6. ポリシーを使用するには、ドメイン コントローラーを再起動します。Restart the Domain Controller for the policy to be available.

この手順は、将来のどのバージョンでも同様に動作します。This procedure will work for any future version as well.

  1. グループ ポリシー オブジェクト (GPO) を作成し、グループ ポリシーコンピューターの構成 > ポリシー > 管理用テンプレート > Windows コンポーネント > ** MDM ** > を有効にして、既定の Azure AD 資格情報を使用して MDM の自動登録を有効にしますCreate a Group Policy Object (GPO) and enable the Group Policy Computer Configuration > Policies > Administrative Templates > Windows Components > MDM > Enable automatic MDM enrollment using default Azure AD credentials.

  2. PC のセキュリティ グループを作成します。Create a Security Group for the PCs.

  3. GPO をリンクします。Link the GPO.

  4. セキュリティ グループを使用してフィルター処理を行います。Filter using Security Groups.

デバイスの自動登録のトラブルシューティングTroubleshoot auto-enrollment of devices

必須の確認手順をすべて実行しても問題が解決しない場合は、ログ ファイルを調査します。Investigate the log file if you have issues even after performing all the mandatory verification steps. 調査する最初のログ ファイルは、対象の Windows 10 デバイスのイベント ログです。The first log file to investigate is the event log on the target Windows 10 device.

イベント ビューアー ログを収集するには、次の操作を行います。To collect Event Viewer logs:

  1. イベント ビューアーを開きます。Open Event Viewer.

  2. アプリケーションとサービスのログ > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin に移動します。Navigate to Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin.

    ヒント

    Intune のイベント ログの収集方法の詳細については、「MDM イベント ビューアー ログを収集する」を参照してください。For guidance on how to collect event logs for Intune, see Collect MDM Event Viewer Log YouTube video.

  3. イベント ID 75 を検索します。これは、自動登録を正常に完了したことを意味します。Search for event ID 75, which represents a successful auto-enrollment. 自動登録を正常に完了したことを示すスクリーンショットの例を次に示します。![イベント ID 75Here is an example screenshot that shows the auto-enrollment completed successfully: Event ID 75

    ログにイベント ID 75 が見つからない場合は、自動登録が失敗していることを示しています。If you cannot find event ID 75 in the logs, it indicates that the auto-enrollment failed. これは、次の理由で発生することがあります。This can happen because of the following reasons:

    • エラーが発生して登録に失敗しました。The enrollment failed with error. この場合は、自動登録が失敗したことを示すイベント ID 76 を検索します。In this case, search for event ID 76, which represents failed auto-enrollment. 自動登録が失敗したことを示すスクリーンショットの例を次に示します。イベント ID 76 トラブルシューティングを行うには、イベントに表示されるエラー コードを確認します。Here is an example screenshot that shows that the auto-enrollment failed: Event ID 76 To troubleshoot, check the error code that appears in the event. 詳細については、「Microsoft Intune で Windows デバイス登録の問題に関するトラブルシューティング」を参照してください。See Troubleshooting Windows device enrollment problems in Microsoft Intune for more information.
    • 自動登録がまったくトリガーされませんでした。The auto-enrollment did not trigger at all. この場合、イベント ID 75、イベント ID 76 のいずれも見つかりません。In this case, you will not find either event ID 75 or event ID 76. その理由を知るためには、以下のセクションで説明するように、デバイス上で発生している内部メカニズムを理解する必要があります。To know the reason, you must understand the internal mechanisms happening on the device as described in the following section.

    自動登録プロセスは、タスク スケジューラー内のタスク (Microsoft > Windows > EnterpriseMgmt) によってトリガーされます。The auto-enrollment process is triggered by a task (Microsoft > Windows > EnterpriseMgmt) within the task-scheduler. このタスクは、既定の Azure AD 資格情報を使用して、MDM の自動登録を有効にするグループ ポリシー (コンピューターの構成 > ポリシー > 管理用テンプレート > Windows コンポーネント > MDM) が、次に示すスクリーンショットのように、対象のコンピューターに正常に展開された場合に表示されます。![タスク スケジューラThis task appears if the Enable automatic MDM enrollment using default Azure AD credentials group policy (Computer Configuration > Policies > Administrative Templates > Windows Components > MDM) is successfully deployed to the target machine as shown in the following screenshot: Task scheduler

    注意

    このタスクは標準ユーザーには表示されません。管理者の資格情報を使用して、スケジュールされたタスクを実行し、タスクを見つけます。This task isn't visible to standard users - run Scheduled Tasks with administrative credentials to find the task.

    このタスクは、1 日の間、5 分ごとに実行されます。This task runs every 5 minutes for the duration of 1 day. タスクが成功したかどうかを確認するには、タスク スケジューラのイベント ログを確認します。アプリケーションとサービスのログ > Microsoft > Windows > タスク スケジューラ > 稼働中を確認します。To confirm if the task succeeded, check the task scheduler event logs: Applications and Services Logs > Microsoft > Windows > Task Scheduler > Operational. AAD から MDM に自動登録するために登録クライアントによって作成されたタスク スケジューラがイベント ID 107 によってトリガーされているエントリを検索します。Look for an entry where the task scheduler created by enrollment client for automatically enrolling in MDM from AAD is triggered by event ID 107.

    イベント ID 107

    タスクが完了すると、新しいイベント ID 102 がログに記録されます。When the task is completed, a new event ID 102 is logged. イベント ID 102

    タスク スケジューラのログには、自動登録の成否に関わらず、イベント ID 102 (タスク完了) が表示されることに注意してください。Note that the task scheduler log displays event ID 102 (task completed) regardless of the auto-enrollment success or failure. つまり、タスク スケジューラ ログは、自動登録タスクがトリガーされたかどうかを確認する場合にのみ役立ちます。This means that the task scheduler log is only useful to confirm if the auto-enrollment task is triggered or not. 自動登録の成否を示しているわけではありません。It does not indicate the success or failure of auto-enrollment.

    AAD から MDM に自動登録するために登録クライアントによって作成されたタスク スケジュールが表示されない場合は、グループ ポリシーに問題がある可能性があります。If you cannot see from the log that task Schedule created by enrollment client for automatically enrolling in MDM from AAD is initiated, there is possibly issue with the group policy. コマンド プロンプトで gpupdate /force コマンドをすぐに実行して、GPO を適用します。Immediately run the command gpupdate /force in command prompt to get the GPO applied. それでも問題が解決しない場合は、Active Directory についてのトラブルシューティングを続ける必要があります。If this still does not help, further troubleshooting on the Active Directory is required. よく表示されるエラーの 1 つは、対象のクライアント デバイス上のレジストリの一部の古い登録エントリに関連しています (HKLM > ソフトウェア > Microsoft > 登録)。One frequently seen error is related to some outdated enrollment entries in the registry on the target client device (HKLM > Software > Microsoft > Enrollments). デバイスが登録されている場合 (Intune だけでなく、MDM ソリューションの場合も含みます)、レジストリに追加された登録情報が表示されます。If a device has been enrolled (can be any MDM solution and not only Intune), some enrollment information added into the registry is seen:

    古い登録エントリ

    既定では、これらのエントリはデバイスの登録を解除したときに削除されますが、登録解除後もレジストリ キーが残っている場合があります。By default, these entries are removed when the device is un-enrolled, but occasionally the registry key remains even after un-enrollment. この場合、gpupdate /force は自動登録タスクを開始しません。エラーコード 2149056522 がアプリケーションとサービスのログ > Microsoft > Windows > タスク スケジューラ > 操作イベント ログ ファイルは、イベント ID 7016 に表示されます。In this case, gpupdate /force fails to initiate the auto-enrollment task and error code 2149056522 is displayed in the Applications and Services Logs > Microsoft > Windows > Task Scheduler > Operational event log file under event ID 7016. この問題を解決するには、手動でレジストリ キーを削除します。A resolution to this issue is to remove the registry key manually. 削除するレジストリ キーがわからない場合は、上のスクリーンショットのように、ほとんどのエントリが表示されるキーを使用してください。If you do not know which registry key to remove, go for the key which displays most entries as the screenshot above. その他のすべてのキーには、次のスクリーンショットに示すように、表示されるエントリが少なくなります:All other keys will display fewer entries as shown in the following screenshot:

    手動で削除したエントリ

関連トピックRelated topics