トップ回答者
フェデレーション環境でのworkplace joinを使用したwindows7のデバイス登録に関して

質問
-
Azure Active Directory Connectを使用して構成したフェデレーション環境でのデバイス認証を構成しました。
windows7にてworkplace joinを使用してデバイスの登録を試みているのですが、デバイスの登録が
上手く行えません。
windows7クライアント側の設定としては、以下を実施
■イントラサイトへ下記を登録
sts.ドメイン
https://enterpriseregistration.windows.net/
https://device.login.microsoftonline.com/■workplace joinのインストール
この状態で、ADユーザーでログインしているにも関わらずworkplace joinからAzure ADへの参加を実施した場合下記のエラーが出ます。
----------------------------
登録サービスはアカウントを正常に認証できませんでした。Active Directory ドメイン アカウントを使用してログインしていることを確認し、もう一度お試しください。
Hybrid Azure AD Join サービス認証 URL: https://login.microsoftonline.com/411c2921-6a71-4d53-b2ed-69eb1ef50a01/oauth2/authorize?response_type=code&client_id=dd762716-544d-4aeb-a526-687b73838a22&resource=urn:ms-drs:enterpriseregistration.windows.net&redirect_uri=ms-app%3a%2f%2fwindows.immersivecontrolpanel%2f&domain_hint=ドメイン&msafed=0&resource_params=eyJQcm9wZXJ0aWVzIjpbeyJLZXkiOiJhY3IiLCJWYWx1ZSI6IndpYW9ybXVsdGlhdXRobiJ9XX0
詳細については、https://aka.ms/HybridAzureADDownLevelTroubleshoot を参照してください
-----------------------------
状況を詳しく切り分けるため、アプリケーションとサービスログのworkplace joinでDebugログを有効化したところ
情報ログが30件ほどと下記エラーログが一件記録されました。-----------------------------
ソース: Microsoft-Workplace Join
ログの名前: Microsoft-Workplace Join/Debug
日付: 2019/07/01 17:13:11
イベント ID: 502
タスクのカテゴリ: なし
レベル: エラー
説明:
_NavigationComplete: Navigation was cancelled.
-------------------------------
あと気になる点として下記URLにアクセスした際にエラーになります
https://device.login.microsoftonline.com/
---------------------
Request Id: 8a0d63a1-2def-4ff8-8eb0-77b7e92f6c00Correlation Id: 85dc2de9-f16b-4619-9bf9-bd7d3446825eTimestamp: 2019-07-02T02:42:06ZMessage: AADSTS90014: The required field 'request' is missing.
-----------------------
また、下記URLにアクセスした際に開く画面も正常なものでないように思われます
https://enterpriseregistration.windows.net/
下記画面が開きます
このような状況ですが、こちらに関しまして知見をお持ちの方がいらっしゃいましたらご教示願いたいです。
よろしくお願いいたします。
回答
-
チャブーンです。
この件ですが、Device Registrationが機能しない場合、クライアント側からMicrosoft-Workplace-Join/Adminログ等で状況を確認し、対応するトラブルシュートの方法がありますので、したのページを確認いただくといいと思います。
それと念のため、Windows 7側の「すべての更新プログラム」は適用しておいたほうがいいでしょう。何らかの不具合の可能性があることも考え得るためです。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
- 編集済み チャブーンMVP 2019年7月8日 5:51
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年7月10日 9:14
- 回答としてマーク Haruka6002Microsoft contingent staff, Moderator 2019年10月28日 5:46
すべての返信
-
チャブーンです。
この件ですが、ハイブリッドAzureADでのデバイス認証構成の続編と理解しています。
AD FSが存在する環境では、一般にDevaice Registration ServiceはAD FS上で構成されます。AD FS上のDevaice Registration Serviceはきちんと構成されているのでしょうか?したのページをみて、確認いただいたほうがいいと思います。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
-
チャブーンさん
いつもありがとうございます。
こちらの構成と現在までの運用状況、今回の作業内容をこちらに記載させていただきます。
2年ほど前に、Office365を導入するにあたりオンプレミスADとOffice365の連携を実施いたしました。
オンプレ側の構成としましては、以下のサーバーが存在いたします
AD(2012R2) 2台
ADFS(2012R2) 1台
AADC(2012R2) 1台
WAP(2012R2) 1台
ADFSのクレームルールを使用して、IPによる社外からのOffice365へのアクセス遮断、ユーザーアカウントによる
社外からのアクセス許可という制御をいれておりました。
今回、この社外からのアクセスという部分を拡大する必要が出てきたため、管理外の端末からのアクセスを
ブロックするため、デバイス認証を導入する流れとなりました。
検証環境で検証を行った結果、Azure AD Connectを使用することでわずかな手間でデバイス認証が可能な
環境が構築できたため、同様に本番環境でもAzure AD Connectを使用してデバイス認証を実装しました。
しかし、検証環境では問題なくwindows7の登録もできていたのですが、本番環境ではうまく動作しなかったと
いう状況です。
本番環境はAzue AD Connectのバージョンが古かったため、今回最新版の1.3.21にバージョンアップを
行いました。
その後Azure AD Connectにてデバイス認証を構成いたしました。
ハイブリッドAzureADでのデバイス認証構成に関しましては、上記の内容で上手く動作しなかったため
手動による構成を実施しようとした際にエラーが出たため投稿いたしました。
下記状態が正しいかや
AllowedAuthenticationClassReferences : {wiaormultiauthn}
下記の状態が問題ないか
ClaimsProviderName : {Active Directory}
デバイス認証用のクレームルールに問題がないか
Azure AD Connectによるデバイス認証の構成ではデバイスライトバックが有効になっていなかったため
有効化するというのも実施しました。
証明書に関しましても、前回の投稿でご教示いただいた通り修正を行っております。
インターネット上で調べられるものには、ほぼ目を通したつもりですが状況がかわっておりません。
そしてデバイス登録の状況ですが、下記OSではすべて登録ができている状況です
Android
iOS
windows10
※windows8は自社で運用していない為確認をしておりません。
こちらに関しましては、ADのRegisteredDevicesに情報が登録されています。
IPやユーザーアカウントによるアクセス制御のクレームルールが影響することがないかという点が
少々きになっております。
もし、コマンドによる設定内容の確認方法などがあればご教示いただきたいです。
いくつかの特定のコマンドを実施して、すべてのコマンドで正しいレスポンスが返れば正常に動作するといった
ようなもの
windows10への移行も控えておりますので、移行が完了するとデバイス認証を使えると思いますが
極力早めに導入を行いたかったため、こちらに投稿いたしました。
引き続き、共有いただいた資料にて設定に問題ないかを確認してみます。
あまり参考になる情報を記載できていなかと思いますが、何かお気づきの点がございましたら
また、ご指摘いただけると幸いです。
いつもご確認ありがとうございます。
-
チャブーンです。
この件ですが、Device Registrationが機能しない場合、クライアント側からMicrosoft-Workplace-Join/Adminログ等で状況を確認し、対応するトラブルシュートの方法がありますので、したのページを確認いただくといいと思います。
それと念のため、Windows 7側の「すべての更新プログラム」は適用しておいたほうがいいでしょう。何らかの不具合の可能性があることも考え得るためです。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
- 編集済み チャブーンMVP 2019年7月8日 5:51
- 回答の候補に設定 flingminMicrosoft contingent staff, Moderator 2019年7月10日 9:14
- 回答としてマーク Haruka6002Microsoft contingent staff, Moderator 2019年10月28日 5:46
-