none
フェデレーション環境でのworkplace joinを使用したwindows7のデバイス登録に関して RRS feed

  • 質問

  • Azure Active Directory Connectを使用して構成したフェデレーション環境でのデバイス認証を構成しました。

    windows7にてworkplace joinを使用してデバイスの登録を試みているのですが、デバイスの登録が
    上手く行えません。

    windows7クライアント側の設定としては、以下を実施
    ■イントラサイトへ下記を登録
    sts.ドメイン
    https://enterpriseregistration.windows.net/
    https://device.login.microsoftonline.com/

    ■workplace joinのインストール

    この状態で、ADユーザーでログインしているにも関わらずworkplace joinからAzure ADへの参加を実施した場合下記のエラーが出ます。
    ----------------------------
    登録サービスはアカウントを正常に認証できませんでした。Active Directory ドメイン アカウントを使用してログインしていることを確認し、もう一度お試しください。


    Hybrid Azure AD Join サービス認証 URL: https://login.microsoftonline.com/411c2921-6a71-4d53-b2ed-69eb1ef50a01/oauth2/authorize?response_type=code&client_id=dd762716-544d-4aeb-a526-687b73838a22&resource=urn:ms-drs:enterpriseregistration.windows.net&redirect_uri=ms-app%3a%2f%2fwindows.immersivecontrolpanel%2f&domain_hint=ドメイン&msafed=0&resource_params=eyJQcm9wZXJ0aWVzIjpbeyJLZXkiOiJhY3IiLCJWYWx1ZSI6IndpYW9ybXVsdGlhdXRobiJ9XX0
    詳細については、https://aka.ms/HybridAzureADDownLevelTroubleshoot を参照してください

    -----------------------------

    状況を詳しく切り分けるため、アプリケーションとサービスログのworkplace joinでDebugログを有効化したところ
    情報ログが30件ほどと下記エラーログが一件記録されました。

    -----------------------------
    ログの名前:         Microsoft-Workplace Join/Debug

    ソース:           Microsoft-Workplace Join
    日付:            2019/07/01 17:13:11
    イベント ID:       502
    タスクのカテゴリ:      なし
    レベル:           エラー
    説明:
    _NavigationComplete: Navigation was cancelled.

    -------------------------------

    あと気になる点として下記URLにアクセスした際にエラーになります
    https://device.login.microsoftonline.com/
    ---------------------

    Request Id: 8a0d63a1-2def-4ff8-8eb0-77b7e92f6c00
    Correlation Id: 85dc2de9-f16b-4619-9bf9-bd7d3446825e
    Timestamp: 2019-07-02T02:42:06Z
    Message: AADSTS90014: The required field 'request' is missing.
    -----------------------


    また、下記URLにアクセスした際に開く画面も正常なものでないように思われます
    https://enterpriseregistration.windows.net/
    下記画面が開きます


    このような状況ですが、こちらに関しまして知見をお持ちの方がいらっしゃいましたらご教示願いたいです。
    よろしくお願いいたします。

    2019年7月2日 2:49

回答

すべての返信

  • こんにちは。フォーラムオペレーターのFanです。

    フォーラムにご投稿くださいましてありがとうございます。 

    同じ問題を抱えている方と経験がある方、ご意見を共有頂ければ本当に有難いです.

     

    どうぞよろしくお願いいたします。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月4日 5:56
    モデレータ
  • チャブーンです。

    この件ですが、ハイブリッドAzureADでのデバイス認証構成の続編と理解しています。

    AD FSが存在する環境では、一般にDevaice Registration ServiceはAD FS上で構成されます。AD FS上のDevaice Registration Serviceはきちんと構成されているのでしょうか?したのページをみて、確認いただいたほうがいいと思います。

    https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/set-up-an-ad-fs-lab-environment


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月4日 7:26
  • チャブーンさん

    いつもありがとうございます。

    こちらの構成と現在までの運用状況、今回の作業内容をこちらに記載させていただきます。

    2年ほど前に、Office365を導入するにあたりオンプレミスADとOffice365の連携を実施いたしました。
    オンプレ側の構成としましては、以下のサーバーが存在いたします
    AD(2012R2) 2台
    ADFS(2012R2) 1台
    AADC(2012R2) 1台
    WAP(2012R2) 1台

    ADFSのクレームルールを使用して、IPによる社外からのOffice365へのアクセス遮断、ユーザーアカウントによる
    社外からのアクセス許可という制御をいれておりました。

    今回、この社外からのアクセスという部分を拡大する必要が出てきたため、管理外の端末からのアクセスを
    ブロックするため、デバイス認証を導入する流れとなりました。

    検証環境で検証を行った結果、Azure AD Connectを使用することでわずかな手間でデバイス認証が可能な
    環境が構築できたため、同様に本番環境でもAzure AD Connectを使用してデバイス認証を実装しました。
    しかし、検証環境では問題なくwindows7の登録もできていたのですが、本番環境ではうまく動作しなかったと
    いう状況です。

    本番環境はAzue AD Connectのバージョンが古かったため、今回最新版の1.3.21にバージョンアップを
    行いました。

    その後Azure AD Connectにてデバイス認証を構成いたしました。

    ハイブリッドAzureADでのデバイス認証構成に関しましては、上記の内容で上手く動作しなかったため
    手動による構成を実施しようとした際にエラーが出たため投稿いたしました。

    下記状態が正しいかや
    AllowedAuthenticationClassReferences : {wiaormultiauthn}
    下記の状態が問題ないか
    ClaimsProviderName                   : {Active Directory}
    デバイス認証用のクレームルールに問題がないか
    Azure AD Connectによるデバイス認証の構成ではデバイスライトバックが有効になっていなかったため
    有効化するというのも実施しました。
    証明書に関しましても、前回の投稿でご教示いただいた通り修正を行っております。
    インターネット上で調べられるものには、ほぼ目を通したつもりですが状況がかわっておりません。

    そしてデバイス登録の状況ですが、下記OSではすべて登録ができている状況です
    Android
    iOS
    windows10
    ※windows8は自社で運用していない為確認をしておりません。
    こちらに関しましては、ADのRegisteredDevicesに情報が登録されています。

    IPやユーザーアカウントによるアクセス制御のクレームルールが影響することがないかという点が
    少々きになっております。

    もし、コマンドによる設定内容の確認方法などがあればご教示いただきたいです。
    いくつかの特定のコマンドを実施して、すべてのコマンドで正しいレスポンスが返れば正常に動作するといった
    ようなもの

    windows10への移行も控えておりますので、移行が完了するとデバイス認証を使えると思いますが
    極力早めに導入を行いたかったため、こちらに投稿いたしました。

    引き続き、共有いただいた資料にて設定に問題ないかを確認してみます。

    あまり参考になる情報を記載できていなかと思いますが、何かお気づきの点がございましたら
    また、ご指摘いただけると幸いです。

    いつもご確認ありがとうございます。




    2019年7月5日 6:23
  • チャブーンです。

    この件ですが、Device Registrationが機能しない場合、クライアント側からMicrosoft-Workplace-Join/Adminログ等で状況を確認し、対応するトラブルシュートの方法がありますので、したのページを確認いただくといいと思います。

    https://support.microsoft.com/en-gb/help/3045387/can-t-perform-a-workplace-join-by-using-device-registration-services

    それと念のため、Windows 7側の「すべての更新プログラム」は適用しておいたほうがいいでしょう。何らかの不具合の可能性があることも考え得るためです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年7月8日 5:50
  • フォーラムにご投稿くださいましてありがとうございます

    チャブーン さんから寄せられた投稿はお役に立ちましたか。

    参考になった回答には [回答としてマーク] をお願い致します。

     

    ご不明な点がございましたら、お気軽にお問い合わせください

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月10日 9:15
    モデレータ
  • ご連絡が遅くなり申し訳ありません。

    ご回答をいただいてから、一週間ほど調査や検証を行ってみましたが
    windows7に関しましては、デバイス登録ができませんでした。

    いろいろとご協力いただきましたが
    参考になる情報が共有できず、申し訳ありません。

    2019年7月30日 0:48
  • フォーラムにご投稿くださいましてありがとうございます

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年8月2日 3:45
    モデレータ