none
ハイブリッドAzureADでのデバイス認証構成 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    現在、ハイブリッドAzureADにてデバイス認証を導入するため、Azure Active Directory Connectを
    使用してデバイス認証を構成しました。

    構成後、windows7、windows10、iPhoneなどで登録を試みたのですが、すべてうまくいかず
    切り分けを実施しました。

    ADFSサーバーにて、アプリケーションとサービスログに下記エラーがでておりました。
    ソース:Device Registration Service
    イベントID:144
    メッセージ:Device Registration Service オブジェクトで、発行証明書として使用できる証明書が見つかりませんでした。

    こちらの状況を改善するため、下記コマンドを実施しました。
    Initialize-ADDeviceRegistration -ServiceAccountName 'domain\adfs_serviceaccount'

    実行した結果が以下になります
    ---------------------
    Initialize-ADDeviceRegistration : Device Registration Service の構成状態が有効ではありません。Device Registration Servi    ce オブジェクトは、必須の属性がすべて指定されていません。セットアップですべての必須の属性を指定して Device RegistrationService を作成し直すことができるように、既存の Device Registration Service オブジェクトを削除してください。
    ----------------------

    Device Registration Service オブジェクトを削除に関して調査したところ以下記事を確認しました
    https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/configure-device-based-conditional-access-on-premises

    記事のトラブルシューティングのところに以下の情報がありました。
    -------------------
    エラーが発生する場合Initialize-ADDeviceRegistration既になど、正しくない状態で、既存のオブジェクトに関する文句を言うを「drs サービス オブジェクトが必要なすべての属性のない検出されました」、する可能性がありますが以前に実行された Azure AD Connect powershell コマンドとAD DS の部分構成があります。 下にあるオブジェクトを手動で削除してみてくださいCN = Device Registration Configuration, CN = Services, CN = Configuration, DC =<ドメイン> から再試行してください。
    -------------------

    こちらに関してですが、作業としましましては下記の内容でよいのかが不明で悩んでおります?
    ------------------
    Active DirectoryサーバーのADSIエディターにて、     CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=ドメイン,DC=ドメイン,DC=ドメイン
    配下にあるserviceConnectionPointクラスのオブジェクトを削除する
    (そのほかに、containerクラスとmsDS-DeviceRegistrationServicContainerクラスのオブジェクトがありますが
     こちらも削除していいものかわかっておりません)
    --------------------

    こちらの件、情報をお持ちの方がいらっしゃいましたらご教示いただけると幸いです。

    2019年6月18日 7:46
    |

回答

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、オブジェクトを削除する前に、「AD FSのデバイス登録用証明書」の要件を満たしているかどうか、まずはそこを確認する必要があります。デバイス登録用の証明書は、したにある要件を満たす必要があり、AD FSサーバー上の証明書ストアにあるはずです。とくに「SAN(Subject Alternative Name)」の項目を中心に確認してみてください。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn614658(v=ws.11)

    ----
    Example: Using subject alternative names
    Subject = adfs.contoso.com (This is your AD FS farm name)
    Subject Alternative Name (DNS) = adfs.contoso.com
    Subject Alternative Name (DNS) = enterpriseregistration.contoso.com
    Subject Alternative Name (DNS) = enterpriseregistration.region.contoso.com
    ----

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月18日 8:19
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    いつもありがとうございます。
    SSOで使用する証明書で事足りると認識しておりました。
    まずは、ご教示いただいた内容の確認をすすめます。

    ありがとうございます。

    2019年6月18日 9:04
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ご教示いただいた内容を確認してみました。
    検証用に取得したワイルドカード対応のSSL証明書を適用し
    Get-AdfsSslCertificateを実行した結果が以下のようになりました
    --------------------

    EnterpriseRegistration.ドメイン     443
    localhost                             443
    sts.ドメイン                    443
    sts.ドメイン                   49443
    --------------------

    こちらで、状況が変わらなかったためDRSのオブジェクトを削除するという
    方法も実行してみました。
    削除したのは「CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=ドメイン,DC=ドメイン,DC=ドメイン」配下にあるクラスが「serviceConnectionPoint」と「msDS-DeviceRegistrationServiceContainer」の物を削除して、Initialize-ADDeviceRegistration、Enable-AdfsDeviceRegistrationを実行しエンドポイントの設定も正常にできました。

    ただ、構成上は問題ないように見えるのですが、workplace joinを使用したwindows7のデバイス登録が上手くいかない状況が続いています。

    こちらに関しましては、別途フォーラムに質問を上げてみます。
    ありがとうございました。




    • 編集済み ryu4 2019年7月2日 0:55
    2019年7月2日 0:54
    |