Microsoft Entra ハイブリッド参加済みマシンIDのIDプール
この記事では、以下のIDプールを作成する方法について説明します。
Microsoft Entra ハイブリッド参加済みカタログ Microsoft Intuneに登録されているMicrosoft Entra ハイブリッド参加済みカタログ
要件、制限、考慮事項については、Microsoft Entra ハイブリッド参加済みを参照してください。
Microsoft Entra ハイブリッド参加済みカタログを作成する
ウェブスタジオを使用する
以下の情報は、マシンカタログの作成のガイダンスを補足するものです。
カタログ作成ウィザードのマシンIDページで、
-
Microsoft Entra ハイブリッド参加済みを選択します。作成されたマシンは組織が所有し、その組織に属するActive Directoryアカウントでサインインされます。
-
作成されたマシンをデバイス管理のためにMicrosoft Intune(Configuration Managerを含む)に登録するには、Configuration Managerを使用してMicrosoft Intuneにマシンを登録を選択します。カタログ作成中のエラーを回避するために、マスターイメージが以下の要件を満たしていることを確認してください。
- VDAバージョン2405以降がインストールされていること。
- サイトコードが割り当てられていないConfiguration Managerクライアントがインストールされていること。詳細については、このMicrosoftの記事を参照してください。
注:
IDタイプとしてMicrosoft Entra ハイブリッド参加済みを選択した場合、カタログ内の各マシンには対応するADコンピューターアカウントが必要です。
パワーシェルを使用する
以下は、Web Studioでの操作に相当するPowerShellの手順です。Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。
オンプレミスAD参加カタログとMicrosoft Entra ハイブリッド参加カタログの違いは、IDプールとマシンアカウントの作成にあります。
Microsoft Entra ハイブリッド参加カタログのアカウントとともにIDプールを作成するには:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctIdentity -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
注:
$passwordは、書き込み権限を持つADユーザーアカウントの一致するパスワードです。
Microsoft Entra ハイブリッド参加カタログの作成に使用されるその他のすべてのコマンドは、従来のオンプレミスAD参加カタログの場合と同じです。
Microsoft Entra ハイブリッド参加プロセスのステータスを表示する
Web Studioでは、デリバリーグループ内のMicrosoft Entra ハイブリッド参加マシンが電源オン状態の場合に、Microsoft Entra ハイブリッド参加プロセスのステータスが表示されます。ステータスを表示するには、検索を使用してそれらのマシンを特定し、各マシンの下部ペインにある詳細タブでマシンIDを確認します。マシンIDには、次の情報が表示されます。
- Microsoft Entra ハイブリッド参加済み
- まだMicrosoft Entra IDに参加していません
注:
- マシンが最初に電源オンになったときに、Microsoft Entra ハイブリッド参加の遅延が発生する場合があります。これは、デフォルトのマシンID同期間隔(Microsoft Entra Connectの30分)が原因です。マシンは、Microsoft Entra Connectを介してマシンIDがMicrosoft Entra IDに同期された後にのみ、Microsoft Entra ハイブリッド参加状態になります。
- マシンがMicrosoft Entra ハイブリッド参加状態にならない場合、それらはデリバリーコントローラーに登録されません。登録ステータスは初期化と表示されます。
また、Web Studioを使用して、マシンが利用できない理由を知ることができます。そのためには、検索ノードでマシンをクリックし、下部ペインの詳細タブで登録を確認し、ツールチップを読んで追加情報を確認します。
トラブルシューティング
マシンがMicrosoft Entraハイブリッド参加に失敗した場合、以下を実行してください。
-
Microsoft Entra ID ポータルを通じて、マシンアカウントが Microsoft Entra ID に同期されているか確認します。同期されている場合、Azure AD にまだ参加していません と表示され、登録が保留状態であることを示します。
マシンアカウントを Microsoft Entra ID に同期するには、以下を確認してください。
- マシンアカウントが、Microsoft Entra ID と同期するように構成されている OU にあること。userCertificate 属性を持たないマシンアカウントは、同期するように構成されている OU にあっても Microsoft Entra ID に同期されません。
- マシンアカウントに属性 userCertificate が入力されていること。属性を表示するには、Active Directory Explorer を使用します。
- マシンアカウントの作成後、Microsoft Entra Connect が少なくとも一度は同期されている必要があります。同期されていない場合は、Microsoft Entra Connect マシンの PowerShell コンソールで
Start-ADSyncSyncCycle -PolicyType Deltaコマンドを手動で実行し、即時同期をトリガーします。
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix にある DeviceKeyPairRestored の値を照会することで、Microsoft Entra ハイブリッド参加用のCitrixによって管理されているデバイスキーペアが、対象のマシンに正しくプッシュされているかどうかを確認してください。
値が 1 であることを確認します。そうでない場合、考えられる理由は次のとおりです。
- プロビジョニングスキームに関連付けられた ID プールの
IdentityTypeがHybridAzureADに設定されていません。これはGet-AcctIdentityPoolを実行して確認できます。 - マシンがマシンカタログと同じプロビジョニングスキームを使用してプロビジョニングされていません。
- マシンがローカルドメインに参加していません。ローカルドメインへの参加は、Microsoft Entra ハイブリッド参加の前提条件です。
- プロビジョニングスキームに関連付けられた ID プールの
-
MCS でプロビジョニングされたマシンで
dsregcmd /status /debugコマンドを実行して、診断メッセージを確認します。-
Microsoft Entra ハイブリッド参加が成功した場合、コマンドラインの出力で AzureAdJoined と DomainJoined が YES になります。
-
そうでない場合は、Microsoft のドキュメントを参照して問題をトラブルシューティングしてください: https://docs.microsoft.com/ja-jp/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。
-
エラーメッセージ「サーバーメッセージ: ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx のデバイスでユーザー証明書が見つかりません」が表示された場合は、ユーザー証明書を修復するために、次のPowerShellコマンドを実行します。
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->ユーザー証明書の問題に関する詳細については、CTX566696を参照してください。
-
Microsoft Intuneに登録されているMicrosoft Entraハイブリッド参加カタログを作成する
永続的なシングルセッションおよびマルチセッションVM向けに、Microsoft Intuneに登録されているMicrosoft Entraハイブリッド参加カタログの共同管理対応カタログを作成できます。共同管理対応カタログは、Web StudioとPowerShellの両方を使用して作成できます。
ウェブスタジオを使用する
以下の情報は、マシンカタログの作成のガイダンスを補足するものです。
マシンカタログのセットアップウィザードで:
- マシンIDページで、Microsoft Entraハイブリッド参加を選択し、次にConfiguration Managerを使用してMicrosoft Intuneにマシンを登録を選択します。このアクションを使用すると、Configuration ManagerとMicrosoft Intune(つまり、共同管理)がVMを管理します。
パワーシェルを使用する
以下は、Studioの手順に相当するPowerShellの手順です。
Remote PowerShell SDKを使用してConfiguration ManagerでMicrosoft Intuneにマシンを登録するには、New-AcctIdentityPoolのDeviceManagementTypeパラメーターを使用します。この機能には、カタログがMicrosoft Entraハイブリッド参加済みであり、Microsoft Entra IDが適切なMicrosoft Intuneライセンスを所有している必要があります。
Microsoft Entraハイブリッド参加カタログと共同管理対応カタログの違いは、IDプールの作成にあります。例:
New-AcctIdentityPool -AllowUnicode -DeviceManagementType "IntuneWithSCCM" IdentityType="HybridAzureAD" -IdentityPoolName "CoManagedCatalog" -NamingScheme "CoManaged-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->
トラブルシューティング
マシンがMicrosoft Intuneへの登録に失敗したり、共同管理状態に到達できなかったりした場合は、次の操作を行います。
-
Intuneライセンスを確認する
Microsoft Entraテナントに適切なIntuneライセンスが割り当てられているか確認してください。Microsoft Intuneのライセンス要件については、Microsoft Intuneライセンスを参照してください。
-
Microsoft Entra ハイブリッド参加の状態を確認する
MCSでプロビジョニングされたマシンがMicrosoft Entra ハイブリッド参加済みであるか確認します。Microsoft Entra ハイブリッド参加済みでない場合、それらのマシンは共同管理の対象になりません。Microsoft Entra ハイブリッド参加の問題をトラブルシューティングするには、トラブルシューティングを参照してください。
-
共同管理の適格性を確認する
-
MCSでプロビジョニングされたマシンが、期待されるConfiguration Managerサイトに正しく割り当てられているか確認します。割り当てられたサイトを取得するには、影響を受けるマシンで次のPowerShellコマンドを実行します。
(New-Object -ComObject "Microsoft.SMS.Client").GetAssignedSite() <!--NeedCopy--> -
VMにサイトが割り当てられていない場合、次のコマンドを使用して、Configuration Managerサイトが自動的に検出できるか確認します。
(New-Object -ComObject "Microsoft.SMS.Client").AutoDiscoverSite() <!--NeedCopy--> -
サイトコードが検出できない場合は、Configuration Manager環境で境界と境界グループが適切に構成されていることを確認してください。詳細については、考慮事項を参照してください。
-
Configuration Managerクライアントサイトの割り当てに関する問題がないか、
C:\Windows\CCM\Logs\ClientLocation.logを確認してください。 -
マシンの共同管理の状態を確認します。影響を受けるマシンでConfiguration Managerコントロールパネルを開き、全般タブに移動します。共同管理プロパティの値は有効である必要があります。そうでない場合は、
C:\Windows\CCM\Logs\CoManagementHandler.logの下にあるログを確認してください。
-
-
Intune登録を確認する
すべての前提条件が満たされていても、マシンがMicrosoft Intuneに登録できない場合があります。Intune登録の問題については、アプリケーションとサービスログ > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostics-Providerの下にあるWindowsイベントログを確認してください。