MiracleJobLogo
エンジニアのエンジニアによるエンジニアのためのサイト
News 07/25 おすすめ情報に 『 【案件】Azure AD関連の認証設計/azureの基本設計 』 を追加しました。
会員登録するとキャリア診断やサイトに参加することができます。
あなたにおすすめな技術情報、資格、仕事などをお知らせします。

無料会員登録


パスワードを忘れた場合
LINEで送る
MiracleJobBanaLeft1
MiracleJobBanaLeft2


  • TOP
  • 投稿内容
Hybrid Microsoft Entra Join 構成失敗時の調査方法について
profile-img
投稿者: shinoさん
投稿日:2024/06/28 14:46
更新日:
like-img
分類
技術
テクノロジー
全般
キャリア
運用・保守 / 構築
投稿内容

◆Hybrid Microsoft Entra Joinとは

既存ドメインに参加した状態のまま、Microsoft Entra Connectを利用しMicrosoft Entra IDへ同期し、デバイス情報がオンプレActive Directoryと
Microsoft Entra IDの両方に登録した状態を表します。

メリットとしては、既存のオンプレActive Directory基盤を活用しつつクラウド活用でき、Active DirectoryのIDを利用して

クラウド、オンプレ両方にシングルサインオンが可能になります。

なお、これまでActive DirectoryのGPOによって行われていたデバイス制御は引き続きGPOで制御することが可能です。


◆Hybrid Microsoft Entra Joinの構成に失敗した場合の調査について

構成に失敗した場合、Microsoft Entra IDの観点だけでなく、オンプレADの観点での調査も必要になります。

問題の切り分けを行うことで問い合わせ依頼や調査をスムーズに行うことができます。

・オンプレAD上のデバイスオブジェクトがMicrosoft Entra IDのデバイス一覧に存在しない

最初にHybrid Microsoft Entra Joinが正常にできているかの確認のため、Microsoft Entra IDのポータル画面から

対象のデバイスがデバイス一覧に存在するかの確認を行います。

そもそも対象のデバイスがデバイス一覧に存在しない場合、Microsoft Entra Connectによって同期されていない可能性が高いです。

Microsoft Entra Connectは[userCertificate]属性に何らかの値が書き込まれている場合に、Microsoft Entra IDにコンピュータオブジェクトを同期します。

ドメインコントローラ上でADSIエディターを起動し、対象デバイスのコンピュータオブジェクトのプロパティを開き[userCertificate]属性に

値が書き込まれているかどうかを確認します。

[userCertificate]属性に値が書き込まれない原因は以下が考えられます。

 - タスクスケジューラのAutomatic-Device-Joinタスクが有効になっていない

このタスクの処理によってHybrid Microsoft Entra JoinのJoin処理が行われるため、このタスクが実行されないとデバイスはMicrosoft Entra Connectの同期対象となりません。

このタスクはオンプレADに参加するタイミングで有効になるため、このタスクが有効になっていることを確認してください。

※各デバイス側で確認が必要になるため、場合によってはデバイスを利用中のユーザーに依頼する必要があります。


 - Service Connection Point (SCP) が正常に構成されていない

SCP はクライアント端末が Hybrid Microsoft Entra Join する先の Microsoft Entra ID テナントの情報が書き込まれています。

上で確認したタスクスケジューラのタスクはSCPをもとにMicrosoft Entra IDへのエンドポイントを確認し、[userCertificate]属性に必要な情報を書き込みます。

SCPが正常に構成されていない場合、[userCertificate]属性は書き込まれないため、結果的にMicrosoft Entra IDへ同期がされなくなります。

SCPが正常に構成されているかは、以下のいずれかで確認することができます。

 ・Active Directoryの構成パーティション
 ・クライアント端末のレジストリ キー値

・Hybrid Microsoft Entra Joinに必要なMicrosoft Entra IDのエンドポイントにアクセスできるか

以下のURLへの接続が可能であることを確認してください。

 - https://enterpriseregistration.windows.net

 - https://login.microsoftonline.com

 - https://device.login.microsoftonline.com

 - https://autologon.microsoftazuread-sso.com (シームレスSSOを使用しているもしくは、使用する予定がある場合)


・Microsoft Entra Connectで同期対象になっていない

対象デバイスのコンピュータオブジェクトが同期対象OUに含まれているか確認を行います。

同期対象OUにオブジェクトが含まれていない場合は、同期対象OUに移動後、Microsoft Entra Connectの同期間隔(規定30分)を待ってデバイス同期されるか確認してください。

同期間隔まで待てない、すぐに確認したい場合には、以下のコマンドを実行し手動で同期を行ってみてください。

Start-ADSyncSyncCycle -PolicyType Delta (差分同期を行います)

※完全同期はかなりの時間を要する可能性が高いため、同期ルールの変更やスキーマバージョンアップを行う以外は避けたほうがよいです。


◆Tips

プライマリ更新トークン(PRT)が正常に取得できていなければHybrid Microsoft Entra Joinが完了したとは言えません。

まずはコマンドプロンプトを起動して、ユーザー権限で以下のコマンドを実行しPRTが取得できているか確認を行います。

 # dsregcmd /status

AzureAdJoined : YES

DomainJoined : YES

AzureAdPrt : YES (or NO)

PRTが取得できない場合の一般的な要因は先に記載したMicrosoft Entra IDのエンドポイントへアクセスできないことが考えられるため、確認を行います。

確認しても問題ない場合には、調査依頼を行いましょう。


ではまた
コメント
コメントする


MiracleJobBanaRight1
MiracleJobBanaRight2
MiracleJobBanaRight3