Mitteilung3

端末認証とかでブロックされているが原因がよく分からない 端末認証がうまく動作しておらずブロックされたりしている ユーザーの端末の状態をAAD側で確認すると状態がPendingになっている Pendingになる条件 以下サイトで説明されているとおり、 AADCで端末を同期されていないOUへ移動した後に元のOUに戻したりすると発生。 AAD側は同期対象外のOUに端末を移動したことで削除されたものと認識する。元のOUに戻しても既に登録済みの端末なので登録が正常に完了できない、という理解で大体OKかな。 対処方法 ” To fix the problem, unregister the device by running  dsregcmd /leave  at an elevated command prompt, and restart the device. ” これでAAD側で端末が削除され、クライアント側の端末登録タスクが次回走ったときに正常登録される。 Intune側に登録されている端末はそのままで問題ないようです。 reference:  Pending devices in Azure Active Directory - Active Directory | Microsoft Learn

デバイスをAADに登録することとIntuneと条件付きアクセス すごく今更な感はありますがこれらの関係性を少しまとめてみました。言葉として参加と登録ってややこしいですよね。 Azure ADへのWindows 10登録手法 Azure AD参加 感覚的にはAADにマシンをドメイン参加するイメージ。 AADアカウントでPCにログイン。 オンプレミスのADドメインに参加しているとできない。 Azure AD参加可能ユーザーを制限するか事前にデバイス情報を登録することでBYODの参加を防げる。 Intuneにも自動登録される。（自動登録できる） オンプレミスのADに参加していると選択できない方法なので既にADを使って歴史が長い会社がすぐにAAD参加に切り替えるのはハードルが高そうです。逆に既存のオンプレミスAD資産がない組織はこちらが最有力選択肢です。 Hybrid Azure AD参加 オンプレミスADに参加したコンピューターの情報がAADCを通してAADにも参加される。 今まで通りADユーザーアカウントでPCにログインし、オンプレミスADリソースにも今まで通りにアクセス可能。 AADCでユーザーとコンピューター両方同期していないとならない。 Intuneにも自動登録される。（できる） 多分既存オンプレミスのADリソースはそのまま利用したい会社はこちらが検討の筆頭になると思います。 Azure AD登録 オンプレADドメインに参加しててもできる。 マシンの情報をAADに”登録”だけするイメージ。 ローカルアカウントかADアカウントでPCにログインする。 条件付きアクセスでIntune Enrollmentを特定IPから以外ブロックすることである程度はBYODの登録を防げる。 Android, iOS Intuneにも自動登録される。（できる） スマートフォンが主たる対象ですかね。オンプレミスADに参加しているけどAADCで同期していない環境はハイブリッドAAD参加できないのでこちらを選択かな？ Intuneに登録されることのメリット 上記いずれの方法でもIntune（クラウド）にもデバイスが自動登録がされます（少し設定は要ります）。 そうすることのメリットはIntuneからデバイスの設定を管理やアプリケーションの配布などを行えることに加え、Intune管理下にあることを...