Update haadj-re-registration.md

jpazureid · Jan 4, 2025 · a3a6cbc · a3a6cbc
1 parent c051d26
commit a3a6cbc
Showing 1 changed file with 43 additions and 47 deletions.
diff --git a/articles/azure-active-directory/haadj-re-registration.md b/articles/azure-active-directory/haadj-re-registration.md
@@ -1,43 +1,35 @@
 ---
-title: Microsoft Entra ハイブリッド参加を再構成する
+title: Microsoft Entra ハイブリッド参加デバイスを再構成する
 date: 2023-04-24 09:00
 tags:
   - Microsoft Entra ID
   - Microsoft Entra Hybrid Join 
   - Troubleshooting
+toc:
+  enabled: true
+  min_depth: 1
+  max_depth: 4
+  list_number: false
 ---
 
-# Microsoft Entra ハイブリッド参加を再構成する
+# Microsoft Entra ハイブリッド参加デバイスを再構成する
 
 こんにちは、Azure & Identity サポート チームの長谷川です。
 
 この記事では、対象デバイスの Microsoft Entra ハイブリッド参加 (略称 MEHJ) を再構成する手順を紹介します。
 
 <!-- more -->
 
-MEHJ を構成完了後、たとえばなんらか Microsoft Entra ID 上から誤ってデバイス オブジェクトを削除してしまう場合があるかと思います。削除後、再度 Microsoft Entra Connect (略称 MEC) でデバイス オブジェクトが同期されると [Azure Portal (portal.azure.com)] > [Microsoft Entra ID] > [デバイス] > [すべてのデバイス] で対象のデバイス オブジェクトが表示されるようになりますが、[登録済み] の項目が「保留中」のまま遷移しない状態になります。「保留中」から登録日に遷移させるためにはデバイスで MEHJ を再構成する必要があるものの、実際のデバイス側は既に MEHJ の構成が完了しているため、そのままでは MEHJ を再構成する動作が生じません。こういった場合に、本ブログを参考に MEHJ を再構成いただけると幸いです。
+MEHJ の構成を完了した後、例えば何らかの事情で Microsoft Entra ID 上から誤ってデバイス オブジェクトが削除されてしまったという場合があるかと思います。デバイス オブジェクトが削除された後、再度 Microsoft Entra Connect (略称 MEC) でデバイス オブジェクトが Entra ID に同期されると [Entra 管理センター (entra.microsoft.com)] > [Microsoft Entra ID] > [デバイス] > [すべてのデバイス] で対象のデバイス オブジェクトが表示されるようになりますが、[登録済み] の項目は「保留中」のまま遷移しない状態になります。[登録済み] の項目を「保留中」から登録日に遷移させるためには、デバイスで MEHJ を再構成する必要があるものの、デバイス側は既に MEHJ の構成が完了しているため、そのままでは MEHJ を再構成する動作が生じません。こういった場合に、本ブログを参考に MEHJ を再構成いただけると幸いです。
 
-## 目次
+> [!NOTE]
+> 本手順は Microsoft Entra ID でデバイスを認証する「Sync Join」、「マネージド」、「クラウド認証」などと呼ばれる構成方法にのみ適用可能です。この構成方法は、オンプレミスの Active Directory サーバーから MEC を介して Microsoft Entra ID にデバイス オブジェクトを同期し、Microsoft Entra ID でデバイスを認証して MEHJ としてデバイスを構成するものです。お客様が AD FS のクレーム ルールを使用して Microsoft Entra ID にデバイスを登録するフェデレーション構成を利用している場合は、この手順を利用することはできません。
+> 
+> なお、再度 MEHJ を構成するためにはそのデバイス上での管理者権限と、デバイスがオンプレミスの Active Directory にアクセスできる環境 (社外にデバイスがある場合は、オンプレミス AD 環境への VPN 接続) が必要です。
 
-1. [注意事項](#anchor1)
-2. [事前準備: Windows Hello for Business のリセット](#anchor2)
-3. [事前準備: Intune の登録解除](#anchor3)
-4. [MEHJ 再構成: 既存情報のクリア](#anchor4)
-5. [MEHJ 再構成: 改めて構成](#anchor5)
-6. [事後確認: Intune の登録](#anchor6)
-7. [事後作業: WHfB の再プロビジョニング](#anchor7)
+## 1. 事前準備: Windows Hello for Business のリセット
 
-<h2 id="anchor1">1. 注意事項</h2>
-
-本手順は Microsoft Entra ID でデバイスを認証する「Sync Join」「マネージド」「クラウド認証」などと呼ばれる構成方法にのみ適用可能です。
-
-この構成方法は、オンプレミスの Active Directory サーバーから MEC を介して Microsoft Entra ID にデバイス オブジェクトを同期し、Microsoft Entra ID でデバイスを認証して MEHJ としてデバイスを構成するものです。もしも AD FS でクレーム ルールを使用してデバイスを認証し、Microsoft Entra ID にデバイスを登録して MEHJ を構成している場合はこの手順は利用できません。
-
-なお、再度 MEHJ を構成するためにはそのデバイス上での管理者権限と、デバイスがオンプレミスの Active Directory にアクセスできる環境 (社外にデバイスがある場合は、オンプレミス AD 環境への VPN 接続) が必要です。
-
-<h2 id="anchor2">2. 事前準備: Windows Hello for Business のリセット</h2>
-
-**Windows Hello for Business (略称 WHfB) を利用していない場合はこの手順はスキップください。**
+Windows Hello for Business (略称 WHfB) を利用していない場合はこの手順はスキップください。
 
 1. 端末にサインインします。
 2. **ユーザー権限** でコマンド プロンプトを起動します (管理者として実行から起動しないようご注意ください)。
@@ -53,9 +45,9 @@ MEHJ を構成完了後、たとえばなんらか Microsoft Entra ID 上から
     dsregcmd /status
     ```
 
-<h2 id="anchor3">3. 事前準備: Intune の登録解除</h2>
+## 2. 事前準備: Intune の登録解除
 
-**Intune 登録していなければスキップください。**
+Intune 登録していなければこの手順はスキップください。
 
 1. [Microsoft Intune 管理センター (intune.microsoft.com)] > [デバイス] > [すべてのデバイス] から該当デバイスを検索し、存在する場合は対象デバイスを開いて [削除] ボタンをクリックして削除します (削除完了するまでに少し時間がかかります)。
 2. 対象のデバイス上で、[PowerShell] を **管理者権限** で実行します。
@@ -82,16 +74,17 @@ MEHJ を構成完了後、たとえばなんらか Microsoft Entra ID 上から
     foreach ($Key in $RegistryKeys) {if (Test-Path -Path $Key) {Get-ChildItem -Path $Key | Where-Object {$_.Name -match $EnrollmentGUID} | Remove-Item -Recurse -Force -Confirm:$false -ErrorAction SilentlyContinue}}
     ```
 
-7. 以下のコマンドを実行し、デバイス登録のタスクを削除します。 **<span style="color: red; ">変数 $EnrollmentGUID がブランクの状態で以下のコマンドを実行すると必要なタスクが削除される恐れがありますため注意してください (念のため IF 文で誤削除を予防はしています)。</span>**
+7. 以下のコマンドを実行し、デバイス登録のタスクを削除します。 **<span style="color: red; ">変数 $EnrollmentGUID がブランクの状態で以下のコマンドを実行すると必要なタスクが削除される恐れがありますため注意ください (念のため IF 文で誤削除を予防しています)。</span>**
     ```
     if ($EnrollmentGUID -eq $null) {Write-Warning "EnrollmentGUID is NULL"} elseif ($EnrollmentGUID -eq "") {Write-Warning "EnrollmentGUID is BLANK (but it is not NULL)"} else {Get-ScheduledTask | Where-Object {$_.Taskpath -match $EnrollmentGUID} | Unregister-ScheduledTask -Confirm:$false}
     ```
 
-<h2 id="anchor4">4. MEHJ 再構成: 既存情報のクリア</h2>
+## 3. MEHJ の再構成: 再構成前の既存情報のクリア
+
+MEHJ の再登録を行うに際して既存の情報をクリアしておきます。
 
-実際に MEHJ の再登録を行うに際して既存の情報をクリアしておきます。
+1. 対象のデバイスにて **管理者権限** でコマンド プロンプトを起動し、次のコマンドで MEHJ を解除します。
 
-1. 対象のデバイスにて __管理者権限__ でコマンド プロンプトを起動し、次のコマンドで MEHJ を解除します。
     ```
     dsregcmd /leave
     ```
@@ -102,11 +95,11 @@ MEHJ を構成完了後、たとえばなんらか Microsoft Entra ID 上から
     dsregcmd /status
     ```
 
-3. オンプレミスの Active Directory にて、[Active Directory ユーザーとコンピューター] を開き、[表示(V)] > [拡張機能(V)] を有効にします。(すでに有効であればスキップしてください)
+3. オンプレミスの Active Directory にて、[Active Directory ユーザーとコンピューター] を開き、[表示(V)] > [拡張機能(V)] を有効にします。(すでに有効であればスキップください)
 
     ![](./haadj-re-registration/haadj-re-registration4-3.png)
 
-4. [Active Directory ユーザーとコンピューター] にて対象のコンピューター アカウントを探し、右クリックから [プロパティ] を開きます (誤ったオブジェクトを操作しないよう直接対象のコンピューター アカウントを探すことをお勧めします。)
+4. [Active Directory ユーザーとコンピューター] にて対象のコンピューター アカウントを探し、右クリックから [プロパティ] を開きます (誤ったオブジェクトを操作しないようご注意ください。)
 
     ![](./haadj-re-registration/haadj-re-registration4-4.png)
 
@@ -122,58 +115,61 @@ MEHJ を構成完了後、たとえばなんらか Microsoft Entra ID 上から
 
     ![](./haadj-re-registration/haadj-re-registration4-7.png)
 
-8. MEC の同期 (既定では 30 分間隔) を待ち、[Azure Portal (portal.azure.com)] > [Microsoft Entra ID] > [デバイス] > [すべてのデバイス] にて対象のデバイス オブジェクトが削除されていることを確認します。
+8. MEC の同期 (既定では 30 分間隔) を待ち、[Entra 管理センター (entra.microsoft.com)] > [デバイス] > [すべてのデバイス] にて対象のデバイス オブジェクトが削除されていることを確認します。
 
-<h2 id="anchor5">5. MEHJ 再構成: 改めて構成</h2>
+## 4. MEHJ の再構成: 再構成の実施
 
 以下の手順で実際に再構成を行います。
 
 1. 対象のデバイスを再起動したのち、対象のユーザーでサインインします。
 2. 対象のデバイスがオンプレミスの Active Directory にアクセスできるネットワーク環境に接続していることを確認します (社内ネットワーク環境に接続するなど)。
-3. **管理者権限** でタスク スケジューラを起動し [タスク スケジューラ ライブラリ] > [Microsoft] > [Windows] > [Workplace Join] を開きます。
-4. [Automatic-Device-Join] を 右クリックし [実行する(R)] を選択します。
+3. **管理者権限** でタスク スケジューラーを起動し [タスク スケジューラ ライブラリ] > [Microsoft] > [Windows] > [Workplace Join] を開きます。
+4. [Automatic-Device-Join] を右クリックし [実行する(R)] を選択します。
 
     ![](./haadj-re-registration/haadj-re-registration5-4.png)
 
-5. オンプレミスの Active Directory にて対象のコンピューター アカウントに userCertificate に値が書き込まれたことを確認します (上記「4. MEHJ 再構成: 既存情報のクリア」の 3 から 5 の手順を参考)。
+5. オンプレミスの Active Directory において対象のコンピューター アカウントに userCertificate に値が書き込まれたことを確認します (上記「3. MEHJ の再構成: 再構成前の既存情報のクリア」の 3 から 5 の手順を参考)。
 
     ![](./haadj-re-registration/haadj-re-registration5-5.png)
 
-6. MEC の同期 (既定では 30 分間隔) を経て [Azure Portal (portal.azure.com)] > [Microsoft Entra ID] > [デバイス] > [すべてのデバイス] に対象のデバイス オブジェクトが同期されたことを確認します。
+6. MEC の同期 (既定では 30 分間隔) を経て [Entra 管理センター (entra.microsoft.com)] > [デバイス] > [すべてのデバイス] に対象のデバイス オブジェクトが同期されたことを確認します。
 
     ![](./haadj-re-registration/haadj-re-registration5-6.png)
 
 7. Microsoft Entra ID への同期を確認後、再度 [Automatic-Device-Join] を実行します。(3 から 4 の手順を参考)
-8. コマンド プロンプトを起動し次のコマンドを実行し `AzureAdJoined : YES` となっていることを確認します。
+8. コマンド プロンプトを起動して次のコマンドを実行し `AzureAdJoined : YES` となっていることを確認します。
 
     ```
     dsregcmd /status
     ```
 
-9. [Azure Portal (portal.azure.com)] > [Microsoft Entra ID] > [デバイス] > [すべてのデバイス] で対象のデバイス オブジェクトの [登録済み] の項目が「保留中」から現在の日付に遷移したことを確認します。
+9. [Entra 管理センター (entra.microsoft.com)] > [デバイス] > [すべてのデバイス] で対象のデバイス オブジェクトの [登録済み] の項目が「保留中」から現在の日付に遷移したことを確認します。
 
     ![](./haadj-re-registration/haadj-re-registration5-9.png)
 
-10. 対象デバイスにて 画面のロック > アンロック をすることで プライマリ更新トークン (PRT) を取得します。(すぐにアンロックしていただいて問題ありません)
-11. 対象のデバイスにて対象の **ユーザー権限** でコマンド プロンプトを起動し、次のコマンドを実行して `AzureAdPrt : YES` となっていることを確認します (管理者として実行から起動しないようご注意ください)。
+10. 対象デバイスにて 画面のロック > アンロック をすることで プライマリ更新トークン (PRT) を取得します。(画面をロックした後にすぐにアンロックして問題ありません)
+11. 対象のデバイスにて **ユーザー権限** でコマンド プロンプトを起動し、次のコマンドを実行して `AzureAdPrt : YES` となっていることを確認します ([管理者として実行] から起動しないよう注意ください)。
 
     ```
     dsregcmd /status
     ```
 
-<h2 id="anchor6">6. 事後確認: Intune の登録</h2>
+## 5. 事後確認: Intune の登録
 
-**この手順は Intune 登録しなければ不要です。** また、反映に時間がかかることがあります。
+この手順はデバイスを Intune 登録していなければ不要です。また、実施した場合も反映に時間がかかることがあります。
 
-1.  [Azure Portal (portal.azure.com)] > [Microsoft Entra ID] > [デバイス] > [すべてのデバイス] で対象のデバイス オブジェクトの [MDM] の項目に値が入り [準拠している] が「はい」となっていることを確認します。
-2. [Microsoft Intune 管理センター (intune.microsoft.com)] > [デバイス] > [すべてのデバイス] から該当デバイスを検索し対象デバイスの [対応] の項目が「準拠している」となっていることを確認します。
+1. [Entra 管理センター (entra.microsoft.com)] > [デバイス] > [すべてのデバイス] にアクセスします。
+2. 該当デバイスを検索し、そのオブジェクトの [MDM] の項目に値が入り [準拠している] が「はい」となっていることを確認します。
+3. [Microsoft Intune 管理センター (intune.microsoft.com)] > [デバイス] > [すべてのデバイス] にアクセスします。
+4. 対象デバイスの [対応] の項目が「準拠している」となっていることを確認します。
 
-<h2 id="anchor7">7. 事後作業: WHfB の再プロビジョニング</h2>
+## 6. 事後作業: WHfB の再プロビジョニング
 
-**WHfB を利用していなければ不要です。**
+WHfB を利用していなければこの手順は不要です。
 
 1. 端末を再起動します。
-2. 対象のユーザーでサインインすると WHfB のプロビジョニングが自動的に始まりますのでウィザードに沿ってセットアップします (ウィザードの中で多要素認証が要求されます)。
+2. 対象のユーザーでサインインすると WHfB のプロビジョニングが自動的に始まることを確認します。
+3. ウィザードに沿って WHfB をセットアップします (ウィザードの中で多要素認証が要求されます)。
 
 ## おわりに