Microsoft Entra ハイブリッド参加デバイスを再参加させる
2024年9月23日
"Microsoft Entra ハイブリッド参加済みデバイスが必要"を使用した条件付きアクセスポリシーで、もしデバイスが構成されていなかったりPRTトークンが正しく更新されなかった場合
「ここからアクセスすることはできません。」というエラーが出ます。
MSサポートに問い合わせて根本原因を解決しようとしましたが、結局デバイスをハイブリッド参加デバイスとして再参加させるのが一番早そうなので、今回はその手順です。
備忘録的な感じで細かい手順とか説明少し飛ばしてますので、細かいことは公式を参照してください。
Microsoft Entra ハイブリッド参加済みデバイスのトラブルシューティング
Table of Contents
Toggle1. デバイスの状態を確認
ユーザとしてコマンドを実行。デバイスの状態がFAILED、またはSSO Stateの箇所でAzureAdPrt : NOとなっているかと思います。
dsregcmd /status
2. Entra IDからデバイスを削除
管理者としてコマンドを実行。Entra IDでデバイスが削除されたことを確認する。
dsregcmd /leave /debug
3. Joinコマンドを実行
管理者としてコマンドを実行。
dsregcmd /join
4. Run task to join device
管理者としてコマンドを実行。 PCがドメインコントローラーにアクセス可能であること。基本的にこのタスクはログイン時に実行されるのでPCからログオフ、ログインでも同じ。
schtasks /run /tn "MicrosoftWindowsWorkplace JoinAutomatic-Device-Join"
5. Entra ID上でデバイスが登録されたことを確認
イベントビューア上でのログはApplication and Service - Microsoft - Windows - User Device Registration - Adminに表示される。
Device StateでAzureAdJoined : YESを確認。
dsregcmd /status