参加フェーズ中の自動登録失敗(イベント304または307)の解決方法

📅
🕑 1 分で読む

Microsoft Entra ID または Intune にデバイスを登録しようとした際に、「ユーザー デバイス登録 – イベント ID 304 および 307」という厄介なエラーに遭遇した場合、このガイドが解決の糸口になるかもしれません。通常、これらの問題は設定ミスや権限不足が原因です。これらのエラーは、自動登録が参加フェーズで失敗した場合に頻繁に発生し、正直なところ、Windows が複雑すぎるために発生することもあります。これらの問題を解決するのは必ずしも簡単ではありませんが、段階的な調整を行うことで、頭を抱えることなくデバイスを登録できるはずです。

ユーザーデバイス登録エラーの修正方法 – イベントID 304および307 (Microsoft 365)

方法1:Intuneで自動登録を有効にし、WIPを無効にする

まず最初に確認すべき点はこれです。自動登録が有効になっていない場合、デバイスは正しく登録される機会すら得られません。つまり、WindowsがMDMへの自動登録に設定されていない場合、参加段階でこれらのエラーが発生する可能性があります。

  • 1.Intune 管理センターにアクセスします。次に、[デバイス] > [Windows] > [登録] > [自動登録]の順に移動します。
  • 2.設定を変更して、MDM ユーザー スコープを「すべて」に設定します。また、Windows Information Protection (WIP)ユーザー スコープを見つけて、 「なし」に設定します。これにより、デバイス登録を妨げる一部の WIP ポリシーが無効になります。

保存後、数分待ってから再度登録を試みてください。設定を切り替えるだけで、何らかの不具合が解消されることがあります。設定によっては、変更が反映されるまでに1~2分かかる場合があります。

方法2:グループポリシーを使用して自動MDM登録を有効にする(特にハイブリッドAzure AD参加の場合)

ハイブリッド環境の場合、Windows Active Directoryとグループポリシーが非常に重要です。ドメインでユーザーの自動登録ができない場合は、ポリシーの欠落または設定ミスが原因である可能性が高いです。

  • 1.ドメイン コントローラーでグループ ポリシー管理エディターを開きます。コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > MDMに移動します。
  • 2.「既定の Azure AD 資格情報を使用して自動 MDM 登録を有効にする」を探して開きます。見つからない場合は、追加する必要があります。これには、Microsoft から ADMX テンプレートをインポートする作業が含まれます。必ずしも楽しい作業ではありませんが、実行可能です。
  • 3.このポリシーを「有効」に設定します。次に、オプションで、資格情報タイプとして「ユーザー資格情報」を選択します。これにより、登録時に適切なコンテキストが使用されるようになります。
  • 4.エディターを閉じてから、gpupdate /forceコマンドプロンプトまたはPowerShellでポリシーの更新を強制実行します。これにより、ポリシーがすぐに有効になります。
  • 5.次に、もう一度デバイスの登録を試してください。通常、ユーザーのMicrosoft 365アカウントをデバイスに追加することで、登録がスムーズに進みます。

注意:一部の環境では、Windowsが設定を同期するのに時間がかかる場合や、ポリシーが残っている場合など、最初はうまくいかないことがあります。根気強く試せば、多くの場合解決します。

方法3:ユーザーアカウントで権限の継承を設定する

Azure AD Connectを使用してローカルADをEntraに同期している際にこれらのエラーが発生した場合、権限に問題がある可能性があります。デバイス登録が問題なく実行できるよう、ユーザーアカウントで権限の継承が有効になっていることを確認してください。

  • 1.Active Directoryユーザーとコンピューターを開きます。
  • 2.[表示]メニューで、[高度な機能]を有効にします。
  • 3.登録しようとしているユーザーアカウントを見つけて、右クリックしてプロパティを開きます。
  • 4.[セキュリティ]タブに切り替えて、[詳細設定]をクリックします。
  • 5.[権限]タブに移動し、[継承を有効にする]にチェックを入れます。まだ有効になっていない場合は、今すぐ有効にしてください。この機能は無効になっていることが多く、デバイス登録プロセスが妨げられる原因となります。
  • 6.「適用」をクリックし、「OK」をクリックして終了します。

プロからのアドバイス:このセクションで問題が解決しない場合は、Azure AD Connect アカウントに適切なアクセス許可を付与する方法に関する関連記事があります。特に、同期が非常に厳しく制限されている場合は、この記事が役立ちます。

以上が解決策です。これらの修正方法を組み合わせる必要がある場合もあれば、一つだけで済む場合もあります。Windowsは、その細かな癖ゆえに厄介な存在ですが、これらのアクセス許可とポリシーを理解すれば、通常はデバイスがEntraやIntuneと再び通信できるようになります。

まとめ

  • Intuneで自動登録が有効になっており、WIPが無効になっていることを確認してください。
  • 特にハイブリッド環境の場合は、グループポリシーを使用してMDMの自動登録を設定してください。
  • Active Directory のユーザーアカウントにおけるアクセス許可の継承を確認し、有効にしてください。
  • 変更を加えた後は、数分待ってみてください。ただ待つだけで済む場合もあります。

まとめ

これらの登録エラーを修正するには、設定やアクセス許可をいじる必要がある場合が多いですが、適切に設定すれば、ほとんどの問題は解消されます。必ずしも楽しい作業ではありませんし、Windowsがまるで積極的に抵抗しているように感じられることもありますが、少し辛抱すれば、これらのよくある障害を回避できます。この記事が、最終的にデバイスの登録と登録をスムーズに行うのに役立つことを願っています。幸運を祈ります。そして、再起動したり、数分待ったりするだけで、驚くほど効果を発揮することもあることを忘れないでください。