Microsoft Entra Connect で [デバイス ライトバック] オプションを有効にできない

元の製品バージョン: Cloud Services (Web ロール/Worker ロール)、Microsoft Entra ID、Office 365 Identity Management、Microsoft Intune
元の KB 番号: 3085068

現象

Microsoft Entra接続構成ウィザードを実行すると、[同期オプションのカスタマイズ] ページで [デバイス ライトバック] オプションを有効にすることはできません。

原因

この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。

• Microsoft Entra organizationがデバイスライトバックに対して有効になっていません。
• 環境内の操作マスター ロール (フレキシブル シングル マスター操作または FSMO ロールとも呼ばれます) を保持する 1 つ以上のドメイン コントローラーはレプリケートされません。

解決方法

手順 1: FSMO ロールまたはレプリケーションの問題のトラブルシューティング

1. コマンドを repadmin /showrepl 実行して、レプリケーションの状態を示すレポートを表示します。 これを行うには、次の手順を実行します。

   1. 管理者としてコマンド プロンプトを開きます。

   2. 次のコマンドを実行します。

      repadmin /showrepl * /csv > replication.csv
      

   3. Replication.csv ファイルを調べ、エラーのトラブルシューティングと修正を行います。

2. FSMO ロールを押収します。 場合によっては、FMSO ロールを保持するサーバー自体が正しくアドバタイズされていない可能性があります。 それ自体を押収すると、問題が解決する可能性があります。 これを行うには、次の手順を実行します。

   1. リモート サーバー管理ツール パックがインストールされているドメイン コントローラーまたはコンピューターで、管理者としてコマンド プロンプトを開きます。

   2. 次のコマンドを実行します。

      netdom query FSMO
      

3. 出力に一覧表示されている各コンピューターについて、「Ntdsutil.exe を使用して FSMO の 役割をドメイン コントローラーに転送または押収する」の「FSMO の役割を強制する」セクションの手順に従います。

手順 2: デバイスライトバックのorganizationを有効にする

Microsoft Entra Connect がインストールされているサーバーで、次の手順に従います。

1. リモート サーバー管理ツール パックがインストールされていることを確認します。 詳細については、「 リモート サーバー管理ツール パックのインストールまたは削除」を参照してください。

2. Active Directory モジュールを開き、管理者としてWindows PowerShellします。 詳細については、「Windows PowerShellを使用した Active Directory 管理」を参照してください。

3. に %ProgramFiles%\Microsoft Azure Active Directory Connect\AdPrep移動し、次のコマンドを実行します。

   Import-module .\AdSyncPrep.psm1
   

   Initialize-ADSyncDeviceWriteBack -domainname <domain.com>
   

   このコマンドでは、プレースホルダー <domain.com> は Active Directory ドメインを表します。 たとえば、 を実行 Initialize-ADSyncDeviceWriteBack -domainname contoso.comします。

   Active Directory 環境内のドメインごとにこのコマンドを実行する必要がある場合があります。

4. メッセージが表示されたら、エンタープライズ管理者のユーザー名を入力します。

5. Microsoft Entra接続構成ウィザードを開きます。 これで、デバイスライトバックを有効にできるようになります。

詳細

Microsoft Entra Connect がインストールされているサーバーで、次の場所にあるログを確認します。

C:\Users\<UserAccount which AAD Connect was installed>\AppData\Local\AADConnect\trace-<DateTime>.log

次のようなエラー メッセージが表示される場合があります。

[13:15:30.864] [ 18] [ERROR] ADPowerShellQueyProvider:SearchAdSyncDirectoryObjects ldap 検索クエリを実行できませんでした。 PowerShell に渡されるパラメーター値:
ForestFqdn : <Forest_Name>
AdConnectorId : <ID>
PropertiesToRetrieve : msDS-DeviceLocation,name,displayName,distinguishedName,objectClass
NamingContextType : 構成
BaseDnType : Relative
AdConnectorUserName : <Domain>\MSOL_d95558f154ee
BaseDn : CN=Services
LdapFilter : (objectClass=msDS-DeviceRegistrationService)
SearchScope : サブツリー
例外の詳細:
System.Management.Automation.CmdletInvocationException: エラー HRESULT E_FAILが COM コンポーネントの呼び出しから返されました。 >--- System.Runtime.InteropServices.COMException: エラー HRESULT E_FAILが COM コンポーネントの呼び出しから返されました。 at MmsServerRCW.IMMSServer2.SearchADSyncDirectoryObjects(String forestFqdn, Guid& adConnectorGuid, String namingContextType, String baseDnType, String baseDn, String ldapFilter, String searchScope, String propertiesToLoad, String userName, String password, String& outputSerializedResult) at Microsoft.IdentityManagement.PowerShell.Cmdlet.AdSyncDirectorySearchResult(ProcessRecord)

また、次のイベント 2092 の警告メッセージが、問題が発生しているドメイン コントローラーのイベント ビューアーにログインしている場合もあります。

イベント ID: 2092
タスク カテゴリ: Replicaiton
レベル: 警告
説明:
このサーバーは、次の FSMO ロールの所有者ですが、有効とは見なされません。 FSMO を含むパーティションの場合、このサーバーは再起動されてから、どのパートナーとも正常にレプリケートされていません。 レプリケーション エラーによって、このロールの検証が妨げている。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。