サードパーティのオンプレミス MDM を使用してデバイスを Azure AD に登録できない

サードパーティのオンプレミス MDM を使用してデバイスを Azure AD に登録できない

Windows 10 OOBE を有効にするために、AAD ポータルでサードパーティの MDM (オンプレミス) を Autopilot と統合するプロセスを進めています。Azure のオンプレミス Core Enterprise Application サーバーを活用してこれを実現したいと考えています。これまで次のように構成しましたが、期待どおりに動作していません。また、「ユーザー デバイス登録」または「DeviceManagement-Enterprise-Diagnostics-Provider」内に関連するイベント ログが見つかりません。

  1. Autopilot デバイス プロファイルは、ID を Autpilot にインポートすることによって作成されました。
  2. MFA 認証が有効な承認済みユーザーを含むセキュリティ グループ
  3. リダイレクト URI は、Azure DRS の 1 つをマップする対応する client_id を介して Web アプリに参加するために Azure AD によって使用される MDM アプリでも構成されました。
  4. 利用規約のURLと秘密鍵も作成されました。MDM DISCOVERY URLとMDM TERMS OF USE URLは正しく設定されていますが、インターネット経由でアクセスできるかどうかは確認されていません。

注: 上記のすべてと他の多くの要件は、二重チェックされ、何度もテストされています。InTune を MDM サーバーとして使用すると、デバイスを登録できます (InTune アプリケーションを Azure AD に追加することにより)

すぐに使用できるテスト デバイスを使用して、E5 を含む mdm + セキュリティ サブスクリプションを使用して Azure で次のテスト シナリオを実行しました。

テスト中に次のエラーが発生しました:

****> we are not able to enroll Azure AD due to : Redirect UI
> [https://login.microsoftonline.com/WebApp/CloudDomainJoin/10] is not
> formed correctly****

グーグルで調べたところ、これは DNS の問題、送信プロキシの問題、またはその他のさまざまな理由によって発生する可能性があることがわかりました。

また、アプリケーションがテナントの管理者によってインストールされていない場合、またはテナント内のユーザーによって同意されていない場合にも、この問題が発生する可能性があると読みました。認証リクエストを間違ったテナントに送信した可能性がありますが、今日同僚と確認し、必要に応じて必要なすべての権限を付与しました。うまくいきませんでした

また、これは単に一般的な認証の失敗が原因である可能性もあると読みましたが、私にとってはまだ非常に一般的な問題のように見えます。

報告されたエラーに基づいて、このような問題をトラブルシューティングする方法について手がかりを持っている方はいらっしゃいますか。ヒントをいただければ幸いです。

答え1

これはサードパーティの MDM プロバイダー (mobileiron) の既知のバグであることが判明しており、簡単な修正方法があります。これらは、URI パラメーターに追加された正規表現エントリ [0-9] の組み合わせです。この修正は、影響を受ける最新の Windows 10 ビルド (1809、1903 以降) にのみ適用されます。したがって、最新のビルド (1809 以降) で登録するユーザーは、この修正についてすぐに mobileiron プロバイダーに問い合わせる必要があります。

私の場合の一時的な回避策は、17134 およびそれ以前の Windows ビルドにロールバックしてテストし、最終的に期待どおりに動作することです。これらの Regex エントリに関しては、Mobileiron と連絡を取っています。

詳細については、このリンクをご覧ください ->https://social.msdn.microsoft.com/Forums/en-US/60c55212-fd6d-4c5c-a415-47ab404b7945/3rd-party-onpremise-mdm を使用してデバイスを Azure AD に登録できません?forum=WindowsAzureAD解決策のために。

簡単に言うと、Mobileiron からの恒久的な修正を待つ間にテスト環境でこのエラー メッセージを回避したい場合は、上記のように以前の Windows バージョンにロールバックし、回避策として構成と登録の手順をもう一度実行してください。うまくいくはずです。

関連情報