エラー内容
Windows PC が Intune と同期を行う際に、以下のエラーが出る場合があります。
そんな場合の対応策を紹介します。
エラーメッセージ
同期を開始できませんでした(0x80190190 要求が正しくありません (400)。)
エラー画面
原因
結論としては、Intune のライセンスがありませんでした。
以下の私の記事を参照いただくとわかりますが、 Microsoft Entra Join を行う際に、Intune連携(MDM スコープ有効)な場合に、ユーザーに Intune のライセンスが無い場合にはエラーになります。
上記の記事から考えると、ライセンスが無ければ Join できないんだから、そもそも サインインして 同期ボタンが押せないんじゃないの? と思われるかもしれません。
ですが、以下のような場合には、ライセンスが無いユーザーが PC にサインインすることがありえます。
① Intune のライセンスの有効期限が切れた
② Intune のライセンスが剥奪された(管理者の手違い?)
③ Join した時とは 別のユーザーがサインインした(このユーザーは、ライセンスが無い)
※ ① と ② は判りやすいシチュエーションですが、③ について 以下で説明します。
③ が発生する理由
Microsoft Entra Join 済みデバイスには、テナント内のユーザーは、誰でも サインイン が可能です。
そのため、テナント内に Intune のライセンスが付与されていないユーザーが居れば、そのユーザーが Entra Join 済みの PC にサインインすることがありえます。
そのようなシチュエーションの場合に、本事象(同期ボタンを押すと 0x80190190 エラー)が発生します。
ライセンスエラーが発生してしまうと、PC を制限するようなポリシーが、ユーザー に適用されないので、セキュリティリスクにもつながります。なるべく、こういうシチュエーションが発生しないように、ユーザー、ライセンス、PC の組み合わせを設計する必要がありそうです。
※基本的には、条件付きアクセスを活用して、準拠済みデバイス のみが、システムを利用できるようにすると良いと思います。
ユーザーに Intune のライセンスが適用されている事を確認する
Intune 管理センター の以下の画面で、ユーザーを指定することで状態を確認できます。
Microsoft 365 管理センター でライセンスを付与しましょう。
再度、Intune 管理センター で確認すると、Intune ライセンス済み になりました。
その後、エラーが出ていた PC で、同期が成功するようになりました。
その他のシチュエーション
上記で紹介したのは、最も一般的な「単にライセンスが無い」という場合ですが、その他のシチュエーションでも、 0x80190190 エラー が出る事があるようです。色々ググって調べました。
ポイント
ここで取り上げた内容も、結局は ライセンスが無い場合、または Intune と接続できずに契約の状態が確認できない・・・場合に、0x80190190 エラーが出ることが判ります。
このエラーが出た場合は、そのあたりを集中して 確認 頂くと良いと思います。
登録スケジュールタスク 、ポート 444 が塞がれている
以下の公開情報に、2種類の問題と対策が説明されています。
① 登録スケジュールタスク に、別の ID が登録されてしまっている
② ポート 444 が塞がれている
上記のサイトで説明されている内容を抜粋しています。英語の内容を私の方で意訳するとともに、画面キャプチャは 私の環境から取得しなおしています。
① 登録スケジュールタスク に、別の ID が登録されてしまっている
- 影響を受けたマシンで スケジュールされたタスクを開く
a. Microsoft-Windows-EnterpriseMgmt
b. 登録スケジュールタスクの ID を見つける (1b)
c. スケジュールされたタスクをすべて削除する
- レジストリエディターを開く
a. HKLM-Microsoft-Enrollments
b. 1b) の ID を見つけて、その下の UPN REG_SZ 値が fooUser@tenant.onmicrosoft.com であることを確認します。
c. ID キー全体 を削除します(値だけではありません)
d. gpupdate /force target:computer を実行します。
e. Intuneポータルでデバイスをチェックして、Intuneデバイスの登録が成功したことを確認します。
f. [設定] - [職場または学校にアクセス] - [情報] から同期を確認し、デバイスが正常に同期されていることを確認します。
② ポート 444 が塞がれている
調査の結果、ポート 444 が閉じられている事が判明した場合に、同期の問題が発生します。
http://www.wave16.com/2019/08/azure-ad-registered-devices-intune-sync.html
注: 非 Microsoft リンクですが、参考用です。
ポート 444 がファイアウォールなどでブロックされている場合は、ポートを開放します。
新規のデバイスが Intune に正常に登録可能になったことを検証します。同期についても確認します。
つづいて、既存の登録済みでエラーだったデバイスについては、以下の手順で、Intune に再登録することができます。
- Intune 管理センター から デバイス を リタイヤ または 削除 します。
- Azure Portal の Microsoft Entra ID 上の デバイス から 該当のデバイス を削除します。
- オンプレミス環境の場合は、Microsoft Entra Connect を使用して、デバイスのパスワード ハッシュ と Microsoft Entra Hybrid Join を同期します。そして、以前と同じ(GPO、共同管理など)登録方法を使用して、デバイスを Intune に登録します。
その場合は、次のリンクを参照してください。
参考
ポート 444 と通信できなくて 0x80190190 エラーが出るという事は、Intune のクラウドエンドポイントと通信出来ない場合でも 同じエラーが出るかもしれません。
会社内に Web フィルタなどが導入されている場合、以下の クラウドエンドポイント へのアクセスがブロックされていないかどうかも チェックした方が良さそうです。
Microsoft Intune のネットワーク エンドポイント
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/intune-endpoints?wt.mc_id=mvp_407731
Intune MDM 証明書が失効し、更新できなかった
通常であれば、Intune MDM 証明書 の有効期限を迎える際に タスクスケジューラによって 証明書が更新されるようになっているようなのですが、そのタスクがうまく動かずに 有効な Intune MDM 証明書 が確認できない状態になることがあるようです。その場合にも 0x80190190 エラーが出るようです。
その場合の問題の切り分け方や対処法が、以下の Rudy さんのブログで説明されています。
Intune について深堀していくと、いつも MVP の Rudy さんのブログに行きつきますね・・・
ライセンス失効 したあとの 付け間違いの事例
以下のフォーラム記事では、Hybrid Entra Join 状態で 同期が出来ていたが、一旦ライセンスが期限切れで失効したあとに、再度 ライセンスを購入したのに、引き続き 0x80190190 エラー出ているデバイスがある・・・という内容のようです。その後 Office 365 E3 ライセンスを、E5 に付け替えると改善したと説明されています。
これだけでは断定できませんが、ライセンスが失効したあとに、割り当てなおしたライセンスが 手違いで Office 365 E3 だった・・・という事でしょうか?(Office 365 E3 には Intune が含まれていません)
上記のフォーラムには、それ以上書かれていないので定かではないのですが、Office 365 E3 を Office 365 E5 に変更したとしても Intune のライセンスは含まれていません。なので、Microsoft 365 E5 のライセンスに付け替えたって事なんだと思われます。
上記の図は、以下のサイトから PDF の比較表を入手して、そこからの抜粋となっています。
Intune のライセンスが、どの 上位ライセンスに包含されているのかを調べる方法は、以下の私の記事で説明していますので、合わせて参照ください。