Intune 自動登録が失敗する場合のトラブルシューティング (Microsoft Entra Hybrid Join)

はじめに

表題の通り 「Microsoft Entra Hybrid Join 実施時に Intune 自動登録がうまくいかない」場合のトラブルシューティングについてまとめてみました。

この記事で分かること

• Hybrid Join の確認方法
• Intune 自動登録が失敗する典型的な原因
• 既存PCで発生する特殊な事象と解決策（★：メインテーマ）

Hybrid Join や Intune 自動登録 が何であるかは、以下の私の記事を参照ください。
※解説や、構築手順がまとめられています。

Microsoft Entra ハイブリッド参加（旧HAADJ）を構成してみた
https://qiita.com/carol0226/items/7c16c4813e2b54a76789

Windows デバイス を Intune に自動登録する
https://qiita.com/carol0226/items/e75b04f2a6a99fa6bcf7

チェックポイント

Intune への自動登録が正常に行われない場合の、代表的な確認ポイントを挙げてみました。
なお、以下の公開情報でも示されていますので、併せて確認してください。

公開情報：Intune での Windows 10 グループ ポリシーベースの自動登録のトラブルシューティング
https://learn.microsoft.com/ja-jp/troubleshoot/mem/intune/device-enrollment/troubleshoot-windows-auto-enrollment?wt.mc_id=MVP_407731

公開情報：MDM 登録を診断する
https://learn.microsoft.com/ja-jp/windows/client-management/mdm-diagnose-enrollment?wt.mc_id=MVP_407731

① ユーザーアカウント と ライセンス の適用状態

• ハイブリッドユーザーであること
  Hybrid Join のデバイスには、ドメインのみのユーザー／ハイブリッドユーザー どちらもサインインできます。
  しかし、Intune 自動登録 が行われるためには、ハイブリッドユーザー である必要があります。

ハイブリッドユーザーとは？
以下の要件を満たしている必要があります。

• Active Directory ドメイン 側で作成されたアカウントである
• Microsoft Entra Connect で Entra テナント側へ同期されたアカウントである

テナントで ユーザーの一覧を確認し、オンプレミスの同期が有効 の欄が はい になっていれば OK です。

• ハイブリッドユーザーに対して、Intune のライセンスが付与されていること
  デバイスに ドメインログオン するユーザーには、Intune のライセンスが付与されている必要があります。
  　
  ※ライセンスの付与状態は、Microsoft 365 管理センター で確認しましょう。

② Microsoft Entra Hybrid Join が構成されていること

デバイスは、Hybrid Join が構成されている必要があります。
チェックポイントを以下に示します。デバイス側、テナント側 の両方が条件を満たしている必要があります。

チェックポイント

• dsregcmd /status の実行結果（デバイス側で実行）
  AzureAdJoined と、DomainJoined の両方が Yes になっています。
  
  　
  AzureAdPrt も Yes になっている必要があります。
  
  　
• デバイスの状態（Azure Portal または Microsoft Entra 管理センター）
  デバイス の状態を確認すると、"Microsoft Entra Hybrid Joined" となっており、登録済み 欄に、登録された日付 が記録されている必要があります。
  注）登録済み 欄が、"保留中" だとダメです。Hybrid Join が正しく構成されるようにしてください。
  

Hybrid Join が構成できない場合の確認ポイント

• ドメインコントローラーへの疎通が通っているか？
  デバイス側で Test-NetConnection 等のコマンドを使い、直接応答があるかを確認してください。
  例：Test-NetConnection -computer [ドメコンのホスト名] -port 445
  
  　
• Hybrid Join の エンドポイントへの疎通が解放済みか？
  以下の公開情報で示されている URL への疎通が プロキシ や ファイアウォール でブロックされていないか確認してください。

公開情報：ネットワーク接続の要件
https://learn.microsoft.com/ja-jp/entra/identity/devices/how-to-hybrid-join?wt.mc_id=MVP_407731#network-connectivity-requirements

➂ Intune 自動登録 が構成されていること

チェックポイント

• MDM ユーザースコープ
  対象のグループ内に ユーザーが含まれている（または、「すべて」になっている）
• WIP ユーザースコープ
  対象のグループ内に ユーザーが含まれていない（または、「なし」になっている」

公開情報：構成を確認する
https://learn.microsoft.com/ja-jp/troubleshoot/mem/intune/device-enrollment/troubleshoot-windows-auto-enrollment#verify-the-configuration

④ MDM 自動登録の GPO が構成されていること

GPO を使い、MDM 自動登録のポリシーが デバイス に適用されているかどうかを確認してください。

ポリシー
[コンピューターの構成]－[管理用テンプレート]－[Windows コンポーネント]－[MDM]
既定の AzureAD 資格情報を使用して自動の MDM 登録を有効にします

GPO 適用の確認方法
デバイス上で、以下のコマンドを実行します。
gpresult /h check.html

出力された check.html をブラウザで開きます。
表示された ポリシー結果セットを見て、MDM 自動登録のポリシーが適用されているかどうかを確認します。

公開情報：デバイスのグループの自動登録を構成する
https://learn.microsoft.com/ja-jp/windows/client-management/enroll-a-windows-10-device-automatically-using-group-policy?wt.mc_id=MVP_407731#configure-the-autoenrollment-for-a-group-of-devices

⑤ Intune エンドポイントへの疎通が可能であること

デバイスは、Intune エンドポイント へ直接通信出来る必要があります。
以下の公開情報で示されている URL への疎通が プロキシ や ファイアウォール でブロックされていないか確認してください。

公開情報：Microsoft Intune のネットワーク エンドポイント
https://learn.microsoft.com/ja-jp/intune/intune-service/fundamentals/intune-endpoints?wt.mc_id=MVP_407731

⑥ その他：80180002b エラー

デバイスが以前に別のテナントに参加していて、テナントから正しく参加しなかった場合に発生する事象として、以下の公開情報で説明されています。

公開情報：Windows 10 グループ ポリシーベースの Intune への自動登録中の 80180002b エラー
https://learn.microsoft.com/ja-jp/troubleshoot/mem/intune/device-enrollment/windows10-enroll-error-80180002b?wt.mc_id=MVP_407731

ソリューション（既存PCで自動登録されない場合）

実は、ここからが 本題です。
前章までのチェックポイントをすべて満たしていても、うまくいかないパターンがあるのです。
PoC 検証用に新規でデプロイした PC では引っかからなかったのに、既に本番運用されている 既存 PC では 自動登録されない・・・という事象に遭遇しました。

公開情報：グループ ポリシー登録のトラブルシューティング
https://learn.microsoft.com/ja-jp/windows/client-management/mdm-diagnose-enrollment?source=recommendations?wt.mc_id=MVP_407731#troubleshoot-group-policy-enrollment

私がハマった事象

事象
本来、「MDM 自動登録の GPO」がクライアントに適用されると、タスクスケジューラーに MDM 自動登録用のタスクが追加されるのですが、これが 一向に追加されませんでした。

原因
これの原因が、以下で説明されているレジストリの場所に 不要なキーがあることでした。

通常は、デバイスの登録を解除すると、レジストリのエントリは削除されるはずですが、登録解除後もレジストリ キーが残ることがあるようです。 この場合、 gpupdate /force は自動登録タスクを開始することができないため、
イベントログ（アプリケーション とサービス ログ > Microsoft > Windows > Task Scheduler > Operational）配下にイベント ID 7016 のログが出力され、エラー コード 2149056522 が出力されます。

回避策
公開情報の説明が 非常に分かりづらいのですが、私が対応した流れを紹介します。
Enrollments 配下のキーを全部みていって、以下の観点で判断して処理を行っていきます。

注意点
誤って必要なキーを消すリスクがあるので、必ず バックアップを取ってから操作してください。
Enrollments 配下をエクスポートしておくと良いと思います。

・AADOpaqueID ～ UPN まで 20行くらいの値があるキーは、削除する

・EnrollmentState と EnrollmentType など 2～3行しかないキーは、残す

これで、不要なキーが削除できていると、タスクスケジューラーに タスクが追加されるようになりました。
以下のような感じで、追加されます。

MDM 自動登録タスクが登録されたら
タスクが登録されれば、続いて そのタスクが　自動登録を実施して、結果がイベントログに記録されるようになります。このログをみて、登録が出来なかった原因を調べることが可能になります。

しかし、以下の公開情報で説明されている内容と、ログの場所に相違がある場合がありました。

公開情報：グループ ポリシー登録のトラブルシューティング
https://learn.microsoft.com/ja-jp/windows/client-management/mdm-diagnose-enrollment?wt.mc_id=MVP_407731#troubleshoot-group-policy-enrollment

（誤） アプリケーションとサービスのログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin

（正） アプリケーションとサービスのログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>登録

注意 (2026/1/21 追記)
上記のイベントログの場所ですが、公開情報のとおりに Admin 配下に出ている環境もありました。
Admin と 登録 の両方を見ていただいた方が良さそうです。

上記の 正 の箇所を見て、ID 76 が出ていたら、MDM 登録失敗です。
以下のエラーコード表を見て原因を突き止めましょう。

公開情報：エラー コード
https://learn.microsoft.com/ja-jp/windows/client-management/mdm-diagnose-enrollment?wt.mc_id=MVP_407731#error-codes

なお、私の見た場合には、以下のエラーが出ていたこともありますが、エラーコード表にはありませんでした。
(0x0) MDM が構成されていない。

上記のエラーは、ハイブリッドユーザーではなく、オンプレ側のユーザー でログオンしたときに出ていました。
これも、参考にしていただければと思います。