IntuneでiOSデバイスのデバイス登録を完了できない【解決しました】

9/12/2020

Azure AD Intune エンドポイント管理センター

iPhoneの新機種(SE)が出ました。私の所属する組織では、iPhoneはIntune管理していますが、iOSは機種やバージョンが違ってもデバイス管理自体に大きな問題起きないハズです。

とはいえ一応確認しておこう、ということでADE設定したデバイスを登録しようとしたところ、登録できない、ってことが一部ユーザーで発生しました。全員でもないんですよね。

すでに原因も特定でき、解決しているのですが備忘録を兼ねてまとめてみます。

今回、Twitterで投げかけたところ原因と対応策に対すして解決や根本対応に必要な情報をいただけました。教えてくださったsukaさん、Shinya Yamaguchiさんに感謝いたします。

  1. 今回の問題
  2. MFAの設定
  3. Microsoft Endpoint 管理センター - デバイス - 登録の制限 - デバイス上限数の設定
  4. Azure Active Directory 管理センター - ユーザー -  デバイス
  5. Azure Active Directory 管理センター - デバイス -  デバイスの設定 - ユーザーごとのデバイス最大数
  6. 事象が発生したら時の応急対応
  7. 根本対応

1.今回の問題

IntuneポータルアプリでAzureADアカウントでサインインし、ポリシー準拠確認やアプリインストールなどはもろもろ成功します。しかし、デバイス登録を実行しようとすると、いつまでたっても完了しないか、失敗してしまいます。再実行しても同じです。

Automated Device Enrollment(ADE)でデバイスはIntuneに同期済み、という状態です。

同一の端末で複数ユーザーで実施したところ、問題なくデバイス登録に成功する複数のユーザーと何度実施しても失敗する複数のユーザーがいることが判明しました。もちろん、ライセンスは適用済みです。

ということはデバイスの問題の可能性は低く、ユーザーの設定や状態に何かしら起因している可能性が高いと考えました。

2.MFAの設定

失敗するユーザーに共通することは、Microsoft 365 管理センターのなにかしらの管理者権限を持っていること、です。私が所属する組織では外部認証サービスを利用つつも、特定の権限を持つユーザーにはMFAを設定しています。

以前、何かの記事でMFAがあるとデバイス登録に失敗する、という記事を読んだ記憶があり、調べてみると以下の記事にたどりつきました。

Microsoft Intune での iOS/iPadOS デバイスの登録に関する問題のトラブルシューティング

https://docs.microsoft.com/ja-jp/mem/intune/enrollment/troubleshoot-ios-enrollment-errors#ade-enrollment-stuck-at-user-login

こちらには、「原因: 多要素認証 (MFA) が有効になっています。 現在、ADE デバイスでの登録時に MFA は機能しません。」との記載がありました。

デバイス登録に失敗するユーザーには、MFAを要求する条件付きアクセスのポリシーが複数割り当てられていました。対象の条件付きアクセスのポリシーからユーザーを除外したり、あるいは対象の条件付きアクセスをレポートモードに変更し、MFAを要求されないようにしました。


これであるユーザーでは正常にデバイス登録できましたが、別のユーザーでは変わらずデバイス登録に失敗します。ということはMFAを外すことは必須ですが、ほかに必要な条件がある、ということです。

3.Microsoft Endpoint 管理センター - デバイス - 登録の制限 - デバイス上限数の設定

Intuneに登録できるデバイス数は、グループごとに上限を設定できます。

こちらの設定数を超えるデバイスを、「Intune上で」登録しようとすると、上限超過のエラーメッセージが出るようです。

デバイスの上限数の制限を作成する

https://docs.microsoft.com/ja-jp/mem/intune/enrollment/enrollment-restrictions-set#create-a-device-limit-restriction

上限を超えた場合のエラーメッセージについても記載されています。

デバイス登録が成功しないユーザーではこのエラーメッセージは表示されませんでした。また、エンドポイント管理センター上で、このユーザーのデバイスは上限数には十分余力がある数でしたので、今回の事象の原因はここではなさそうです。

上限に抵触する数がある場合は削除しましょう。

4.Azure Active Directory 管理センター - ユーザー -  デバイス

もしやと思い、AAD管理センターの、対象ユーザーのデバイスを確認。過去に登録したデバイス含めて残っており、iOSデバイスが、エンドポイントマネージャーで設定している上限数ぴったり!アクティブでないデバイスを削除したところ、無事にデバイス登録できるようになりました。

ああ、ここか。解決しました。


と思っていたところ・・・

というご指摘をsukaさんからいただきました。


エンドポイント管理センターのデバイスの登録と、AADのデバイス登録、上限はそれぞれ別設定です、とのこと。


5.Azure Active Directory 管理センター - デバイス -  デバイスの設定 - ユーザーごとのデバイス最大数

AADにもデバイスの登録上限が設定されています。ユーザーごとのAADデバイス数がこの条件に抵触すると、デバイス登録が行えなくなるそうです。




手元の環境で見てみると、AADにもデバイスの登録上限が設定されています。Intuneで管理していないデバイスもここに登録されており、上記4で削除する前の総デバイス数は、AADのデバイス登録上限と合致します。
先のでうまくいったのは「AADのデバイス数が、Intuneの登録上限を下回ったから」ではなくて「AADのデバイス数が、AADの登録上限を下回ったから」ということですね。たまたま、合致していただけという・・・。

6.事象が発生したら時の応急対応

ADEとか業務用デバイス登録とか済んでいるにもかかわらず、デバイス登録できない!ってなった場合はこの点を確認しましょう。

  • MFAは設定されていないか(一時的に外す)
  • Intuneの登録上限に抵触していないか(使っていないデバイスは削除する)
  • AADのユーザーに不要なデバイスは登録されていないか(あれば削除する/削除させる)

7.根本対応

7-1.AADデバイス

「上限を上げる」「定期的に削除する」の2つ。上限を100などに設定しておけば上限に抵触しにくくなりますね。とはいえ、sukaさんも書かれている通り時間稼ぎでなので、定期的に削除するがベターでしょう。定期的に削除する方法は、Shinya Yamaguchiさんの以下の記事に詳しくまとめられています。90 日以上ログオンしていないデバイスを一括で抽出・削除する方法もまとめられていて、定期的に実行すればよさそうです。


Azure AD 上の不要なデバイスを PowerShell で確認、削除する方法。

https://qiita.com/Shinya-Yamaguchi/items/4193913b7e5dbd2438df


早速使わせていただきます。

7-2.Intuneデバイス

コンプライアンスポリシーに違反して一定日数経つと、Intuneからデバイスを削除する設定が可能とのこと。

非準拠に対して使用できるアクション

https://docs.microsoft.com/ja-jp/mem/intune/protect/actions-for-noncompliance#available-actions-for-noncompliance

これを使えば、管理が効率化できそうです。

7-3.MFA

これは、今のところ解決策が見いだせずです。運用でカバーしかないのでしょうか。

20200913追記

条件付きアクセスで、クラウドアプリケーションIntuneとIntune EnrollmentをMFA対象から外せばよいと、教えていただきました。多謝。
https://twitter.com/kosukaems/status/1304713419715571713


8.最後に

改めて、今回のトラブル解決に大きな示唆を与えてくださったsukaさん、Shinya Yamaguchiさんに感謝いたします。ありがとうございます。

冒頭の問題は解決できました。同じような問題に対応される方の参考になれば幸いです。