[Autopilot]Azure ADとIntuneに同じデバイスアカウントが重複して登録される不具合

Azure
[Autopilot]Azure ADとIntuneに同じデバイスアカウントが重複して登録される不具合

弊社の案件にて、Azure ADとIntuneに同じデバイスアカウントが重複して登録される不具合を調査する機会がありました。

この不具合は、オンプレミス環境のデバイスをクラウドで管理する「Hybrid Azure AD Join」を使用し、MECMとAutopilot、Intuneの共同管理を行う環境で発生しました。

Azure ADとIntuneに同じデバイスが重複して登録される

弊社の案件でAzure ADとIntuneに同じデバイスアカウントが重複して登録される事象が発生し、調査する機会がありました。

事象が発生した環境では、「Hybrid Azure AD Join」を使用し、MECMとAutopilot、Intuneの共同管理を行っていました。

「Hybrid Azure AD Join」とは

オンプレミスのActive DirectoryとAzure ADを連携させ、デバイスを管理するAzure ADの機能です。

オンプレミスのActive Directoryでデバイスを管理しながら、同時にAzure ADにデバイス情報を同期するので、オンプレミス環境のデバイスをクラウドで管理可能になります。

Hybrid Azure Active Directory 参加のデプロイを計画する – Microsoft Entra _ Microsoft Learn

実際の管理画面

Azure ADの管理画面

Azure ADの管理画面では、「結合の種類」項目の記載が異なる「AZS-TestCLArHJV」が重複して登録されています。

赤枠のデバイスでは結合の種類が「Azure AD Joined」、緑四角のデバイスは「Hybrid Azure AD Joined」と表示されています。

Intuneの管理画面

Intune側も「管理者」項目の記載が異なるデバイス「AZS-TestCLArHJV」が重複して登録されています。

青枠のデバイスは管理者が「ConfigMgr(MECM)」、緑四角のデバイスは「共同管理」と表示されています。

デバイスアカウントが重複して登録されるタイミングは?

原因を調査するため、デバイスアカウントが重複して登録されるタイミングを調査しました。

アカウントが登録される流れは以下のようになっています。

なお、Autopilot開始前の準備として、IntuneにハードウェアIDを登録したものとします。

  • Autopilot開始
  • Active Directryにアカウント登録
  • Intuneにデバイス登録
  • デバイスのセットアップでデバイスがMECM登録
  • Azure ADにデバイス登録

1.Autopilotを開始します。開始時にIntune ConnectorによってActive Directryにアカウントが登録されます。

この時点でドメイン参加プロファイル名で登録されます。今回は「AZS-TestCLArHJV」です。

2.IntuneにADに作成されたアカウント名「AZS-TestCLArHJV」でデバイスが登録されます。

3.デバイスのセットアップでMECMクライアントがインストールされ、MECMに登録されます。

MECMの共同管理設定により、MECMに登録されたコンピューターアカウントがIntuneにアップロードされます。

実際にはラグが生じますが、今回発生した事象のトリガーはこのタイミングだと思われます。

4.アカウントのセットアップでHybrid Azure AD Joinが実行され、Azure ADにデバイスが登録されます。

原因

原因を調査した結果、この事象はAutopilotの仕様上の問題、MECMの既知の不具合だということが分かりました。

Autopilotの仕様上の問題

既知の不具合欄にありますが、デバイスがAutopilotで登録された時、Azure ADにデバイスアカウントが事前作成されるため、Hybrid Azure AD Joinを使用すると二重でアカウントが登録されてしまうという仕様上の問題です。

デバイスがAutopilotに登録される際、Azure ADにデバイスオブジェクトが事前に作成されます。

そのため、Azure ADのハイブリッド展開を経由する場合、設計上、別のデバイスオブジェクトが作成され、結果としてエントリが重複することになります。

Windows Autopilot の既知の問題 _ Microsoft Learn

MECMの既知の不具合

IntuneがConfigMgr(MECM)から伝達されたAzure ADデバイスIDが認識されない場合、アカウントが重複して作成されるMECMの既知の不具合とのことです。

以前まで、共同管理デバイスのデバイスエンティティはデバイスの登録後、Intuneに対応するエントリーとConfigMgr(MECM)に対応するエントリーが2つの個別エントリとして重複して表示されていました。

このエントリーは場合によっては永続的なものでした。

エントリーが重複しているのは、IntuneがConfigMgrから伝達されたAzure ADデバイスIDを認識していないことが原因でした。

この問題は、Intune登録時にConfigMgrから正しいAzure ADデバイスIDを伝播することで解決します。これにより、短時間(30~40分)で共同管理デバイスのエンティティがマージされるようになりました。

バージョン 2211 の新機能 – Configuration Manager _ Microsoft Learn

回避策

[回避策1]MECMバージョン2211にアップデートする

この不具合は既に修正されており、「MECMバージョン2211」へ更新することで解消されます。

この問題は、バージョン2211へのアップデート後、Intune登録中にAzure ADの正しいデバイスIDがConfigMgr(MECM)から伝達することで修正されます。
これにより30~40 分で共同管理デバイスのエンティティが統合されます。検出サイクルが実行されるのを待つ必要はありません。

バージョン 2211 の新機能 – Configuration Manager _ Microsoft Learn

[回避策2]重複したデバイスアカウントを削除する

削除するアカウントの条件

弊社環境で実証した、任意の重複したアカウントを削除する条件をご紹介します。

※以下の削除方法は弊社環境で検証したものです。参考程度に留めるようお願いいたします。

■【削除する順番A】
1.Intune上のアカウント「共同管理」

2.Autopilot上に登録されたハードウェアID

デバイスのハードウェアIDはPowershellスクリプト「Get-WindowsAutoPilotInfo 3.5.ps1」で取得可能です。

3.Azure AD上のアカウント「Azure AD joined」、「Hybrid Azure AD joined」

■【削除する順番B】

1.MECMのデバイス管理上のアカウント

2.Intune上のアカウント(ConfigMgr(MECM))

■【削除する順番C】

Active Directry上のアカウント

弊社の環境では、Active Directry上のアカウントのみ、どのタイミングで削除しても問題ありませんでした。

Autopilotやクラウド管理ゲートウェイ(CMG)、Intuneについてのご相談お待ちしております

アーザスではAutopilotやCMG、Intune案件のご相談も多くなってきており、いよいよクラウドベースの管理が本格化してきていると痛感しております。

Autopilot、CMG導入や本件のようなMECMサポートをお考えの方は是非一度ご相談下さい。