Windows 365 Enterprise と現場での既知の問題

Windows 365 Enterprise の既知の問題を次に示します。

初めてのクラウド PC サインインによって、あり得ない移動場所アラートがトリガーされる

条件付きアクセスを使用すると、クラウド PC に初めてサインインしたユーザーが、あり得ない移動場所のアラートをトリガーする可能性があります。

ソリューション

次の手順に従ってリスクを調査し アクティビティが、物理的な場所とクラウド PC の場所に基づいて、ユーザーの予想される動作と一致することを確認します。

Windows 365 での透かしのサポート

透かし機能のサポートはセッションホストで設定され、リモートデスクトップクライアントによって実施されます。 透かしのサポートを構成するには、グループ ポリシー オブジェクト (GPO) または Intune 設定カタログを構成します。 QR コード埋め込みコンテンツ設定の既定値では、管理者はクラウド PC の漏洩した画像からデバイス情報を検索できません。

ソリューション

透かしサポートを構成するために使用した Intune 構成プロファイルを GPO または Intune 設定カタログで確認してください。 QR コード埋め込みコンテンツ設定が デバイス ID に構成されていることを確認します。

詳細については、「Azure Virtual Desktop 向けの管理用テンプレート」を参照してください。

iPad とリモート デスクトップ アプリを使用してクラウド PC にアクセスするときにスタート メニューとタスク バーが見つからない

ローカル以外の管理者ユーザーが iPad と Microsoft リモート デスクトップ アプリを使用してクラウド PC にサインインすると、Windows 11 ユーザー インターフェイスにスタート メニューとタスク バーが表示されない可能性があります。

ソリューション

リモート デスクトップ クライアントの最新バージョンがあることを確認します。リモート デスクトップ クライアントは、リモート デスクトップ サービスとリモート PC の リモート デスクトップ クライアントから見つけることができます。

さらに、 Windows 365 を使用してクラウド PC にサインインできます。

資格情報の復元と自動更新

Active Directory に登録されている多くのデバイスには、自動的に更新されるコンピューター アカウントのパスワードが含まれる場合があります。 既定では、これらのパスワードは 30 日ごとに更新されます。 この自動化は、ハイブリッド参加済み PC には適用されますが、Microsoft Entra ネイティブ PC には適用されません。

マシン アカウントのパスワードは、クラウド PC 上に保持されます。 クラウド PC が以前のパスワードが保存されているポイントに復元された場合、クラウド PC はドメインにサインインできません。

詳細については、「 Machine アカウントのパスワード プロセス」を参照してください。

カーソルの表示位置が実際の位置からオフセットされている

リモート デスクトップ セッションでは、テキスト ファイル内の 1 つの位置を選択すると、クラウド PC のカーソルに実際の位置とのオフセットが設定されます。

考えられる原因

高 DPI モードでは、サーバーとクラウド PC ブラウザーの両方でカーソルがスケーリングされます。 この競合により、表示されているカーソル位置と実際のカーソル フォーカスの間のオフセットが発生します。

ソリューション

高 DPI モードをオフにします。

Outlook は 1 か月のメールのみをダウンロードします

Outlook では、以前のメールの 1 か月間しかダウンロードされません。Outlook の設定では変更できません。

ソリューション

1. レジストリ エディターを開きます。

2. パスの下にある syncwindowsetting レジストリ キーを削除します。

   \HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\Cached Mode

3. パスの下にsyncwindowsetting値を持つ1レジストリ キーを追加します。

   \HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Cached Mode

これらの手順を完了すると、既定値は 1 か月になります。 ただし、ダウンロード期間は Outlook の設定で変更できます。

インプレース Windows アップグレードによってコンピューター名が変更される可能性がある

Windows 10 のリリース バージョン間で既存のクラウド PC を Windows 11 にアップグレードすると、コンピューター名が "pps" というプレフィックスを持つ名前に変更される可能性があります。Intune デバイス名は変更されません。

ソリューション

Devices>All devices リストまたは Devices>Windows 365>All Cloud PC リストを使用して、変更されていない Intune デバイス名を使用して、Microsoft Intune でクラウド PC を検索して管理します。

Windows 365 のプロビジョニングが失敗する

次の両方の条件が満たされている場合、Windows 365 のプロビジョニングが失敗する可能性があります。

• Desired State Configuration (DSC) 拡張機能が署名されていません。
• PowerShell 実行ポリシーは、GPO で AllSigned に設定されます。

ソリューション

1. Azure ネットワーク接続 (ANC) が "内部エラーが発生しました" というエラーで失敗するかどうか確認してください。 仮想マシンのデプロイがタイムアウトしました。"該当する場合は、関連する GPO を確認します。
2. PowerShell 実行ポリシーが AllSigned に設定されているかどうかを確認します。 その場合は、GPO を削除するか、PowerShell 実行ポリシーを Unrestricted にリセットします。
3. ANC ヘルスチェックを再試行します。 チェックが成功した場合は、プロビジョニングを再試行してください。

コンプライアンス ポリシーに準拠していないと報告されているクラウド PC

次のデバイス コンプライアンス設定は、クラウド PC の評価時に 適用できません として報告します。

• トラステッド プラットフォーム モジュール (TPM)
• デバイス上のデータ ストレージの暗号化を要求する

次のデバイス コンプライアンス設定は、クラウド PC の評価時に 準拠していない として報告される場合があります。

• BitLocker が必要
• デバイスでセキュア ブートを有効にする必要があります。 セキュア ブート機能に対するクラウド PC のサポートが、すべてのユーザーが利用できるようになりました。

ソリューション

クラウド PC でセキュア ブートを有効にするには、特定のクラウド PC を再プロビジョニングします。詳細については、「クラウド PC の再プロビジョニング」を参照してください。

"準拠していない" 設定を削除するには:

1. すべてのクラウド PC のフィルターを作成します。
2. クラウド PC に評価され、 準拠していない 設定のいずれかを含む既存のデバイス コンプライアンス ポリシーの場合は、この新しいフィルターを使用して、ポリシー割り当てからクラウド PC を除外します。
3. 非準拠設定を使用せずに新しいデバイス コンプライアンス ポリシーを作成し、この新しいフィルターを使用してポリシー割り当てにクラウド PC を含めます。

シングル サインオン ユーザーに、接続の試行中にリモート デスクトップ接続を許可するダイアログが表示される

シングル サインオンを有効にすると、新しいクラウド PC への接続を起動するときに、Microsoft Entra ID に対して認証を行い、リモート デスクトップ接続を許可するように求めるプロンプトがユーザーに表示されます。 Microsoft Entra は、30 日間、最大 15 台のデバイスを記憶してから、再度プロンプトを表示します。 接続するには、このダイアログで [ はい ] を選択します。

このダイアログが表示されないようにするには、事前に設定されたデバイス グループを作成します。 開始するには、指示に従って ターゲット デバイス グループを構成します。

Microsoft Entra 条件付きアクセスを通じてシングル サインオン ユーザー接続が拒否されている

考えられる原因

シングル サインオンを使用してサインインするには、リモート デスクトップ クライアントが Microsoft Entra から Microsoft リモート デスクトップ アプリへのアクセス トークンを要求します。 この要求プロセスで問題が発生すると、接続が失敗する可能性があります。

トラブルシューティングの手順

サインインの問題を解決するための手順に従ってください。

クラウド PC がロックされると、シングル サインオン ユーザーは直ちに切断されます

シングル サインオンを使用しない場合、ユーザーはクラウド PC のロック画面を表示し、資格情報を入力して Windows セッションのロックを解除できます。 ただし、シングル サインオンを使用すると、Cloud PC はセッションを完全に切断して、次の機能を有効にします。

• ユーザーは、パスワードレス認証を使用してクラウド PC のロックを解除できます。
• クラウド PC のロックを解除するときに、条件付きアクセス ポリシーと多要素認証を適用できます。

シングル サインオン ユーザーがアンマネージド デバイスから接続する場合、Microsoft Entra ID への再認証は求められません

シングル サインオンを使用する場合、すべての認証動作 (サポートされている資格情報の種類とサインイン頻度を含む) は、Microsoft Entra ID によって実行されます。

ソリューション

Microsoft Entra ID を使用して定期的な再認証を適用するには、 sign-in frequency control を使用して条件付きアクセス ポリシーを作成します。

Intune 管理センターの [デバイス > 概要] ページにクラウド PC レポートが表示されない

Intune 管理センターで デバイスのプレビュー 設定をオンにすると、Cloud PC のパフォーマンス (プレビュー) タブ、接続品質の問題がある Cloud PC レポート、および Cloud PC の使用率が低い場合 レポートは 概要 ページに表示されません。

ソリューション

[ デバイス>Overview ] ページの右上隅にある [ デバイスの使用] プレビューをオフにします。

復元またはサイズ変更アクションの後、クラウド PC が再起動ループでスタックする

考えられる原因

この問題は、次のいずれかのメカニズムを使用する 2022 年 7 月より前にプロビジョニングされたクラウド PC で発生する可能性があります。

• Microsoft 攻撃表面の縮小ルール (たとえば、 Microsoft Intune のエンドポイント セキュリティ ポリシーを使用した攻撃表面の縮小設定の管理)、または
• プロビジョニング後のプロセス中にインストール言語スクリプトの実行をブロックするサード パーティ製ソリューション。

2022 年 7 月以降にプロビジョニングされたクラウド PC では、この問題は発生しません。

トラブルシューティングの手順

根本原因を特定します。

1. Windows イベント ログを検索します。 システムに次の再起動イベント (1074) が表示される場合は、手順 2 に進みます。

   The process C:\WINDOWS\system32\wbem\wmiprvse.exe (<CPC Name>) has initiated the restart of computer <CPC Name> on behalf of user NT AUTHORITY\SYSTEM for the following reason: Application: Maintenance (Planned)
   Reason Code: 0x80040001
   Shutdown Type: restart
   Comment: DSC is restarting the computer.
   

2. 管理用 Windows PowerShell コマンド プロンプト ウィンドウで、 Get-DscConfigurationStatus実行します。 ジョブの再起動が保留中であることが結果に示された場合は、手順 3 に進みます。

3. 管理コマンド プロンプトで、 Get-DscConfigurationを実行します。 結果に言語をインストールする DSC が表示される場合は、[ソリューション] セクションに進みます。

ソリューション

再起動ループを停止するには、次のいずれかのオプションを試してください。

• Azure Site Recovery ポリシーを削除するか、ポリシーを監査モードに切り替えてから、新しいポリシーをクラウド PC に適用します。

• 管理者特権のコマンド ウィンドウで、次のコマンドを実行してジョブを再起動します。

  `Remove-DSCConfiguration -Stage Pending,Current,Previous -Verbose`
  

GCC High Government のお客様向けのクラウド PC 接続の問題

リソースが microsoft.us 環境にデプロイされている GCC High Government のお客様の中には、Web クライアントまたは Safari ブラウザーを使用するときに、クラウド PC への接続に関する問題が発生する場合があります。

考えられる原因

この問題は、Web クライアントまたは Safari ブラウザーがサード パーティの Cookie をブロックするときに発生します。 サード パーティの Cookie は、アクセスしているドメイン以外のドメインによって設定される Cookie です。

microsoft.us環境にリソースがデプロイされている GCC High のお客様の場合、Web クライアントまたは Safari ブラウザーは、microsoft.usとは異なるクラウド PC のドメイン名を使用して、ファースト パーティ ドメインを決定します。 その結果、Web クライアントまたは Safari ブラウザーは、 microsoft.us Cookie をサードパーティの Cookie と見なします。 Web クライアントまたは Safari ブラウザーがサード パーティの Cookie をブロックしている場合、 microsoft.us Cookie を保存したり、認証と承認に使用したりすることはできません。

その結果、影響を受けるお客様はクラウド PC セッションに接続できません。

ソリューション

Web クライアント設定、Safari ブラウザー設定、またはグループ ポリシーで、 microsoft.us からサードパーティの Cookie を許可します。

この変更により、Web クライアントまたは Safari ブラウザーで microsoft.us Cookie を使用してクラウド PC セッションに接続できるようになります。

クライアントが macOS で Windows アプリを使用する場合に政府機関の環境で発生する Windows 365 認証の問題

• macOS で Windows 365 を使用する政府機関のお客様 (GCC、GCC High) は、Windows アプリを使用して職場または学校アカウントを追加するときに認証エラーが発生する可能性があります。
• Windows 365 への Web ブラウザー アクセスは影響を受けません。
• macOS 上の Windows アプリでは、検出中に GCC High Windows 365 環境が正しく検出されません。
• 必要なワークスペース URL (https://rdweb.wvd.azure.us/api/arm/feeddiscovery) は、認証中に自動的に識別されません。

考えられる原因

この動作は設計によるものです。 デバイスを追加するには、政府機関のお客様は、職場または学校アカウントの代わりに [ワークスペースの追加] を選択する必要があります。

ソリューション

1. [ アカウントの追加] を選択する代わりに、[ ワークスペースの追加] を選択します。
2. 次の URL を手動で入力します: https://rdweb.wvd.azure.us/api/arm/feeddiscovery。

Windows 365 デバイスを検出して追加する必要があります。

Windows セキュリティは、"メモリ整合性がオフです。 デバイスが脆弱である可能性があります。

Windows セキュリティは、"メモリ整合性がオフです。 デバイスが脆弱である可能性があります。

クラウド PC の Windows システム情報では、仮想化ベースのセキュリティ (VBS) 行に Enabled が表示されますが、実行されていない場合もあります。

この問題は、入れ子になった仮想化が有効になっている場合に発生する可能性があります。 入れ子になった仮想化には、実行中の入れ子になったハイパーバイザーが必要です。このハイパーバイザーにより、ダイレクト メモリ アクセス (DMA) 保護が禁止されます。 VBS を実行するときは、DMA 保護が必要です。

ソリューション

1. クラウド PC ごとに、入れ子になった仮想化をオフにします。
2. VBS を適用するポリシーでは、DMA 保護も適用されます。

もう 1 つのオプションは、相互に互換性がないため、VBS に DMA を必要としないことです。

Microsoft Teamsが画面キャプチャ保護を適用していない

画面キャプチャ保護が有効になっている場合、Windows 365 クラウド PC のMicrosoft Teamsでは、画面キャプチャ保護は適用されません。

トラブルシューティングの手順

• WebRTC のバージョンが最新であることを確認します。

• クライアントとサーバーの両方を保護するために、画面キャプチャ保護ポリシーが正しく構成されていることを確認します。

  1. Microsoft Intune 管理センターにサインインし、[デバイス>構成] を選択し、ポリシーを選択します。
  2. [ 構成設定] で、 Windows コンポーネント>リモート デスクトップ サービス>リモート デスクトップ セッション ホスト>Azure Virtual Desktop を選択し、次の設定を構成します。
     • 画面キャプチャ保護を有効にする = 有効にする
     • 画面キャプチャ保護オプション = クライアントとサーバーでの画面キャプチャのブロック

Windows 365 スコープ タグと入れ子になったグループ

Windows 365 では、入れ子になったセキュリティ グループはサポートされていません。 入れ子になったセキュリティ グループの先頭にスコープ タグを適用した場合、入れ子になった内部グループ内のクラウド PC にはスコープ タグが割り当てられません。

ソリューション

入れ子になったセキュリティ グループ内の各グループにスコープ タグを個別に適用します。

Windows 365 では、個々のクラウド PC のスコープ タグの編集はサポートされていません

Windows 365 ユーザー インターフェイスと Graph API では、個々のクラウド PC のスコープ タグの編集はサポートされていません。

ソリューション

スコープ タグの関連付けを Windows 365 サービスに同期するには、Intune の [すべてのデバイス ] ブレードで個々のクラウド PC のスコープ タグを編集します。

カスタム イメージのスコープ タグを編集できない

トップレベル管理者は、カスタム イメージに適用されるスコープ タグを追加または編集できません。

ソリューション

スコープ付き管理者がカスタム イメージを作成すると、カスタム イメージには、スコープ管理者に関連付けられているのと同じスコープ タグが付けられます。

たとえば、"スコープ タグ A" スコープ タグに関連付けられているスコープ管理者がカスタム イメージを作成した場合、作成されたカスタム イメージは "スコープ タグ A" を使用して自動的にタグ付けされます。

WebRTC リダイレクター サービスが最新のWindows 365 クラウド PC ギャラリー イメージに含まれていない

クラウド PC ギャラリー イメージの 2024 年 5 月 21 日の更新プログラムには、WebRTC リダイレクター サービスがありません。 このコンポーネントがないと、Teams メディア リダイレクトは機能しません。

これは、次のギャラリー イメージに適用されます。

• Windows 11 23H2 と Microsoft 365 アプリ
• Windows 11 22H2 と Microsoft 365 アプリ

トラブルシューティングの手順

新しくプロビジョニングされたクラウド PC の場合は、WebRTC が使用可能であることを確認します。 そうでない場合は、次のいずれかのオプションを使用できます。

• 既定でクラウド PC にインストールするアプリの一覧に WebRTC リダイレクター サービス アプリを追加するには、「 Microsoft 365 Apps を Microsoft Intune で Windows 10/11 デバイスに追加するの手順に従います。

• WebRTC リダイレクター サービス アプリを個々のクラウド PC に追加するには、「 リモート デスクトップ WebRTC リダイレクター サービスをインストールするの手順に従います。 最新版インストーラーを入手するには、https://aka.ms/msrdcwebrtcsvc/msiを参照してください。

Windows 365 の現場の問題

Windows 365 Frontline の既知の問題を次に示します。

ユーザーが共有モードの Frontline クラウド PC にアクセスできない

共有モードの Frontline Cloud PC が 10,000 人を超えるメンバーを持つ Microsoft Entra ID グループに割り当てられている場合、一部のユーザーはアクセスを受け取らず、Windows アプリ クライアントにクラウド PC カードが表示されないことがあります。

ソリューション

Microsoft Entra ID グループのメンバーシップを 10,000 人未満のユーザーに減らします。

すべてのクラウド PC のプロビジョニングに失敗した場合、クラウド PC の数を減らすことはできません

Windows Autopilot Device Preparation Profile (DPP) の障害によってクラウド PC のプロビジョニングが失敗し、すべてのクラウド PC で正常にプロビジョニングされたデバイスが表示されない場合、管理者は割り当て構成のクラウド PC の数を減らすことはできません。

ソリューション

プロビジョニング ポリシーで再プロビジョニング アクションを実行します。

1. Microsoft Intune 管理センター>Devices>Windows 365 に移動します。
2. [プロビジョニング ポリシー] を選択します。
3. 影響を受けるプロビジョニング ポリシーを選択します。
4. デプロイ状態をリセットするには、[ 再プロビジョニング] を選択します。
5. 再プロビジョニング プロセスが完了したら、必要に応じてクラウド PC の数を調整できます。

ライセンス変更後にスケジュールされた再プロビジョニングが回復しない

Frontline Cloud PC が共有モードでプロビジョニングされ、ライセンスの有効期限が切れるか、テナントから削除されると、クラウド PC はプロビジョニング解除されます。 有効なライセンスを追加し直した後、クラウド PC はポリシー構成に従ってプロビジョニングします。 ただし、スケジュールされた再プロビジョニングと手動再プロビジョニングの両方の機能は無効のままです。

ソリューション

期限切れのライセンスを復元した後に完全な再プロビジョニング機能を復元するには:

1. プロビジョニング ポリシーの割り当てを削除します。

   1. 影響を受けるプロビジョニング ポリシーに移動します。
   2. [ 割り当て] タブに移動し、すべてのグループ割り当てを削除します。

2. 割り当てを再追加します。

   1. 削除が処理されるまで 5 ~ 10 分待ちます。
   2. グループの割り当てをポリシーに追加し直します。
   3. 再プロビジョニング オプションが使用可能になったことを確認します。

プールされたユーザー ストレージの制限により、クラウド PC の数を減らすことはできません

操作によってプールされたユーザー ストレージの量がその制限を超える場合、共有モードの Frontline Cloud PC のクラウド PC の数を減らすことはできません。

ソリューション

1. プールされた新しいユーザー 記憶域の上限を決定するには、必要なクラウド PC の数に、使用するオペレーティング システム ディスクのサイズ (GB 単位) を乗算します。
2. 新しい制限に準拠するには、個々のユーザー ストレージを削除します。

Autopilot Device Preparation (DPP) は、タイムアウト制限に達した場合、最初は失敗と表示されます

プロビジョニング ポリシーを作成すると、 DevicePreparationProfileTimeout エラー コードが表示されます。 これは、クラウド PC プロビジョニング プロセスが最初の DPP タイムアウトに達したが、Autopilot デバイス準備が正常に適用されていないことを意味します。

ソリューション

プロセスが続行されるまで待ちます。 Autopilot デバイスの準備は、初期タイムアウト期間後もバックグラウンドでインストールを続行します。

Windows Autopilot デバイス準備の展開状態に、クラウド PC のシリアル番号がすぐに表示されない

プロビジョニングの直後に、Autopilot デバイス準備プロファイルの状態情報にクラウド PC のシリアル番号は含まれません。

ソリューション

プロセスが続行されるまで待ちます。 クラウド PC のシリアル番号が状態情報に表示されるまでに最大 30 分かかることがあります。

次のステップ

Windows 365 Enterprise Cloud PC のトラブルシューティング