テナント アタッチとデバイス操作のトラブルシューティング

Configuration Manager (現在のブランチ) に適用

Configuration Managerクライアントを管理センター Microsoft Intune同期できます。 一部のクライアント アクションは、同期されたクライアントのMicrosoft Intune管理センターから実行できます。

使用可能な操作は次のとおりです。

• コンピューター ポリシーの同期
• ユーザー ポリシーの同期
• アプリの評価サイクル

管理者が管理センターからアクションMicrosoft Intune実行すると、通知要求はConfiguration Managerサイトに転送され、サイトからクライアントに転送されます。

ログ ファイル

サービス接続ポイントにある次のレジストリ キーを使用します。

• CMGatewaySyncUploadWorker.log
• CMGatewayNotificationWorker.log

管理ポイントにある次のログを使用します。

• BgbServer.log

クライアントにある次のログを使用します。

• CcmNotificationAgent.log

アップロードを確認する

1. ConfigMgr インストール ディレクトリ>\Logs から CMGatewaySyncUploadWorker.log を開きます。<
2. 次の同期時刻は、Next run time will be at approximately: 02/28/2020 16:35:31 のようなログ エントリによって示されます。
3. デバイス アップロードの場合は、Batching N records のようなログ エントリを探してください。 N は、前回のアップロード以降にアップロードされ変更されたデバイスの数です。
4. 15 分ごとに変更のためのアップロードが実行されます。 変更がアップロードされると、クライアントの変更が管理センターに表示されるまでにさらに 5 分から 10 分かかる Microsoft Intune場合があります。

Configuration Manager コンポーネントとログ フロー

• SMS_SERVICE_CONNECTOR: ゲートウェイ通知ワーカーを使用して、管理センターからの通知Microsoft Intune処理します。
• SMS_NOTIFICATION_SERVER: 通知を取得し、クライアント通知を作成します。
• BgbAgent: クライアントはタスクを取得し、要求されたアクションを実行します。

SMS_SERVICE_CONNECTOR

Microsoft Intune管理センターからアクションが開始されると、CMGatewayNotificationWorker.log によって要求が処理されます。

Received new notification. Validating basic notification details...
Validating device action message content...
Authorized to perform client action. TemplateID: RequestMachinePolicy TenantId: a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2 AADUserID:     a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2
Forwarded BGB remote task. TemplateID: 1 TaskGuid: a43dd1b3-a006-4604-b012-5529380b3b6f TaskParam: TargetDeviceIDs: 1  

1. 通知は管理センター Microsoft Intuneから受信されます。

   Received new notification. Validating basic notification details..
   

2. ユーザーとデバイスのアクションが検証されます。

   Validating device action message content... 
   Authorized to perform client action. TemplateID: RequestMachinePolicy TenantId: a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2 AADUserID:     a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2
   

3. リモート タスクは [MS_NOTIFICATION_SERVER] に転送されます。

   Forwarded BGB remote task. TemplateID: 1 TaskGuid: a43dd1b3-a006-4604-b012-5529380b3b6f TaskParam: TargetDeviceIDs: 1  
   

SMS_NOTIFICATION_SERVER

メッセージが SMS_NOTIFICATION_SERVER に送信されると、タスクが管理ポイントから対応するクライアントに送信されます。 以下は、管理ポイントにある BgbServer.logに表示されます。

Get one push message from database.
Starting to send push task (PushID: 7 TaskID: 8 TaskGUID: A43DD1B3-A006-4604-B012-5529380B3B6F TaskType: 1 TaskParam: ) to 1 clients  with throttling (strategy: 1 param: 42)

BgbAgent

最後の手順はクライアントで行われ、CcmNotificationAgent.logで確認できます。 タスクを受信すると、スケジューラにアクションの実行を要求します。 アクションが実行されると、確認メッセージが表示されます。

Receive task from server with pushid=7, taskid=8, taskguid=A43DD1B3-A006-4604-B012-5529380B3B6F, tasktype=1 and taskParam=

Send Task response message <BgbResponseMessage TimeStamp="2020-01-21T15:43:43Z"><PushID>8</PushID><TaskID>9</TaskID><ReturnCode>1</ReturnCode></BgbResponseMessage> successfully.

一般的な問題

クライアント アクションを実行する権限がありません

管理者が Configuration Manager で必要なアクセス許可を持っていない場合は、CMGatewayNotificationWorker.logにUnauthorized応答が表示されます。

Received new notification. Validating basic notification details..
Validating device action message content...
Unauthorized to perform client action. TemplateID: RequestMachinePolicy TenantId: a1b2c3a1-b2c3-d4a1-b2c3-d4a1b2c3a1b2 AADUserID: 3a1e89e6-e190-4615-9d38-a208b0eb1c78

Microsoft Intune管理センターからアクションを実行しているユーザーが、Configuration Manager サイトで必要なアクセス許可を持っていることを確認します。 詳細については、「テナントアタッチの前提条件Microsoft Intune」を参照してください。

既知の問題

データ同期エラー

Microsoft Intune管理センターでテナントアタッチの詳細の表示に問題がある場合は、階層オンボード構成に問題が発生している可能性があります。 この問題は、既にオンボードされている階層をオンボードすることが原因で発生する可能性があります。

この問題は、GenericUploadWorker.logのエントリおよびCMGatewayNotificationWorker.log ファイルからも検出することもできます。 詳細については、「テナント アタッチ構成をリセットする必要があるログ ファイルのエラー例」 を参照してください。

データ同期エラーの回避策

テナント アタッチ構成をリセットするには:

1. 階層をオフボードします。 詳細については、「テナント アタッチからのオフボード」をご覧ください。

2. サービスが既存のレコードをクリーンアップするまで少なくとも 2 時間待ちます。

3. 階層をもう一度オンボードします。 詳細については、「テナントのアタッチの有効化」を参照してください。

テナントアタッチ構成をリセットする必要があるログ ファイルのエラーの例

GenericUploadWorker.log の AccountOnboardingInfo 要求と DevicePost 要求のエラー

[OnboardScenario] Creating web request to: https://us.gateway.configmgr.manage.microsoft.com/api/gateway/AccountOnboardingInfo Method: POST Activity ID: ed2186a0-fb43-4cf1-84df-9283dd45a461 Timeout: 00:02:00
[OnboardScenario] Response from https://us.gateway.configmgr.manage.microsoft.com/api/gateway/AccountOnboardingInfo is: 400 (Bad Request)
Response status code: 400 (BadRequest) Activity ID: a579728b-eca0-4144-80ac-eea25ee5bcf6
Unexpected exception for worker GenericUploadWorker
Exception details:
[Critical][GenericUploadWorker][0][System.Net.WebException][0x80131509]
The remote server returned an error: (400) Bad Request.    at Microsoft.ConfigurationManager.ServiceConnector.ExtensionMethods.<GetResponseAsync>d__13.MoveNext()

[UploadDelta_HelpdeskUpload] Response from https://us.gateway.configmgr.manage.microsoft.com/api/gateway/DevicePost is: 401 (Unauthorized)
Response status code: 401 (Unauthorized) Activity ID: 6daac983-5f94-464e-b1bd-9b634a051d1d
[WebException]: Failed to upload data to 'https://us.gateway.configmgr.manage.microsoft.com/api/gateway/DevicePost'
Exception details:
[Warning][GenericUploadWorker][0][System.Net.WebException][0x80131509]
The remote server returned an error: (401) Unauthorized.    at Microsoft.ConfigurationManager.ServiceConnector.ExtensionMethods.<GetResponseAsync>d__13.MoveNext()

CMGatewayNotificationWorker.log でのデバイス アクションのエラー

[GetNotifications] Response from https://us.gateway.configmgr.manage.microsoft.com/api/gateway/Notification is: 401 (Unauthorized)
Response status code: 401 (Unauthorized) Activity ID: 4c536a72-fd7f-4d08-948a-3e65d2129e44
Web exception when getting new notification
Exception details:
[Warning][CMGatewayNotificationWorker][0][System.Net.WebException][0x80131509]
The remote server returned an error: (401) Unauthorized.    at Microsoft.ConfigurationManager.ServiceConnector.ExtensionMethods.<GetResponseAsync>d__13.MoveNext()
Response in the web exception: {"Message":"An error has occurred."}

特定のデバイスが同期されない

Configuration Manager クライアントの特定のデバイスがサービスにアップロードされない可能性があります。

影響を受けるデバイス: デバイスが配布ポイント機能とそのクライアント エージェントの両方に同じ PKI 証明書を使用する配布ポイントである場合、デバイスはテナント接続デバイス同期に含まれません。

動作: オンボーディング フェーズ中にテナントアタッチを実行すると、完全同期が初めて実行されます。 後続の同期サイクルは差分同期です。 影響を受けるデバイスを更新すると、デバイスが同期から削除されます。

構成マネージャー サイトが多要素認証を必要とするように構成されている場合、ほとんどのテナント接続機能は動作しません

シナリオ：サービス接続ポイントと通信する SMS プロバイダー コンピューターが多要素認証を使用するように構成されている場合は、アプリケーションのインストール、CMPivot クエリの実行、管理コンソールからのその他のアクションの実行はできません。 禁止されているエラー コード 403 が表示されます。

回避策: 現在の回避策は、オンプレミス階層を Windows 認証の既定の認証レベルに設定することです。 詳細については、SMS プロバイダーの記事の「認証」セクションを参照してください。

次の手順

• ConfigMgr クライアントの詳細のトラブルシューティング
• 共同管理 を有効にして、条件付きアクセスなどのクラウドを利用した追加の機能を取得します。