【Windows】会社PCでHybrid Azure AD Joinの状態を確認する時の見るポイント

会社から支給されたWindows PCでサインインやアプリの動作に問題が生じる場合、Hybrid Azure AD Join(ハイブリッドAzure AD参加)の状態が原因となっていることがあります。社内ネットワークに接続しているのにクラウドサービスが使えない、条件付きアクセスに引っかかるといったトラブルは、デバイスが正しく登録されていないために発生します。この記事では、Hybrid Azure AD Joinの状態を自分で確認する方法と、診断結果から次の行動を決めるためのポイントを具体的に解説します。管理者に依頼する前に試せる手順も含めているので、実際の業務で役立ててください。

Hybrid Azure AD Joinとは何か?確認が必要な理由

Hybrid Azure AD Joinは、オンプレミスのActive Directory(AD)に参加している会社PCを、クラウドのAzure Active Directory(現Microsoft Entra ID)にも登録する仕組みです。この状態が正常でないと、Microsoft 365や条件付きアクセスポリシーが正しく適用されず、サインイン時の認証エラーやアプリの起動失敗につながります。具体的には、Outlookでプロファイルが作成できない、Teamsにサインインできない、OneDriveが同期しないなどの現象が報告されます。特に会社PCでは、IT管理者が意図してHybrid Azure AD Joinを構成しているケースが多く、ユーザー側で状態を確認できるとトラブルシューティングがスムーズになります。

正常な状態のデバイスで得られるメリット

Hybrid Azure AD Joinが正常なデバイスでは、シングルサインオン(SSO)が有効になり、クラウドサービスへのアクセスがシームレスになります。また、条件付きアクセスで「デバイス準拠」が求められる場合も、証明書ベースの認証やコンプライアンスポリシーが自動適用されます。逆に状態が不完全だと、パスワードの再入力を強いられたり、アクセス拒否が発生するため、定期的な状態確認が推奨されます。

状態確認の基本的な手順(dsregcmdコマンド)

Hybrid Azure AD Joinの状態は、Windows標準のツール「dsregcmd.exe」を使って簡単に確認できます。以下の手順に従って、自分のPCで実行してみてください。管理者権限は不要で、一般ユーザーでも結果を取得できます。

1. キーボードのWindowsキーを押しながら「R」キーを押して「ファイル名を指定して実行」を開きます。
2. テキストボックスに「cmd」と入力し、Ctrl + Shift + Enterキーを同時に押して管理者としてコマンドプロンプトを起動します。ただし一般ユーザーでも実行可能なため、通常起動でも問題ありません。
3. コマンドプロンプトが開いたら、次のコマンドを入力してEnterキーを押します。
   dsregcmd /status
4. 画面に大量の情報が表示されます。出力内容はセクションごとに分かれており、最初に表示される「+———————————————————————-+」の囲みから、各種状態を確認できます。
5. 必要に応じて、結果をテキストファイルに保存したい場合は、dsregcmd /status > C:\temp\status.txtのようにリダイレクトすると便利です。これは管理者に情報を伝える際に役立ちます。

コマンド実行後、以下のような出力が得られます(一例)。

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

     AzureAdJoined : YES
  EnterpriseJoined : NO
      DomainJoined : YES
        Device Name : PC-EXAMPLE
...
+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

               User : example@contoso.com
               SSO State : AzureAdPrt
...

確認結果の見方と判断基準

dsregcmdの出力には多数の項目がありますが、特に注目すべきポイントは3つです。以下の表に、正常な状態と問題がある状態のパターンをまとめました。自分の結果と照らし合わせて判断してください。

確認項目	正常な状態	異常例1(不完全)	異常例2(未参加)
AzureAdJoined	YES	NO	NO
DomainJoined	YES	YES	NO
SSO State (User State)	AzureAdPrt	NoPrt または空	N/A
主な原因	なし	SCCM/自動登録失敗、時刻ズレ、証明書問題	ドメイン参加自体が未完了

AzureAdJoinedの値が意味するもの

最も重要なのは「AzureAdJoined」です。これがYESなら、デバイスがEntra IDに登録されています。NOの場合は、Hybrid Azure AD Joinが完了していません。ただし、DomainJoinedがYESでもAzureAdJoinedがNOというパターンはよくあります。これは、ドメインには参加しているがクラウドへの登録処理が途中で止まっている状態です。原因として、社内ネットワークに接続していない、または自動登録のスケジュールが実行されていないことが考えられます。

DomainJoinedの確認

DomainJoinedがYESの場合、オンプレミスのADに参加しています。NOの場合はそもそも会社のドメインに参加していないため、Hybrid Azure AD Joinの前提条件を満たしていません。この場合はIT管理者に連絡してドメイン参加を依頼する必要があります。また、Device Nameが正しいADアカウントと一致しているかも確認しましょう。

User StateのSSO Stateをチェックする

User Stateセクションには現在サインインしているユーザー情報とSSO Stateが表示されます。正常時は「AzureAdPrt」と表示され、プライマリリフレッシュトークン(PRT)が発行されていることを示します。これが「NoPrt」や空欄の場合は、トークンが取得できていないため、サインインが必要なサービスで認証エラーが発生します。この場合、一度サインアウトして再サインインするか、PCを再起動することで改善することがあります。

よくある問題と失敗パターン

実際の現場でよく見られるトラブルとその原因を整理します。自分の環境がどのパターンに該当するか診断してください。

端末側の問題:日付時刻とネットワーク

PCの日付時刻が大幅にずれていると、証明書の検証や認証処理に失敗します。タスクバーの時計を右クリックし「日付と時刻を調整」から自動設定を有効にしてください。また、社内ネットワークにVPN経由で接続している場合、VPN切断後に自動登録が行われないことがあります。一度VPNを再接続し、数分待ってから再度dsregcmd /statusを実行すると改善する場合があります。

アカウント側の問題:ユーザー権限とライセンス

サインインしているユーザーアカウントにEntra IDのデバイス登録権限がないケースがあります。具体的には、ユーザーが「デバイスの登録」を許可されていない、またはMicrosoft 365のライセンスが割り当てられていないと、AzureAdJoinedがYESになりません。この場合、管理者にアカウント設定を確認してもらう必要があります。また、ユーザーがローカル管理者権限を持っているかどうかは直接関係ありませんが、PRT取得には影響しないため、一般ユーザーでも正常に動作するはずです。

管理設定側の問題:グループポリシーと証明書

Hybrid Azure AD Joinの自動登録には、特定のグループポリシー設定や、オンプレミスADとEntra IDの間に信頼関係を確立するためのAD FSまたはAzure AD Connectの構成が必要です。もし管理者側でデバイス登録を無効にしていると、どんなにネットワークが正常でもAzureAdJoinedはNOのままです。また、証明書サービスが正しく発行されていない場合も同様です。このような管理設定の問題は、ユーザー側ではどうしようもないため、管理者へ確認情報を伝えることが重要です。

問題が起きた場合の対処方法

まずは自分で試せる軽度の対処を行い、それでも改善しない場合は管理者に連絡しましょう。以下の手順を順番に試してください。

自分で試せること

• PCを再起動する。多くの場合、起動時に自動登録が再試行されます。
• 社内ネットワークに有線接続し、Wi-Fiやモバイルホットスポットではない状態で再度dsregcmdを実行する。
• Windowsの設定から「アカウント」→「職場または学校にアクセスする」を開き、接続されているアカウントを一旦切断し、再追加を試みる(管理者に相談せずに行うとポリシー違反になる場合があるので注意)。
• 日付時刻が正しいか確認し、自動設定する。
• コマンドプロンプト(管理者)で「gpupdate /force」を実行し、グループポリシーを強制更新する。

管理者に連絡すべき情報

次の情報をまとめて管理者に伝えると、原因特定が迅速になります。

• dsregcmd /statusの全体の出力結果(テキストファイルで保存)
• 発生している現象(例:Outlookがサインインできない、Teamsで認証エラー)
• PCのOSバージョン(Win + Rで「winver」を実行)
• 最後に正常に動作していた日時と、問題が起きるようになったタイミング
• VPN接続の有無や社内ネットワークへの接続状況

よくある質問(FAQ)

Q: dsregcmd /statusを実行したら「Access denied」と表示されました。
A: 通常は一般ユーザーでも実行可能ですが、一部のセキュリティ設定で制限されている可能性があります。その場合は管理者として実行するか、IT管理者に依頼してください。

Q: AzureAdJoinedがYESでも、一部のクラウドサービスで認証エラーになります。
A: SSO Stateが「AzureAdPrt」になっているか確認してください。なっていない場合は、サインアウト&サインイン、または再起動でPRTを再取得してください。それでもダメなら、管理者に証明書や条件付きアクセスポリシーを確認してもらいましょう。

Q: 会社PCを自宅で使っていますが、Hybrid Azure AD Joinに影響しますか?
A: VPN経由で社内ネットワークに接続していれば自動登録は行われます。ただし、VPN切断後もトークンの有効期限が切れるまでは問題ありません。長時間オフラインで使用する場合は、時々VPN接続して状態を更新することをおすすめします。

Q: 状態が戻らない場合、自分で再登録できますか?
A: コマンド「dsregcmd /leave」を実行するとデバイスの登録を解除できます。ただし、この操作は管理者の指示がない限り行わないでください。誤って実行するとサインインやアプリが使えなくなるリスクがあります。

まとめ

Hybrid Azure AD Joinの状態確認は、dsregcmd /statusのたった1行のコマンドで実行できます。確認すべき主要項目はAzureAdJoined、DomainJoined、SSO Stateの3つであり、これらの組み合わせから問題の原因を端末、アカウント、管理設定のいずれかに絞り込むことが可能です。自分で試せる再起動やネットワーク確認で改善しない場合は、出力結果を保存して管理者に連絡しましょう。日頃から状態を把握しておくことで、突発的なトラブルにも冷静に対処できます。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。