AzureAD/Intune MDM登録 エラーコード: 80192ee7

Windows
2024.04.04

2026年3月追記:
本記事では一部推測を含む考察を記載していますが、検証結果に基づく内容として整理しています。
また、現在はWIP(Windows Information Protection)が非推奨となっている点も追記しました。

 Intuneの検証用端末をセットアップしていた際、MDM登録時にエラーコード「80192ee7」が表示されて失敗するという事象に遭遇しました。
「Entra ID(Azure AD)へのデバイス登録は成功しているのに、Intuneの管理下には入ってくれない(MDM登録だけ失敗する)」という中途半端な状態。以前にリモートワイプを実行した個体だったので、その残骸が影響しているのかとも疑いましたが、原因はもっと根本的な「設定の競合」にありました。

現象:Azure AD登録は成功、Intune登録は失敗

今回起きた現象を整理すると以下の通りです。

  • エラーコード: 80192ee7
  • 状況: 「職場または学校のアカウント」を追加すると、Entra IDへの参加までは正常に完了する。
  • 問題: その直後のMDM自動登録プロセスでエラーが発生。「だめじゃん……」と呟きたくなる状況。

Entra IDにはデバイス登録されるのに、Intuneには一向にデバイスが登録・表示されない。
この「片足だけ突っ込んだ状態」が一番厄介です。

解決策:WIPユーザースコープを「なし」にする

結論から言うと、Entra ID側のモビリティ設定を見直すことで解決しました。

  1. Microsoft Entra 管理センターへサインイン。
  2. [ホーム] > [モビリティ (MDM および WIP)] を開く。
  3. アプリケーション一覧から [Microsoft Intune] を選択。
  4. 「Windows 情報保護 (WIP) ユーザースコープ」 を [なし] に変更して保存。

なぜ「DNSエラー」が発生していたのか?

気になるのが、なぜ設定変更で「DNSエラー」が消えるのかという点です。実はエラーコード80192ee7の正体は、Windows内部エラーINET_E_NAME_NOT_RESOLVED、つまり名前解決の失敗です。

※参考:WIP探索URLとして設定されている FQDN: wip.mam.manage.microsoft.com は現在名前解決できない状況であることを確認しました。

C:\>nslookup wip.mam.manage.microsoft.com 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

*** one.one.one.one can't find wip.mam.manage.microsoft.com: Non-existent domain
名前解決の失敗

 WIPスコープが有効な場合、MDM登録に加えてWIP関連のポリシー取得処理が動作します。
この処理の中で、WIP関連で参照されるエンドポイントへの名前解決(DNSクエリ)が発生している可能性があります。
推測になりますが、Entra ID側でWIP関連のURLが無効なドメインを指している場合、これらの名前解決が失敗し、結果としてエラーコード 80192EE7(名前解決失敗)が発生している可能性があります。

不安定な挙動

「何回か試すと成功する」といった不安定な挙動も見られますが、OSのリトライ処理や、複数のエンドポイントを参照する際のタイミングなども関係しているのではないかと推測します。
(ただし、これらの挙動の詳細は公開されておらず、正確な動作は確認できません)
 WIPスコープを「なし」に設定することは、WIP関連のポリシー取得処理自体をスキップさせる挙動となり、その結果としてWIP関連で参照されるエンドポイントへの名前解決(DNSクエリ)も発生しなくなると考えられます。

WIPを無効化してもMDM管理に影響はないのか?

 結論としては、通常のMDMによるデバイス管理を前提とした環境では影響はないと考えます。
 WIP(Windows Information Protection)は、もともと「デバイス登録なし」でアプリ内のデータだけを守るための古い仕組みです。デバイス全体をIntuneでMDM管理するのであれば、WIPという重複した管理レイヤーは不要です。
 マイクロソフトは2022年7月からWIPを非推奨(廃止予定)としており、現在はMicrosoft Purviewなどへの移行を推奨しています。WIPユーザースコープを「なし」に設定しておくことで、なにかトラブルが発生するというのは考えにくいため、「なし」のままに設定しています。

まとめ

 エラーコード:80192ee7 は、実体のない、または到達できないWIP関連で参照されるエンドポイントへの名前解決(DNSクエリ)の失敗が一因ではないかと推測します。

C:\>nslookup wip.mam.manage.microsoft.com 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

*** one.one.one.one can't find wip.mam.manage.microsoft.com: Non-existent domain

対策としては、WIPユーザースコープを「なし」にして、余計な処理をスキップさせること。
「Entra IDには登録されるのに、Intuneには現れない」という奇妙な挙動に遭遇したら、まずはEntra IDのモビリティ設定を疑ってみることをお勧めします。


スポンサーリンク

コメント

タイトルとURLをコピーしました