Intuneが同期されないときの切り分けフロー｜Windows・iOS・Androidの実機ログ確認手順

「ポリシーが当たらない」を切り分ける前に

Intune（Microsoft Intune／Endpoint Manager）でポリシー・アプリ・コンプライアンスが端末に届かないという問い合わせは、ひとり情シスのヘルプデスク業務で最も頻度が高いものの一つです。原因は「同期されていない」「同期はしているが配信されない」「配信はしているがエラー」の3階層に分かれます。本稿では実機ログを見ながら切り分ける順番を、Windows／iOS／Androidそれぞれの観点で整理します。

Step 1：Intune管理センターでデバイスステータスを確認する

まず Microsoft Intune管理センター（intune.microsoft.com）で対象デバイスの状態を見ます。

• デバイス → すべてのデバイス で対象端末を選択
• 「最終チェックイン」日時が直近24時間以内か
• 「コンプライアンス」が「準拠」「準拠していない」「評価中」「グレースピリオド」のどれか
• 「プライマリユーザー」が想定どおりか（ユーザー割り当てポリシーは Primary User に従って配信）
• 「デバイス構成 → ポリシー」でポリシー単位の 成功／エラー／競合／保留 を確認

「最終チェックイン」が72時間以上前で止まっている場合、端末側で同期が成立していません。Step 2へ進みます。

Step 2：端末側で強制同期を実行する

Windows 10／11

「設定 → アカウント → 職場または学校にアクセスする → 接続済みアカウントをクリック → 情報 → 同期」をクリック。または PowerShell から：

同期は最初の登録から最大8時間に1回が標準サイクルで、強制同期しないと反映されないケースが多々あります。

iOS／iPadOS

「Company Portal アプリ → 自分のデバイス → 該当端末 → チェックボタン」、または「設定 → 一般 → VPNとデバイス管理 → 管理プロファイル → 詳細 → デバイス管理サーバーに接続」を実行。Apple のMDMは APNs 経由のpushが起点で、Wi-Fiやキャリア網のNAT環境でAPNs（TCP 5223）が遮断されていると同期しません。

Android Enterprise

「Microsoft Intune（旧 Company Portal） → 設定 → 同期」をタップ。仕事用プロファイル端末では、業務側プロファイルに切り替えてから操作します。Samsung Knox／OEM端末は省電力でCompany Portalがバックグラウンド停止される事例があり、電池の最適化対象から除外する必要があります。

Step 3：Windows Event Logs で DMClient を読む

Windowsで同期に失敗している場合、最も雄弁なのは Event Viewer の Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin ログです。

頻出するイベントIDの読み方：

1909 が連発する場合は、まずトークン状態を確認します（Step 4）。854が出る場合は、ポリシーの中身（CSPパス）を見直します。

Step 4：Entra ID登録／ライセンスの状態を確認

「dsregcmd /status」をPowerShellで実行し、以下が「YES」になっているかを確認します。

• AzureAdJoined：Yes（Hybrid Joinの場合は DomainJoined も Yes）
• WorkplaceJoined：状況次第（個人デバイス＋会社アカウントは Yes）
• MdmUrl：Intune の URL が入っているか
• TenantId：自社テナントIDと一致

MdmUrl が空欄の場合、Intune ライセンス（M365 E3／E5、EMS E3／E5、Intune Plan 1 等）が割り当てられていないか、Entra IDの自動MDM登録（MAM URL／MDM URL）の設定が未構成です。

Step 5：MDMDiagnosticsTool でログを書き出す

Windowsで深掘りする場合は、ビルトインの診断ツールでログをまとめて取得します。

cabファイルを展開すると、登録時のレジストリ、Autopilot の構成、適用ポリシーの一覧（MDMDiagReport.html）、CSPごとの適用結果が確認できます。MDMDiagReport.html をブラウザで開くだけで、どのポリシーがどのCSPに当たって失敗したかが一目で分かります。

iOS／Android で多い失敗パターン

iOS：APNs証明書の期限切れ

テナント単位で必要な Apple MDM Push証明書は1年で失効します。Intune管理センター → デバイス → iOS/iPadOS → iOSへの登録 → APNs証明書 で残日数を確認し、期限の30日前にAppleアカウント（同一）で更新してください。異なるApple IDで再生成すると、全iOS端末が再登録になり業務停止リスクがあるため、Apple ID と毎回のパスワードは厳重管理。

iOS：監視モード（Supervised）でないと適用できないポリシー

App Storeの非表示、Web Filter、Single App Mode などはApple Configurator または Apple Business Manager（ABM）経由で「監視モード」に置いた端末でしか適用できません。BYOD端末で当てようとすると「適用できません」エラーが出ます。

Android：仕事用プロファイルの容量・電源最適化

Android Enterprise（Personally Owned Work Profile）では、Company Portalが OS の電池最適化により停止されると同期が止まります。「設定 → アプリ → Company Portal → バッテリー → 最適化しない」を初期設定タスクに含めるのが定番です。

Android：Google Play 開発者サービスのバージョン不整合

仕事用プロファイル管理は Google Play 開発者サービスに依存しています。社用回線の制限でPlay更新がブロックされている端末では、新しいポリシーが当たらない事象が出ます。

よくある「同期されているのに配信されない」原因

予防策：監視と運用ルール

• Endpoint Analytics でWork from Anywhereスコアを定期確認し、同期失敗端末を早期検知
• 非準拠端末通知を有効化し、ユーザー側にもセルフ復旧を促す
• 新規ポリシーはパイロットグループ → 段階展開を徹底し、競合の早期発見
• 運用Runbookに「強制同期手順」「APNs更新」「MdmDiagnosticsTool取得」をテンプレ化

まとめ

Intuneの同期トラブルは、「管理センターの表示 → 強制同期 → DMClientログ → dsregcmd → MdmDiagnosticsTool」の5段階で機械的に切り分けると、原因の8割が特定できます。プラットフォーム固有の罠（iOSのAPNs期限、Androidの省電力、Wi-FiのAPNs遮断）を運用ルールに織り込み、Runbook化しておくことで、ヘルプデスク対応時間を半分以下に短縮できます。問い合わせ件数が多い場合は、設計時点でCSPの競合をなくす再構成も検討する価値があります。