Řešení potíží s nastavením služby Enterprise State Roaming v Microsoft Entra ID

  • Článek

Tento článek obsahuje informace o řešení a diagnostice problémů se službou Enterprise State Roaming a obsahuje seznam známých problémů.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Poznámka:

Tento článek se týká prohlížeče založeného na html starší verze Microsoft Edge spuštěný s Windows 10 v červenci 2015. Článek se nevztahuje na nový prohlížeč Microsoft Edge Chromium vydaný 15. ledna 2020. Další informace o chování synchronizace pro nový Microsoft Edge najdete v článku Synchronizace Microsoft Edge.

Předběžné kroky pro řešení potíží

Než začnete řešit potíže, ověřte, že je uživatel a zařízení správně nakonfigurované a že jsou splněny všechny požadavky služby Enterprise State Roaming.

  1. Windows 10 nebo novější s nejnovějšími aktualizacemi a na zařízení je nainstalovaná minimálně verze 1511 (build operačního systému 10586 nebo novější).
  2. Zařízení je připojené k Microsoft Entra nebo hybridní připojení Microsoft Entra. Další informace naleznete v tématu , jak získat zařízení pod kontrolou Microsoft Entra ID.
  3. Ujistěte se, že je pro tenanta povolený Enterprise State Roaming v ID Microsoft Entra, jak je popsáno v části Povolení služby Enterprise State Roaming. Roaming můžete povolit pro všechny uživatele nebo jenom pro vybranou skupinu uživatelů.
  4. Uživateli je přiřazena licence Microsoft Entra ID P1 nebo P2.
  5. Zařízení se musí restartovat a uživatel se musí znovu přihlásit, aby měl přístup k funkcím služby Enterprise State Roaming.

Informace, které byste měli zahrnout při žádosti o pomoc

Pokud váš problém nemůžete vyřešit s následujícími pokyny, můžete kontaktovat naše pracovníky podpory. Když je kontaktujete, uveďte následující informace:

  • Obecný popis chyby: Zobrazují se uživateli chybové zprávy? Pokud se žádná chybová zpráva nezobrazí, podrobně popište neočekávané chování, které jste si všimli. Jaké funkce jsou povolené pro synchronizaci a co uživatel očekává synchronizaci? Nesynchronizuje se více funkcí nebo je izolováno na jednu?
  • Ovlivnění uživatelé – funguje synchronizace nebo selhává u jednoho nebo více uživatelů? Kolikzařízeních Nesynchronizují se všechny nebo se některé synchronizují a některé se nesynchronizují?
  • Informace o uživateli – Jakou identitu uživatel používá k přihlášení k zařízení? Jak se uživatel přihlašuje k zařízení? Jsou součástí vybrané skupiny zabezpečení, která se může synchronizovat?
  • Informace o zařízení – Je toto zařízení připojené k Microsoft Entra nebo připojené k doméně? Na jakém buildu je zařízení? Jaké jsou nejnovější aktualizace?
  • Datum / čas / časové pásmo – Jaké bylo přesné datum a čas, kdy jste viděli chybu (včetně časového pásma)?

Zahrnutím těchto informací nám pomůžeme co nejrychleji vyřešit váš problém.

Řešení potíží a diagnostika problémů

V této části najdete návrhy, jak řešit a diagnostikovat problémy související se službou Enterprise State Roaming.

Ověřte synchronizaci a stránku nastavení Synchronizovat nastavení.

  1. Po připojení k počítači s Windows 10 nebo novějším k doméně, která je nakonfigurovaná tak, aby umožňovala službu Enterprise State Roaming, se přihlaste pomocí svého pracovního účtu. Přejděte na Nastavení> Accounts>Sync Your Nastavení (Synchronizovat vaše Nastavení) a potvrďte, že je zapnutá synchronizace a jednotlivá nastavení a že v horní části stránky nastavení je uvedeno, že synchronizujete se svým pracovním účtem. Ověřte, že se stejný účet používá také jako váš účet v Nastavení> Accounts>Your Info.

  2. Ověřte, že synchronizace funguje na více počítačích, a to provedením některých změn na původním počítači, například přesunutím hlavního panelu po obrazovce. Sledujte, jak se změna rozšíří do druhého počítače během pěti minut.

    • Uzamčení a odemknutí obrazovky (Win + L) může pomoct aktivovat synchronizaci.
    • Abyste mohli synchronizovat synchronizaci, musíte se přihlásit pomocí stejného účtu na obou počítačích, protože Enterprise State Roaming je svázaný s uživatelským účtem, a ne s účtem počítače.

Potenciální problém: Pokud ovládací prvky na stránce Nastavení nejsou dostupné a zobrazí se zpráva "Některé funkce Windows jsou dostupné jenom v případě, že používáte účet Microsoft nebo pracovní účet". K tomuto problému může dojít u zařízení, která jsou nastavená tak, aby byla připojená k doméně a zaregistrovaná k ID Microsoft Entra, ale zařízení se ještě neověřovalo pro MICROSOFT Entra ID. Možnou příčinou je, že se musí použít zásady zařízení, ale tato aplikace se provádí asynchronně a může trvat několik hodin.

Ověření stavu registrace zařízení

Enterprise State Roaming vyžaduje, aby zařízení bylo zaregistrované v Microsoft Entra ID. I když není specifické pro Enterprise State Roaming, následující pokyny vám můžou pomoct potvrdit, že je zaregistrovaný windows 10 nebo novější klient, a potvrdit kryptografický otisk, adresu URL nastavení Microsoft Entra,stavý stav a další informace.

  1. Otevřete nepotřebný příkazový řádek. Pokud to chcete udělat ve Windows, otevřete spouštěč spuštění (Win + R) a zadáním příkazu cmd otevřete.
  2. Po otevření příkazového řádku zadejte *dsregcmd.exe /status*.
  3. Pro očekávaný výstup by hodnota pole AzureAdJoined měla být YEShodnota YESpole WamDefaultSet a hodnota pole WamDefaultGUID by měla být identifikátor GUID na (AzureAD) konci.

Potenciální problém: WamDefaultSet a AzureAdJoined mají v hodnotě pole "NE", zařízení bylo připojené k doméně a zaregistrovalo se s ID Microsoft Entra a zařízení se nesynchronizuje. Pokud se zobrazí, může se stát, že zařízení bude muset počkat, než se použijí zásady, nebo se při připojování k MICROSOFT Entra ID nezdaří ověření zařízení. Uživatel možná bude muset několik hodin počkat, než se zásada použije. Další kroky pro řešení potíží můžou zahrnovat opakované pokusy o automatickou registraci tím, že se odhlásíte a znovu přihlásíte nebo spustíte úlohu v Plánovači úloh. V některých případech může s tímto problémem pomoct spuštění dsregcmd.exe /leave v okně příkazového řádku se zvýšenými oprávněními, restartováním a opětovným pokusem o registraci.

Potenciální problém: Pole pro Nastavení Url je prázdné a zařízení se nesynchronizuje. Uživatel se možná naposledy přihlásil k zařízení před povolením služby Enterprise State Roaming. Restartujte zařízení a požádejte uživatele o přihlášení. Volitelně můžete na portálu zkusit, aby it Správa přešli na Možnost Enterprise State Roaming s přehledem>zařízení identit>>a uživatelé můžou synchronizovat nastavení a data aplikací na různých zařízeních. Po opětovném povolení restartujte zařízení a požádejte uživatele o přihlášení. Pokud se tím problém nevyřeší, Nastavení Url může být prázdný, pokud je certifikát zařízení chybný. V tomto případě může s tímto problémem pomoct spuštění dsregcmd.exe /leave v okně příkazového řádku se zvýšenými oprávněními, restartováním a opětovným pokusem o registraci.

Enterprise State Roaming a vícefaktorové ověřování

Za určitých podmínek může služba Enterprise State Roaming selhat synchronizaci dat, pokud je nakonfigurované vícefaktorové ověřování Microsoftu. Další informace o těchto symptomech najdete v dokumentu podpory KB3193683.

Potenciální problém: Pokud je vaše zařízení nakonfigurované tak, aby vyžadovalo vícefaktorové ověřování v Centru pro správu Microsoft Entra, může selhat synchronizace nastavení při přihlašování k zařízení s Windows 10 nebo novějším pomocí hesla. Tento typ konfigurace vícefaktorového ověřování je určený k ochraně účtu správce Azure. Správa uživatelé se můžou dál synchronizovat přihlášením ke svým zařízením s Windows 10 nebo novějším pomocí svého Windows Hello pro firmy PIN kódu nebo dokončením vícefaktorového ověřování při přístupu k jiným službám Azure, jako je Microsoft 365.

Potenciální problém: Synchronizace může selhat, pokud správce nakonfiguruje zásady podmíněného přístupu vícefaktorového ověřování Active Directory Federation Services (AD FS) a platnost přístupového tokenu v zařízení vyprší. Ujistěte se, že se přihlašujete a odhlasujete pomocí kódu WINDOWS HELLO PRO FIRMY PIN nebo dokončíte vícefaktorové ověřování při přístupu k dalším službám Azure, jako je Microsoft 365.

Prohlížeč událostí

V případě pokročilého řešení potíží je možné Prohlížeč událostí použít k vyhledání konkrétních chyb. Události najdete v části Prohlížeč událostí >Protokoly>aplikací a služeb systému Microsoft>Windows>SettingSync-Azure a problémy související s identitou při synchronizaci protokolů aplikací a služeb>microsoft Windows>Microsoft>Entra ID.

Známé problémy

Synchronizace nefunguje na zařízeních, která mají aplikace načtené bokem pomocí softwaru MDM

Ovlivňuje zařízení s Windows 10 Anniversary Update (verze 1607). V Prohlížeč událostí v protokolech SettingSync-Azure se často zobrazuje ID události 6013 s chybou 80070259.

Doporučená akce
Ujistěte se, že klient Windows 10 v1607 má kumulativní aktualizaci ze srpna 2016 (KB3176934 build operačního systému 14393.82).

Nastavení data, času a oblasti se nesynchronizují na zařízení připojeném k doméně

Zařízení, která jsou připojená k doméně, nesynchronizují nastavení Datum, Čas a Oblast: automatický čas. Použití automatického času může přepsat ostatní nastavení data, času a oblasti a způsobit, že se tato nastavení nesynchronizují.

Doporučená akce
Nezaokrouhlovat.

Zařízení připojené k doméně se po opuštění podnikové sítě nesynchronizuje

Zařízení připojená k doméně zaregistrovaná v Microsoft Entra ID můžou zaznamenat selhání synchronizace, pokud je zařízení mimo pracoviště po delší dobu a ověřování domény se nedá dokončit.

Doporučená akce
Připojení zařízení do podnikové sítě, aby synchronizace pokračovala.

Zařízení připojené k Microsoft Entra se nesynchronizuje a uživatel má smíšený hlavní název uživatele.

Pokud má uživatel smíšený hlavní název uživatele (například UserName místo uživatelského jména) a uživatel je na zařízení připojeném k Microsoft Entra, které upgradovalo z Windows 10 Build 10586 na 14393, nemusí se zařízení uživatele synchronizovat.

Doporučená akce
Uživatel se musí odpojte a znovu se k zařízení připojí ke cloudu. Chcete-li tento proces provést, přihlaste se jako místní Správa istrator uživatele a zrušte spojení zařízení tak, že přejdete na Nastavení> System>About a vyberete Možnost Spravovat nebo odpojit od práce nebo školy. Vyčistěte následující soubory a potom microsoft Entra připojte zařízení znovu v Nastavení> System>About a vyberte "Připojení do práce nebo do školy". Pokračujte v připojení zařízení k ID Microsoft Entra a dokončete tok.

V kroku vyčištění vyčistěte následující soubory:

  • Nastavení.dat vC:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
  • Všechny soubory ve složce C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account

ID události 6065: 80070533 Tento uživatel se nemůže přihlásit, protože tento účet je momentálně zakázaný.

V Prohlížeč událostí v protokolech SettingSync/Debug se tato chyba zobrazí, když vyprší platnost přihlašovacích údajů uživatele. Kromě toho může dojít v případě, že tenant nemá automaticky zřízenou službu AzureRMS.

Doporučená akce
V prvním případě požádejte uživatele, aby aktualizoval své přihlašovací údaje a přihlásil se k zařízení pomocí nových přihlašovacích údajů. Pokud chcete vyřešit problém s AzureRMS, pokračujte kroky uvedenými v KB3193791.

ID události 1098: Chyba: 0xCAA5001C operace zprostředkovatele tokenu selhala

V Prohlížeč událostí v rámci protokolů AAD/Operational se tato chyba může zobrazit .Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F K tomuto problému dochází v případě, že chybí oprávnění nebo atributy vlastnictví.

Doporučená akce
Pokračujte kroky uvedenými KB3196528.

Další kroky

Přehled najdete v přehledu služby Enterprise State Roaming.