Řešení potíží s nastavením služby Enterprise State Roaming v Microsoft Entra ID
Tento článek obsahuje informace o řešení a diagnostice problémů se službou Enterprise State Roaming a obsahuje seznam známých problémů.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Poznámka:
Tento článek se týká prohlížeče založeného na html starší verze Microsoft Edge spuštěný s Windows 10 v červenci 2015. Článek se nevztahuje na nový prohlížeč Microsoft Edge Chromium vydaný 15. ledna 2020. Další informace o chování synchronizace pro nový Microsoft Edge najdete v článku Synchronizace Microsoft Edge.
Předběžné kroky pro řešení potíží
Než začnete řešit potíže, ověřte, že je uživatel a zařízení správně nakonfigurované a že jsou splněny všechny požadavky služby Enterprise State Roaming.
- Windows 10 nebo novější s nejnovějšími aktualizacemi a na zařízení je nainstalovaná minimálně verze 1511 (build operačního systému 10586 nebo novější).
- Zařízení je připojené k Microsoft Entra nebo hybridní připojení Microsoft Entra. Další informace naleznete v tématu , jak získat zařízení pod kontrolou Microsoft Entra ID.
- Ujistěte se, že je pro tenanta povolený Enterprise State Roaming v ID Microsoft Entra, jak je popsáno v části Povolení služby Enterprise State Roaming. Roaming můžete povolit pro všechny uživatele nebo jenom pro vybranou skupinu uživatelů.
- Uživateli je přiřazena licence Microsoft Entra ID P1 nebo P2.
- Zařízení se musí restartovat a uživatel se musí znovu přihlásit, aby měl přístup k funkcím služby Enterprise State Roaming.
Informace, které byste měli zahrnout při žádosti o pomoc
Pokud váš problém nemůžete vyřešit s následujícími pokyny, můžete kontaktovat naše pracovníky podpory. Když je kontaktujete, uveďte následující informace:
- Obecný popis chyby: Zobrazují se uživateli chybové zprávy? Pokud se žádná chybová zpráva nezobrazí, podrobně popište neočekávané chování, které jste si všimli. Jaké funkce jsou povolené pro synchronizaci a co uživatel očekává synchronizaci? Nesynchronizuje se více funkcí nebo je izolováno na jednu?
- Ovlivnění uživatelé – funguje synchronizace nebo selhává u jednoho nebo více uživatelů? Kolikzařízeních Nesynchronizují se všechny nebo se některé synchronizují a některé se nesynchronizují?
- Informace o uživateli – Jakou identitu uživatel používá k přihlášení k zařízení? Jak se uživatel přihlašuje k zařízení? Jsou součástí vybrané skupiny zabezpečení, která se může synchronizovat?
- Informace o zařízení – Je toto zařízení připojené k Microsoft Entra nebo připojené k doméně? Na jakém buildu je zařízení? Jaké jsou nejnovější aktualizace?
- Datum / čas / časové pásmo – Jaké bylo přesné datum a čas, kdy jste viděli chybu (včetně časového pásma)?
Zahrnutím těchto informací nám pomůžeme co nejrychleji vyřešit váš problém.
Řešení potíží a diagnostika problémů
V této části najdete návrhy, jak řešit a diagnostikovat problémy související se službou Enterprise State Roaming.
Ověřte synchronizaci a stránku nastavení Synchronizovat nastavení.
Po připojení k počítači s Windows 10 nebo novějším k doméně, která je nakonfigurovaná tak, aby umožňovala službu Enterprise State Roaming, se přihlaste pomocí svého pracovního účtu. Přejděte na Nastavení> Accounts>Sync Your Nastavení (Synchronizovat vaše Nastavení) a potvrďte, že je zapnutá synchronizace a jednotlivá nastavení a že v horní části stránky nastavení je uvedeno, že synchronizujete se svým pracovním účtem. Ověřte, že se stejný účet používá také jako váš účet v Nastavení> Accounts>Your Info.
Ověřte, že synchronizace funguje na více počítačích, a to provedením některých změn na původním počítači, například přesunutím hlavního panelu po obrazovce. Sledujte, jak se změna rozšíří do druhého počítače během pěti minut.
- Uzamčení a odemknutí obrazovky (Win + L) může pomoct aktivovat synchronizaci.
- Abyste mohli synchronizovat synchronizaci, musíte se přihlásit pomocí stejného účtu na obou počítačích, protože Enterprise State Roaming je svázaný s uživatelským účtem, a ne s účtem počítače.
Potenciální problém: Pokud ovládací prvky na stránce Nastavení nejsou dostupné a zobrazí se zpráva "Některé funkce Windows jsou dostupné jenom v případě, že používáte účet Microsoft nebo pracovní účet". K tomuto problému může dojít u zařízení, která jsou nastavená tak, aby byla připojená k doméně a zaregistrovaná k ID Microsoft Entra, ale zařízení se ještě neověřovalo pro MICROSOFT Entra ID. Možnou příčinou je, že se musí použít zásady zařízení, ale tato aplikace se provádí asynchronně a může trvat několik hodin.
Ověření stavu registrace zařízení
Enterprise State Roaming vyžaduje, aby zařízení bylo zaregistrované v Microsoft Entra ID. I když není specifické pro Enterprise State Roaming, následující pokyny vám můžou pomoct potvrdit, že je zaregistrovaný windows 10 nebo novější klient, a potvrdit kryptografický otisk, adresu URL nastavení Microsoft Entra,stavý stav a další informace.
- Otevřete nepotřebný příkazový řádek. Pokud to chcete udělat ve Windows, otevřete spouštěč spuštění (Win + R) a zadáním příkazu cmd otevřete.
- Po otevření příkazového řádku zadejte
*dsregcmd.exe /status*
. - Pro očekávaný výstup by hodnota pole AzureAdJoined měla být
YES
hodnotaYES
pole WamDefaultSet a hodnota pole WamDefaultGUID by měla být identifikátor GUID na(AzureAD)
konci.
Potenciální problém: WamDefaultSet a AzureAdJoined mají v hodnotě pole "NE", zařízení bylo připojené k doméně a zaregistrovalo se s ID Microsoft Entra a zařízení se nesynchronizuje. Pokud se zobrazí, může se stát, že zařízení bude muset počkat, než se použijí zásady, nebo se při připojování k MICROSOFT Entra ID nezdaří ověření zařízení. Uživatel možná bude muset několik hodin počkat, než se zásada použije. Další kroky pro řešení potíží můžou zahrnovat opakované pokusy o automatickou registraci tím, že se odhlásíte a znovu přihlásíte nebo spustíte úlohu v Plánovači úloh. V některých případech může s tímto problémem pomoct spuštění dsregcmd.exe /leave v okně příkazového řádku se zvýšenými oprávněními, restartováním a opětovným pokusem o registraci.
Potenciální problém: Pole pro Nastavení Url je prázdné a zařízení se nesynchronizuje. Uživatel se možná naposledy přihlásil k zařízení před povolením služby Enterprise State Roaming. Restartujte zařízení a požádejte uživatele o přihlášení. Volitelně můžete na portálu zkusit, aby it Správa přešli na Možnost Enterprise State Roaming s přehledem>zařízení identit>>a uživatelé můžou synchronizovat nastavení a data aplikací na různých zařízeních. Po opětovném povolení restartujte zařízení a požádejte uživatele o přihlášení. Pokud se tím problém nevyřeší, Nastavení Url může být prázdný, pokud je certifikát zařízení chybný. V tomto případě může s tímto problémem pomoct spuštění dsregcmd.exe /leave v okně příkazového řádku se zvýšenými oprávněními, restartováním a opětovným pokusem o registraci.
Enterprise State Roaming a vícefaktorové ověřování
Za určitých podmínek může služba Enterprise State Roaming selhat synchronizaci dat, pokud je nakonfigurované vícefaktorové ověřování Microsoftu. Další informace o těchto symptomech najdete v dokumentu podpory KB3193683.
Potenciální problém: Pokud je vaše zařízení nakonfigurované tak, aby vyžadovalo vícefaktorové ověřování v Centru pro správu Microsoft Entra, může selhat synchronizace nastavení při přihlašování k zařízení s Windows 10 nebo novějším pomocí hesla. Tento typ konfigurace vícefaktorového ověřování je určený k ochraně účtu správce Azure. Správa uživatelé se můžou dál synchronizovat přihlášením ke svým zařízením s Windows 10 nebo novějším pomocí svého Windows Hello pro firmy PIN kódu nebo dokončením vícefaktorového ověřování při přístupu k jiným službám Azure, jako je Microsoft 365.
Potenciální problém: Synchronizace může selhat, pokud správce nakonfiguruje zásady podmíněného přístupu vícefaktorového ověřování Active Directory Federation Services (AD FS) a platnost přístupového tokenu v zařízení vyprší. Ujistěte se, že se přihlašujete a odhlasujete pomocí kódu WINDOWS HELLO PRO FIRMY PIN nebo dokončíte vícefaktorové ověřování při přístupu k dalším službám Azure, jako je Microsoft 365.
Prohlížeč událostí
V případě pokročilého řešení potíží je možné Prohlížeč událostí použít k vyhledání konkrétních chyb. Události najdete v části Prohlížeč událostí >Protokoly>aplikací a služeb systému Microsoft>Windows>SettingSync-Azure a problémy související s identitou při synchronizaci protokolů aplikací a služeb>microsoft Windows>Microsoft>Entra ID.
Známé problémy
Synchronizace nefunguje na zařízeních, která mají aplikace načtené bokem pomocí softwaru MDM
Ovlivňuje zařízení s Windows 10 Anniversary Update (verze 1607). V Prohlížeč událostí v protokolech SettingSync-Azure se často zobrazuje ID události 6013 s chybou 80070259.
Doporučená akce
Ujistěte se, že klient Windows 10 v1607 má kumulativní aktualizaci ze srpna 2016 (KB3176934 build operačního systému 14393.82).
Nastavení data, času a oblasti se nesynchronizují na zařízení připojeném k doméně
Zařízení, která jsou připojená k doméně, nesynchronizují nastavení Datum, Čas a Oblast: automatický čas. Použití automatického času může přepsat ostatní nastavení data, času a oblasti a způsobit, že se tato nastavení nesynchronizují.
Doporučená akce
Nezaokrouhlovat.
Zařízení připojené k doméně se po opuštění podnikové sítě nesynchronizuje
Zařízení připojená k doméně zaregistrovaná v Microsoft Entra ID můžou zaznamenat selhání synchronizace, pokud je zařízení mimo pracoviště po delší dobu a ověřování domény se nedá dokončit.
Doporučená akce
Připojení zařízení do podnikové sítě, aby synchronizace pokračovala.
Zařízení připojené k Microsoft Entra se nesynchronizuje a uživatel má smíšený hlavní název uživatele.
Pokud má uživatel smíšený hlavní název uživatele (například UserName místo uživatelského jména) a uživatel je na zařízení připojeném k Microsoft Entra, které upgradovalo z Windows 10 Build 10586 na 14393, nemusí se zařízení uživatele synchronizovat.
Doporučená akce
Uživatel se musí odpojte a znovu se k zařízení připojí ke cloudu. Chcete-li tento proces provést, přihlaste se jako místní Správa istrator uživatele a zrušte spojení zařízení tak, že přejdete na Nastavení> System>About a vyberete Možnost Spravovat nebo odpojit od práce nebo školy. Vyčistěte následující soubory a potom microsoft Entra připojte zařízení znovu v Nastavení> System>About a vyberte "Připojení do práce nebo do školy". Pokračujte v připojení zařízení k ID Microsoft Entra a dokončete tok.
V kroku vyčištění vyčistěte následující soubory:
- Nastavení.dat v
C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Settings\
- Všechny soubory ve složce
C:\Users\<Username>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AC\TokenBroker\Account
ID události 6065: 80070533 Tento uživatel se nemůže přihlásit, protože tento účet je momentálně zakázaný.
V Prohlížeč událostí v protokolech SettingSync/Debug se tato chyba zobrazí, když vyprší platnost přihlašovacích údajů uživatele. Kromě toho může dojít v případě, že tenant nemá automaticky zřízenou službu AzureRMS.
Doporučená akce
V prvním případě požádejte uživatele, aby aktualizoval své přihlašovací údaje a přihlásil se k zařízení pomocí nových přihlašovacích údajů. Pokud chcete vyřešit problém s AzureRMS, pokračujte kroky uvedenými v KB3193791.
ID události 1098: Chyba: 0xCAA5001C operace zprostředkovatele tokenu selhala
V Prohlížeč událostí v rámci protokolů AAD/Operational se tato chyba může zobrazit .Event 1104: AAD Cloud AP plugin call Get token returned error: 0xC000005F
K tomuto problému dochází v případě, že chybí oprávnění nebo atributy vlastnictví.
Doporučená akce
Pokračujte kroky uvedenými KB3196528.
Další kroky
Přehled najdete v přehledu služby Enterprise State Roaming.