Řešení potíží s hybridními zařízeními připojenými ke službě Azure Active Directory nižší úrovně

Tento článek platí jenom pro následující zařízení:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Informace o Windows 10 nebo novějších a Windows Serveru 2016 najdete v tématu Řešení potíží s hybridními zařízeními s Windows 10 a Windows Serverem 2016 připojenými k Hybridní službě Azure Active Directory.

Tento článek předpokládá, že jste nakonfigurovali hybridní zařízení připojená k Azure Active Directory tak, aby podporovala následující scénáře:

  • Podmíněný přístup založený na zařízeních

Tento článek obsahuje pokyny k řešení potíží s řešením potenciálních problémů.

Co byste měli vědět:

  • Hybridní připojení Azure AD pro zařízení s Windows na nižší úrovni funguje mírně jinak než ve Windows 10 nebo novějším. Mnoho zákazníků si neuvědomuje, že potřebuje službu AD FS (pro federované domény) nebo bezproblémové jednotné přihlašování nakonfigurované (pro spravované domény).
  • Bezproblémové jednotné přihlašování nefunguje v privátním režimu procházení v prohlížečích Firefox a Microsoft Edge. Nefunguje také v Internet Exploreru, pokud je prohlížeč spuštěný v rozšířeném chráněném režimu nebo pokud je povolená konfigurace rozšířeného zabezpečení.
  • Pro zákazníky s federovanými doménami, pokud byl spojovací bod služby (SCP) nakonfigurovaný tak, aby odkazoval na název spravované domény (například contoso.onmicrosoft.com místo contoso.com), pak hybridní připojení Azure AD pro zařízení s Windows nižší úrovně nebude fungovat.
  • Stejné fyzické zařízení se v Azure AD zobrazí několikrát, když se více uživatelů domény přihlásí k hybridním zařízením připojeným k Azure AD. Pokud se například jdoe a jharnett přihlašují k zařízení, vytvoří se pro každou z nich samostatná registrace (DeviceID) na kartě Informace o uživateli .
  • Na kartě Informace o uživateli můžete také získat více položek z důvodu přeinstalace operačního systému nebo ruční opětovné registrace.
  • Počáteční registrace nebo připojení zařízení je nakonfigurována tak, aby se pokusila provést pokus o přihlášení nebo uzamčení nebo odemknutí. Úloha plánovače úloh může aktivovat 5minutové zpoždění.
  • Ujistěte se, že je nainstalována aktualizace KB4284842 v případě windows 7 SP1 nebo Windows Serveru 2008 R2 SP1. Tato aktualizace brání budoucím chybám ověřování kvůli ztrátě přístupu zákazníka k chráněným klíčům po změně hesla.
  • Připojení k hybridní službě Azure AD může selhat po změně hlavního názvu uživatele (UPN) a narušení procesu bezproblémového ověřování jednotného přihlašování. Během procesu připojení se může zobrazit, že stále odesílá starý hlavní název uživatele (UPN) do Azure AD, pokud se soubory cookie relace prohlížeče vymažou nebo se uživatel explicitně odhlásí a odebere původní hlavní název uživatele (UPN).

Krok 1: Načtení stavu registrace

Ověření stavu registrace:

  1. Přihlaste se pomocí uživatelského účtu, který provedl připojení k hybridní službě Azure AD.
  2. Otevření příkazového řádku
  3. Zadejte "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Tento příkaz zobrazí dialogové okno s podrobnostmi o stavu spojení.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Krok 2: Vyhodnocení stavu připojení k hybridní službě Azure AD

Pokud zařízení nebylo připojené k hybridní službě Azure AD, můžete se pokusit provést připojení k hybridní službě Azure AD kliknutím na tlačítko Připojit se. Pokud se pokus o připojení k hybridní službě Azure AD nezdaří, zobrazí se podrobnosti o selhání.

Nejběžnější problémy jsou:

  • Problémy se chybně nakonfigurovanou službou AD FS nebo Azure AD nebo sítí

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe se nedá bezobslužně ověřit ve službě Azure AD nebo AD FS. Příčinou může být chybějící nebo chybně nakonfigurovaná služba AD FS (pro federované domény) nebo chybějící nebo chybně nakonfigurovaná jednoduchá Sign-On Azure AD (pro spravované domény) nebo problémy se sítí.
    • Může se stát, že je pro uživatele povolené nebo nakonfigurované vícefaktorové ověřování (MFA) a na serveru AD FS není nakonfigurované WIAORMULTIAUTHN.
    • Další možností je, že stránka zjišťování domovské sféry (HRD) čeká na interakci uživatele, což brání tomu, abyautoworkplace.exe bezobslužně požadovat token.
    • Může se stát, že v zóně intranetu služby IE na klientovi chybí adresy URL služby AD FS a Azure AD.
    • Problémy s připojením k síti můžou bránit autoworkplace.exe v přístupu ke službě AD FS nebo adresám URL služby Azure AD.
    • Autoworkplace.exe vyžaduje, aby klient měl přímý pohled od klienta k místnímu řadiči domény AD organizace, což znamená, že hybridní připojení k Azure AD proběhne úspěšně pouze v případě, že je klient připojený k intranetu organizace.
    • Vaše organizace používá bezproblémové jednotné přihlašování https://autologon.microsoftazuread-sso.com Azure AD nebo https://aadg.windows.net.nsatc.net není k dispozici v nastavení intranetu IE zařízení.
  • Nejste přihlášení jako uživatel domény.

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Existuje několik různých důvodů, proč k tomu může dojít:

    • Přihlášený uživatel není uživatelem domény (například místním uživatelem). Hybridní připojení k Azure AD na zařízeních nižší úrovně se podporuje jenom pro uživatele domény.
    • Klient se nemůže připojit k řadiči domény.
  • Došlo k dosažení kvóty

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • Služba nereaguje

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server did not respond.

Informace o stavu najdete také v protokolu událostí v části: Protokol aplikací a služeb\Připojení k síti Microsoft-Workplace Join.

Nejběžnější příčiny selhání připojení k hybridní službě Azure AD jsou:

  • Váš počítač není připojený k interní síti vaší organizace ani k síti VPN s připojením k místnímu řadiči domény AD.
  • K počítači jste přihlášení pomocí místního účtu počítače.
  • Problémy s konfigurací služby:
    • Server AD FS není nakonfigurovaný tak, aby podporoval WIAORMULTIAUTHN.
    • Doménová struktura vašeho počítače nemá žádný objekt spojovacího bodu služby, který odkazuje na váš ověřený název domény v Azure AD.
    • Nebo pokud je vaše doména spravovaná, nebylo nakonfigurované nebo nefunguje bezproblémové jednotné přihlašování.
    • Uživatel dosáhl limitu počtu zařízení.

Další kroky