Nejčastější dotazy ke správě zařízení Microsoft Entra

Zařízení s Windows 10 nebo novějšími, která jsou hybridním připojeným systémem Microsoft Entra, se nezobrazují v části ZAŘÍZENÍ USER. Použijte zobrazení Všechna zařízení. Můžete také použít rutinu Get-MgDevice PowerShellu.

V části Uživatelská zařízení jsou uvedena pouze následující zařízení:

• Všechna osobní zařízení, která nejsou hybridním připojeným microsoftem Entra.
• Všechna zařízení mimo Windows 10 nebo novější a Windows Server 2016 nebo novější.
• Všechna zařízení bez Windows.

Přejděte na Všechna zařízení. Vyhledejte zařízení pomocí ID zařízení. Zkontrolujte hodnotu ve sloupci typu spojení. Někdy se může stát, že se zařízení resetuje nebo obnoví. Proto je důležité zkontrolovat stav registrace zařízení na zařízení:

• Pro zařízení s Windows 10 nebo novějším a Windows Serverem 2016 nebo novějším spusťte dsregcmd.exe /status.
• Pro verze operačního systému nižší úrovně spusťte %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

Informace o řešení potíží najdete v těchto článcích:

• Řešení potíží se zařízeními pomocí příkazu dsregcmd
• Řešení potíží zařízení s hybridním připojením Microsoft Entra pro Windows 10 a Windows Server 2016
• Řešení potíží se zařízeními nižší úrovně hybridně připojenými k Microsoft Entra

Klienti Windows načtou PRT z ID Microsoft Entra, pokud uživatel a zařízení patří do stejného tenanta. Uživatelé nebudou dostávat žádost o přijetí změn pro jiného tenanta, pokud zařízení není zaregistrované nebo uživatel tam není členem. Pokud si oba tenanti vzájemně důvěřují prostřednictvím B2B, můžete z domovského tenanta vždy vytvořit přístup mezi tenanty B2B a důvěřovat deklaracím identity zařízení.

Stav připojení zařízení zobrazený podle ID zařízení musí odpovídat stavu v ID Microsoft Entra a musí splňovat všechna kritéria vyhodnocení podmíněného přístupu. Další informace najdete v tématu Vyžadování spravovaných zařízení pro přístup ke cloudovým aplikacím pomocí podmíněného přístupu.

Na zařízeních s Windows 10/11 připojených nebo zaregistrovaných v Microsoft Entra ID se uživatelům vystaví primární obnovovací token (PRT), který umožňuje jednotné přihlašování. Platnost žádosti o přijetí změn je založena na platnosti samotného zařízení. Tato zpráva se uživatelům zobrazí, pokud je zařízení buď odstraněné, nebo zakázané v Microsoft Entra ID bez zahájení akce ze samotného zařízení. Zařízení je možné odstranit nebo zakázat v Microsoft Entra jeden z následujících scénářů:

• Uživatel zařízení zakáže z portálu Moje aplikace.
• Správce (nebo uživatel) odstraní nebo zakáže zařízení.
• Pouze hybridní připojení Microsoft Entra: Správce odebere organizační jednotky zařízení mimo rozsah synchronizace, což vede k odstranění zařízení z Microsoft Entra ID.
• Pouze hybridní připojení Microsoft Entra: Správce zakáže účet počítače místně, což vede k zakázání zařízení v Microsoft Entra ID.
• Upgrade microsoft Entra Připojení na verzi 1.4.xx.x. Principy Microsoft Entra Připojení 1.4.xx.x a vyřazení zařízení.

Tato operace je navržená. V takovém případě zařízení nemá přístup k prostředkům v cloudu. Správa istrátory můžou tuto akci provést pro zastaralá, ztracená nebo odcizená zařízení, aby se zabránilo neoprávněnému přístupu. Pokud byla tato akce provedena neúmyslně, musíte zařízení znovu povolit nebo znovu zaregistrovat pomocí následujících kroků:

• Pokud bylo zařízení zakázané v Microsoft Entra ID, může ho správce s dostatečnými oprávněními povolit v Centru pro správu Microsoft Entra.

  Poznámka:

  Pokud synchronizujete zařízení pomocí Microsoft Entra Připojení, budou zařízení připojená k hybridnímu připojení Microsoft Entra automaticky znovu povolena během dalšího cyklu synchronizace. Pokud tedy potřebujete zakázat zařízení připojené k hybridní službě Microsoft Entra, musíte ho zakázat z místní služby AD.

• Pokud je zařízení odstraněno v Microsoft Entra ID, musíte ho znovu zaregistrovat. Pokud chcete zařízení zaregistrovat znovu, musíte to provést ručně. Pokyny k opětovné registraci na základě stavu zařízení najdete v následujících krocích.

  Pokud chcete zařízení s Windows 10/11 a Windows Serverem 2016/2019 znovu zaregistrovat, proveďte následující kroky:

  1. Otevřete příkazový řádek jako správce.
  2. Zadejte dsregcmd.exe /debug /leave.
  3. Odhlaste se a přihlaste se a aktivujte naplánovanou úlohu, která zařízení znovu zaregistruje pomocí ID Microsoft Entra.

  V případě verzí operačního systému Windows nižší úrovně, které jsou hybridním připojeným systémem Microsoft Entra, proveďte následující kroky:

  1. Otevřete příkazový řádek jako správce.
  2. Zadejte "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
  3. Zadejte "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

  U zařízení připojených k Microsoft Entra pro zařízení s Windows 10/11 proveďte následující kroky:

  1. Otevřete příkazový řádek jako správce.
  2. Enter dsregcmd /forcerecovery (K provedení této akce musíte být správcem).
  3. V dialogovém okně, které se otevře, klikněte na Přihlásit se a pokračujte v procesu přihlášení.
  4. Odhlaste se a znovu se přihlaste na zařízení a dokončete obnovení.

  U zařízení s Windows 10/11 zaregistrovaných společností Microsoft Entra proveďte následující kroky:

  1. Přejděte na Nastavení> Accounts>Access Work nebo School.
  2. Vyberte účet a vyberte Odpojit.
  3. Klikněte na +Připojení a znovu zaregistrujte zařízení tím, že projdete procesem přihlášení.

• U Windows 10 nebo novějších a Windows Serveru 2016 nebo novějších se opakovaný pokus o zrušení spojení a opětovné připojení stejného zařízení může způsobit duplicitní položky.
• Každý uživatel Windows, který použije možnost Přidat pracovní nebo školní účet, vytvoří záznam nového zařízení se stejným názvem zařízení.
• V případě nižších verzí OS Windows, které jsou připojené k místní doméně Azure Directory, se při automatické registraci pro každého uživatele domény přihlášeného k zařízení vytvoří nový záznam zařízení, ve kterém bude mít zařízení stejný název.
• Počítač připojený k Microsoft Entra, který byl vymazán, přeinstalován a znovu připojen pod stejným názvem, se zobrazí jako jiný záznam se stejným názvem zařízení.

Registrace zařízení s Windows 10/11 je podporována pouze pro čip TPM kompatibilní s standardem FIPS 2.0 a nepodporuje se pro TPM 1.2. Pokud vaše zařízení mají čip TPM kompatibilní s standardem FIPS 1.2, musíte je před pokračováním v hybridním připojení Microsoft Entra nebo hybridním spojením Microsoft Entra zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože závisí na výrobci čipu TPM. Pokud potřebujete podporu, obraťte se na hardware OEM.

Odvolání odvolané žádosti trvá až hodinu od okamžiku, kdy je zařízení Microsoft Entra označeno jako zakázané.

Microsoft Entra ID přidal podporu pro více účtů Microsoft Entra od verze Windows 10 1803. Windows 10/11 ale omezuje počet účtů Microsoft Entra na zařízení na 3, aby omezil velikost žádostí o token a povolil spolehlivé jednotné přihlašování (SSO). Po přidání 3 účtů se uživatelům zobrazí chyba pro další účty. Další informace o problému na obrazovce chyby poskytují následující zprávu s informací o tom, proč je operace přidání účtu blokována, protože došlo k dosažení limitu účtu.

Certifikáty MS-Organization-Access vydává služba Microsoft Entra Device Registration Service během procesu registrace zařízení. Tyto certifikáty se vydávají pro všechny typy připojení podporované ve Windows – microsoft Entra join, Microsoft Entra hybrid join and Microsoft Entra registered devices. Po vydání se použijí jako součást procesu ověřování ze zařízení k vyžádání primárního obnovovacího tokenu (PRT). U zařízení připojených k Microsoft Entra a hybridních připojených zařízení Microsoft Entra se tento certifikát nachází v místním počítači\Osobní\Certifikáty, zatímco pro registrovaná zařízení Microsoft Entra se certifikát nachází v části Aktuální uživatel\Osobní\Certifikáty. Všechny certifikáty MS-Organization-Access mají výchozí životnost 10 let. Tyto certifikáty se odstraní z odpovídajícího úložiště certifikátů, když se zařízení neregistruje z ID Microsoft Entra. Jakékoli neúmyslné odstranění tohoto certifikátu vede k selhání ověřování uživatele a v takových případech vyžaduje opětovnou registraci zařízení.

U čistých zařízení připojených k Microsoft Entra se ujistěte, že máte offline účet místního správce nebo si ho vytvořte. Nemůžete se přihlásit pomocí přihlašovacích údajů uživatele Microsoft Entra. Dále přejděte na Nastavení> Accounts>Access Work nebo School. Vyberte svůj účet a vyberte Odpojit. Postupujte podle pokynů a po zobrazení výzvy zadejte přihlašovací údaje místního správce. Restartujte zařízení, aby se dokončil proces odpojování.

Ano. Systém Windows má funkci uživatelského jména a hesla uložené v mezipaměti, která umožňuje uživatelům, kteří se dříve přihlásili, rychle přistupovat k ploše i bez připojení k síti.

Když je zařízení odstraněno nebo zakázáno v Microsoft Entra ID, není známé zařízení s Windows. Uživatelé, kteří se přihlásili dříve, budou nadále přistupovat k ploše pomocí uživatelského jména a hesla uloženého v mezipaměti. Když je ale zařízení odstraněné nebo zakázané, uživatelé nemají přístup k žádným prostředkům chráněným podmíněným přístupem založeným na zařízení.

Uživatelé, kteří se předtím nepřihlašovali, nemají přístup k zařízení. Pro ně není povolené žádné uživatelské jméno a heslo uložené v mezipaměti.

Ano, ale jen po omezenou dobu. Když se uživatel odstraní nebo zakáže v Microsoft Entra ID, není okamžitě známý pro zařízení s Windows. Uživatelé, kteří se přihlásili dříve, mají přístup k ploše pomocí uživatelského jména a hesla uloženého v mezipaměti.

Zařízení obvykle ví o stavu uživatele za méně než čtyři hodiny. Systém Windows pak zablokuje přístup těchto uživatelů k ploše. Když se uživatel odstraní nebo zakáže v MICROSOFT Entra ID, všechny jeho tokeny se odvolají. Proto nemají přístup k žádným prostředkům.

Odstranění nebo zakázaní uživatelé, kteří se předtím nepřihlašovali, nemají přístup k zařízení. Pro ně není povolené žádné uživatelské jméno a heslo uložené v mezipaměti.

Ne, v současné době se uživatelé typu host nemůžou přihlásit k zařízení připojenému k Microsoft Entra.

Organizace si můžou zvolit nasazení hybridního cloudového tisku s Windows Serverem s předběžným ověřováním nebo univerzálním tiskem pro svá zařízení připojená k Microsoft Entra.

Viz Připojení do vzdáleného počítače připojeného k Microsoft Entra.

Nakonfigurovali jste určitá pravidla podmíněného přístupu tak, aby vyžadovala konkrétní stav zařízení? Pokud zařízení nesplňuje kritéria, uživatelé se zablokují a zobrazí se jim tato zpráva. Vyhodnoťte pravidla zásad podmíněného přístupu. Ujistěte se, že zařízení splňuje kritéria, aby se zabránilo zprávě.

Mezi běžné důvody tohoto scénáře patří:

• Vaše přihlašovací údaje uživatele už nejsou platné.
• Váš počítač nemůže komunikovat s MICROSOFT Entra ID. Zkontrolujte případné problémy s připojením k síti.
• Federované přihlašování vyžaduje, aby váš federační server podporoval koncové body WS-Trust, které jsou povolené a přístupné.
• Povolili jste předávací ověřování. Dočasné heslo je proto potřeba změnit, když se přihlásíte.

Zařízení připojená k Microsoft Entra v současné době nenutí uživatele měnit heslo na zamykací obrazovce. Uživatelé s dočasnými nebo prošlými hesly tedy budou nuceni měnit hesla jenom v případě, že přistupují k aplikaci (která vyžaduje token Microsoft Entra) po přihlášení do Windows.

K této chybě dochází při nastavování automatického zápisu Microsoft Entra v Intune bez přiřazené správné licence. Ujistěte se, že uživatel, který se pokusí připojit k Microsoft Entra, má přiřazenou správnou licenci Intune. Další informace najdete v tématu Nastavení registrace pro zařízení s Windows.

Pravděpodobnou příčinou je přihlášení k zařízení pomocí místního předdefinovaného účtu správce. Před dokončením instalace vytvořte jiný místní účet.

Aplikace P2P Server je aplikace zaregistrovaná pomocí Microsoft Entra ID, aby bylo možné povolit připojení RDP (Remote Desktop Protocol) ke všem zařízením s Windows připojeným k Microsoft Entra nebo hybridním připojeným zařízením s Windows microsoft Entra ve vašem tenantovi. Tato aplikace vytvoří certifikát pro celou tenanta vystavený certifikační autoritou Microsoft Entra a použije se k vydávání certifikátů zařízení RDP a uživatelských certifikátů pro připojení RDP. Abyste měli jistotu, že se jedná o správnou aplikaci, najdete ID objektu aplikace serveru P2P v Centru>pro správu Microsoft Entra – podnikové>aplikace. Odeberte výchozí použitý filtr, abyste viděli všechny aplikace. Porovnejte toto ID objektu pomocí rozhraní Microsoft Graph API k dotazování na podrobnosti pomocí get /servicePrincipals/{objectid} a ověřte, že je urn:p2p_certvlastnost servicePrincipalNames .

Certifikáty MS-Organization-P2P-Access vydává ID Microsoft Entra pro zařízení připojená k Microsoftu Entra i hybridním zařízením připojeným k Microsoft Entra. Tyto certifikáty slouží k povolení důvěryhodnosti mezi zařízeními ve stejném tenantovi pro scénáře vzdálené plochy. Jeden certifikát se vystaví zařízení a druhý se uživateli vystaví. Certifikát zařízení je k dispozici Local Computer\Personal\Certificates a je platný jeden den. Tento certifikát se prodloužil (vydáním nového certifikátu), pokud je zařízení stále aktivní v MICROSOFT Entra ID. Uživatelský certifikát není trvalý a je platný po dobu jedné hodiny, ale je vystavený na vyžádání, když se uživatel pokusí o relaci vzdálené plochy na jiné zařízení připojené k Microsoft Entra. Po vypršení platnosti se neprodlouží. Oba tyto certifikáty jsou vystaveny pomocí certifikátu MS-Organization-P2P-Access, který je v souboru Local Computer\AAD Token Issuer\Certificates. Tento certifikát vydává Microsoft Entra ID během registrace zařízení.

Na zařízeních připojených k Microsoft Entra není možné zakázat ani vypršet platnost předchozích přihlášení uložených v mezipaměti.

U zařízení připojených k hybridnímu připojení Microsoft Entra nezapomeňte automatickou registraci v AD vypnout pomocí článku o řízeném ověřování . Naplánovaná úloha pak zařízení znovu nezaregistruje. Dále otevřete příkazový řádek jako správce a zadejte dsregcmd.exe /debug /leave. Nebo tento příkaz spusťte jako skript na několika zařízeních, abyste se mohli hromadně připojit.

Informace o řešení potíží najdete v těchto článcích:

• Řešení potíží zařízení s hybridním připojením Microsoft Entra pro Windows 10 a Windows Server 2016
• Řešení potíží se zařízeními nižší úrovně hybridně připojenými k Microsoft Entra

Když uživatelé přidají své účty do aplikací na zařízení připojeném k doméně, můžou se jim zobrazit výzva k přidání účtu do Windows? Pokud na příkazovém řádku zadá ano , zařízení se zaregistruje s ID Microsoft Entra. Typ důvěryhodnosti je označený jako registrovaný Microsoft Entra. Po povolení hybridního připojení Microsoft Entra ve vaší organizaci zařízení získá také hybridní připojení Microsoft Entra. Pak se pro stejné zařízení zobrazí dva stavy zařízení.

Ve většině případů má hybridní připojení Microsoft Entra přednost před registrovaným stavem Microsoft Entra, což vede k tomu, že se vaše zařízení považuje za hybridní připojení Microsoft Entra pro jakékoli ověřování a vyhodnocení podmíněného přístupu. Někdy ale tento duální stav může vést k nedeterministickému vyhodnocení zařízení a způsobit problémy s přístupem. Důrazně doporučujeme upgradovat na Windows 10 verze 1803 a vyšší, kde automaticky vyčistíme zaregistrovaný stav Microsoft Entra. Zjistěte, jak se vyhnout nebo vyčistit tento duální stav na počítači s Windows 10.

Změny hlavního názvu uživatele (UPN) se podporují v aktualizaci Windows 10 2004 a platí také pro Windows 11. Uživatelé na zařízeních s touto aktualizací nebudou mít po změně hlavních názvů uživatelů (UPN) žádné problémy.

Změny hlavního názvu uživatele (UPN) ve starších verzích Windows 10 se u zařízení připojených k hybridnímu připojení Microsoft Entra plně nepodporují. I když se uživatelé můžou přihlásit k zařízení a získat přístup k místním aplikacím, ověřování pomocí Microsoft Entra ID selže po změně hlavního názvu uživatele (UPN). V důsledku toho mají uživatelé na svých zařízeních problémy s jednotným přihlašováním a podmíněným přístupem. Pokud chcete tento problém vyřešit, musíte zrušit spojení zařízení z Microsoft Entra ID (spustit dsregcmd /leave se zvýšenými oprávněními) a znovu se připojit (stane se automaticky).

Ne, s výjimkou případu, kdy se změní heslo uživatele. Po dokončení hybridního připojení k Windows 10/11 Microsoft Entra a uživatel se aspoň jednou přihlásí, zařízení pro přístup ke cloudovým prostředkům nevyžaduje dohled řadiče domény. Windows 10/11 může získat jednotné přihlašování k aplikacím Microsoft Entra odkudkoli s připojením k internetu, s výjimkou případů, kdy se změní heslo. Uživatelé, kteří se přihlašují pomocí Windows Hello pro firmy nadále získají jednotné přihlašování k aplikacím Microsoft Entra i po změně hesla, i když nemají přehled o řadiči domény.

Pokud se heslo změní mimo podnikovou síť (například pomocí Microsoft Entra SSPR), přihlášení uživatele pomocí nového hesla se nezdaří. U zařízení připojených k hybridnímu připojení Microsoft Entra je místní Active Directory primární autoritou. Pokud zařízení nemá přehled o řadiči domény, nemůže ověřit nové heslo. Než se uživatel bude moct přihlásit k zařízení pomocí nového hesla, musí navázat připojení k řadiči domény (přes SÍŤ VPN nebo být v podnikové síti). Jinak se můžou přihlásit jenom pomocí starého hesla kvůli funkci přihlášení uložené v mezipaměti ve Windows. Staré heslo však během žádostí o token zneplatňuje ID Microsoft Entra, a proto brání jednotnému přihlašování a selže všechny zásady podmíněného přístupu založené na zařízení, dokud se uživatel neověří s novým heslem v aplikaci nebo prohlížeči. K tomuto problému nedochází, pokud používáte zařízení připojená k Microsoft Entra.

• Pro zařízení zaregistrovaná v Microsoft Entra pro Windows 10/11 přejděte na Nastavení> Accounts>Access Work nebo School. Vyberte svůj účet a vyberte Odpojit. Registrace zařízení je na profil uživatele ve Windows 10/11.
• Pro iOS a Android můžete použít aplikaci Microsoft Authenticator Nastavení> Device Registrace a vybrat Zrušit registraci zařízení.
• V systému macOS můžete pomocí aplikace Microsoft Portál společnosti Intune zrušit registraci zařízení ve správě a odebrat všechny registrace.

Pro Windows 10 verze 2004 a starší je možné tento proces automatizovat pomocí nástroje pro odebrání funkce Připojení k pracovišti (WPJ).

Povolte následující registr a zablokujte uživatelům přidávání dalších pracovních účtů do podnikové domény připojené k podnikové doméně, připojenému k microsoftu Entra nebo zařízením s Windows 10/11 připojených hybridním systémem Microsoft Entra. Tuto zásadu lze také použít k blokování počítačů připojených k doméně neúmyslně zaregistrovaným ve stejném uživatelském účtu Microsoft Entra.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001

Související obsah

• Nástroj Microsoftu pro vyhledávání chyb