Řešení potíží se zařízeními nižší úrovně hybridně připojenými k Microsoft Entra

Tento článek se vztahuje pouze na následující zařízení:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Informace o zařízeních s Windows 10 nebo novějším a Windows Serverem 2016 najdete v tématu Řešení potíží se zařízeními s Windows 10 a Windows Serverem 2016 připojených k Microsoft Entra.

Tento článek předpokládá, že jste nakonfigurovali hybridní zařízení připojená k Microsoft Entra tak, aby podporovala následující scénáře:

  • Podmíněný přístup založený na zařízeních

Tento článek obsahuje pokyny k řešení potíží s řešením potenciálních problémů.

Co byste měli vědět:

  • Hybridní připojení Microsoft Entra pro zařízení s Windows nižší úrovně funguje mírně jinak než ve Windows 10 nebo novějším. Mnoho zákazníků si neuvědomuje, že potřebují službu AD FS (pro federované domény) nebo bezproblémové jednotné přihlašování nakonfigurované (pro spravované domény).
  • Bezproblémové jednotné přihlašování nefunguje v privátním režimu procházení v prohlížečích Firefox a Microsoft Edge. Nefunguje ani v Internet Exploreru, pokud je prohlížeč spuštěný v režimu Rozšířené ochrany nebo pokud je povolená konfigurace rozšířeného zabezpečení.
  • Pokud je pro zákazníky s federovanými doménami nakonfigurovaný bod služby Připojení ion Point (SCP), aby odkazoval na název spravované domény (například contoso.onmicrosoft.com místo contoso.com), nefunguje hybridní připojení Microsoft Entra pro zařízení s Windows nižší úrovně.
  • Stejné fyzické zařízení se v ID Microsoft Entra zobrazí vícekrát, když se více uživatelů domény přihlásí k zařízením s hybridním připojeným zařízením Microsoft Entra na nižší úrovni. Pokud se například jdoe a jharnett přihlašují k zařízení, vytvoří se pro každou z nich samostatná registrace (DeviceID) na kartě Informace o uživateli.
  • Můžete také získat více položek pro zařízení na kartě informace o uživateli z důvodu přeinstalace operačního systému nebo ruční opětovné registrace.
  • Počáteční registrace / připojení zařízení je nakonfigurována tak, aby se pokusil provést pokus o přihlášení nebo uzamčení / odemknutí. Úloha plánovače úloh může aktivovat 5minutové zpoždění.
  • Ujistěte se , že je v systému Windows 7 SP1 nebo Windows Server 2008 R2 SP1 nainstalovaný KB4284842 . Tato aktualizace zabraňuje budoucím selháním ověřování kvůli ztrátě přístupu zákazníka k chráněným klíčům po změně hesla.
  • Hybridní připojení Microsoft Entra může selhat, když se uživatel změní hlavní název uživatele (UPN) a přeruší proces ověřování bezproblémového jednotného přihlašování. Během procesu připojení se může zobrazit, že stále odesílá původní hlavní název uživatele (UPN) do Microsoft Entra ID, pokud se soubory cookie relace prohlížeče vymažou nebo se uživatel explicitně odhlásí a odebere starý hlavní název uživatele (UPN).

Krok 1: Načtení stavu registrace

Ověření stavu registrace:

  1. Přihlaste se pomocí uživatelského účtu, který provedl hybridní připojení Microsoft Entra.
  2. Otevření příkazového řádku
  3. Zadejte "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Tento příkaz zobrazí dialogové okno s podrobnostmi o stavu připojení.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Krok 2: Vyhodnocení stavu hybridního připojení Microsoft Entra

Pokud zařízení nebylo připojené k hybridnímu připojení Microsoft Entra, můžete se pokusit provést hybridní připojení Microsoft Entra kliknutím na tlačítko Připojit. Pokud pokus o hybridní připojení Microsoft Entra selže, zobrazí se podrobnosti o selhání.

Nejběžnější problémy jsou:

  • Problémy s chybnou konfigurací služby AD FS nebo Microsoft Entra ID nebo sítě

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe nemůže bezobslužně ověřit pomocí Microsoft Entra ID nebo AD FS. Příčinou tohoto problému může být chybějící nebo chybně nakonfigurovaná služba AD FS (pro federované domény) nebo chybějící nebo chybně nakonfigurované bezproblémové jednotné přihlašování Microsoft Entra (pro spravované domény) nebo problémy se sítí.
    • Může se stát, že pro uživatele je povolené nebo nakonfigurované vícefaktorové ověřování (MFA) a na serveru AD FS není nakonfigurované WIAORMULTIAUTHN.
    • Další možností je, že domovská stránka zjišťování sféry (HRD) čeká na interakci uživatele, což brání autoworkplace.exe v tichém vyžádání tokenu.
    • V zóně intranetu IE v klientovi chybí adresy URL služby AD FS a Microsoft Entra.
    • Problémy s připojením k síti můžou bránit automatickému souboru autoworkplace.exe v přístupu ke službě AD FS nebo adresÁM URL Microsoft Entra.
    • Autoworkplace.exe vyžaduje, aby klient měl přímý dohled od klienta k místnímu řadiči domény AD organizace, což znamená, že hybridní připojení Microsoft Entra proběhne úspěšně pouze v případě, že klient je připojený k intranetu organizace.
    • Pokud vaše organizace používá bezproblémové jednotné přihlašování Microsoft Entra, https://autologon.microsoftazuread-sso.com není k dispozici v nastavení intranetu IE zařízení.
    • Nastavení internetu Do not save encrypted pages to disk je zaškrtnuté.
  • Nejste přihlášeni jako uživatel domény

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    K tomuto problému může dojít z několika různých důvodů:

    • Přihlášený uživatel není uživatelem domény (například místním uživatelem). Hybridní připojení Microsoft Entra na zařízeních nižší úrovně je podporováno pouze pro uživatele domény.
    • Klient se nemůže připojit k řadiči domény.
  • Došlo k dosažení kvóty.

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • Služba nereaguje

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Informace o stavu najdete také v protokolu událostí v části: Protokol aplikací a služeb\Připojení k pracovišti Microsoftu

Nejběžnější příčiny selhání hybridního připojení Microsoft Entra jsou:

  • Váš počítač není připojený k interní síti vaší organizace ani k síti VPN s připojením k místnímu řadiči domény AD.
  • Jste přihlášení k počítači pomocí účtu místního počítače.
  • Problémy s konfigurací služby:
    • Server SLUŽBY AD FS není nakonfigurovaný tak, aby podporoval WIAORMULTIAUTHN.
    • Doménová struktura vašeho počítače nemá žádný objekt service Připojení ion Point, který odkazuje na váš ověřený název domény v Microsoft Entra ID
    • Nebo pokud je vaše doména spravovaná, bezproblémové jednotné přihlašování nebylo nakonfigurováno nebo nefunguje.
    • Uživatel dosáhl limitu počtu zařízení.

Další kroky