Problembehandlung bei Microsoft Entra hybrid eingebundenen, down-level-Geräten

  • Artikel

Dieser Artikel gilt nur für die folgenden Geräte:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Weitere Informationen zu Windows 10 oder höher und Windows Server 2016 finden Sie unter Problembehandlung bei Geräten unter Windows 10 und Windows Server 2016 mit Hybrideinbindung in Microsoft Entra.

In diesem Artikel wird vorausgesetzt, dass Sie in Microsoft Entra eingebundene Hybridgeräte konfiguriert haben, um die folgenden Szenarios zu unterstützen:

  • Gerätebasierter bedingter Zugriff

Dieser Artikel enthält Anleitungen zur Problembehandlung zum Beheben potenzieller Probleme.

Wichtige Informationen:

  • Microsoft Entra Hybrid Join für Windows-Geräte mit einer Vorgängerversion funktioniert etwas anders als unter Windows 10 oder höher. Viele Kunden wissen nicht, dass sie Active Directory-Verbunddienste (AD FS) (für Verbunddomänen) oder nahtloses einmaliges Anmelden (für verwaltete Domänen) benötigen.
  • Das nahtlose einmalige Anmelden funktioniert in den Browsern Firefox und Microsoft Edge nicht im privaten Modus. Es funktioniert ebenfalls nicht im Internet Explorer, wenn der Browser im erweiterten geschützten Modus ausgeführt wird oder wenn die verstärkte Sicherheitskonfiguration aktiviert ist.
  • Wenn bei Kunden mit Verbunddomänen der Dienstverbindungspunkt so konfiguriert ist, dass er auf den Namen der verwalteten Domäne zeigt (z. B. „contoso.onmicrosoft.com“ statt „contoso.com“), funktioniert Microsoft Entra Hybrid Join für Windows-Geräte mit einer Vorgängerversion nicht.
  • Dasselbe physische Gerät wird mehrfach in Microsoft Entra ID angezeigt, wenn sich mehrere Domänenbenutzer an den untergeordneten Microsoft Entra Hybrid-Geräten anmelden. Beispiel: Wenn jdoe und jharnett sich auf einem Gerät anmelden, wird für jeden dieser Benutzer eine separate Registrierung (DeviceID) auf der Registerkarte USER erstellt.
  • Aufgrund einer Neuinstallation des Betriebssystems oder einer manuellen Neuregistrierung können Sie mehrere Einträge für ein Gerät auf der Registerkarte „Benutzerinformationen“ abrufen.
  • Bei der anfänglichen Gerätekonfiguration für die Registrierung bzw. den Beitritt von Geräten wird zunächst eine Anmeldung oder Sperren/Entsperren versucht. Es kann eine Verzögerung von bis zu 5 Minuten auftreten, die durch eine Aufgabe der Aufgabenplanung ausgelöst wird.
  • Stellen Sie sicher, dass KB4284842 unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 installiert ist. Dieses Update verhindert zukünftige Authentifizierungsfehler, wenn Kunden den Zugriff auf geschützte Schlüssel nach dem Ändern des Kennworts verlieren.
  • Eine Hybridverknüpfung von Microsoft Entra kann fehlschlagen, nachdem ein Benutzer seinen UPN geändert hat, wodurch der Prozess der nahtlosen SSO-Authentifizierung unterbrochen wird. Während des Beitrittsprozesses können Sie sehen, dass die alte UPN immer noch an die Microsoft Entra ID gesendet wird, es sei denn, die Sitzungscookies des Browsers werden gelöscht oder der Benutzer meldet sich ausdrücklich ab und entfernt die alte UPN.

Schritt 1: Abrufen des Registrierungsstatus

So überprüfen Sie den Registrierungsstatus:

  1. Melden Sie sich mit dem Benutzerkonto an, das einen Microsoft Entra-Hybridbeitritt durchgeführt hat.
  2. Öffnen Sie die Eingabeaufforderung.
  3. Geben Sie "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i ein

Dieser Befehl zeigt ein Dialogfeld an, das Ihnen ausführliche Informationen zum Einbindungsstatus bietet.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

Schritt 2: Bewerten Sie den Status des Microsoft Entra-Hybridbeitritts

Wenn das Gerät noch nicht mit Microsoft Entra hybrid verbunden wurde, können Sie versuchen, es mit Microsoft Entra hybrid zu verbinden, indem Sie auf die Schaltfläche „Verbinden“ klicken. Wenn der Versuch, eine Microsoft Entra-Hybridverbindung herzustellen, fehlschlägt, werden die Fehlerdetails angezeigt.

Folgende Probleme treten am häufigsten auf:

  • Eine falsch konfigurierte AD FS oder Microsoft Entra ID oder Netzwerkprobleme

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Autoworkplace.exe ist nicht in der Lage, sich im Hintergrund mit Microsoft Entra ID oder AD FS zu authentifizieren. Dieses Problem kann durch fehlendes oder falsch konfiguriertes AD FS (für Verbunddomänen) oder fehlendes oder falsch konfiguriertes Microsoft Entra Seamless Single Sign-On (für verwaltete Domänen) oder durch Netzwerkprobleme verursacht werden.
    • Möglicherweise ist die Multi-Faktor-Authentifizierung (MFA) für den Benutzer aktiviert/konfiguriert, und „WIAORMULTIAUTHN“ nicht auf dem AD FS-Server konfiguriert.
    • Eine weitere Möglichkeit ist, dass die Seite der Startbereichsermittlung (Home Realm Discovery, HRD) auf eine Benutzerinteraktion wartet, wodurch autoworkplace.exe daran gehindert wird, unbeaufsichtigt ein Token abzurufen.
    • Es könnte sein, dass die AD FS- und Microsoft Entra-URLs in der Intranetzone des IE auf dem Client fehlen.
    • Probleme mit der Netzwerkkonnektiviät verhindern möglicherweise, dass autoworkplace.exe eine Verbindung mit AD FS- oder Microsoft Entra-URLs herstellen kann.
    • Autoworkplace.exe setzt voraus, dass der Client eine direkte Sichtverbindung zum lokalen AD-Domänencontroller des Unternehmens hat. Das bedeutet, dass Microsoft Entra-Hybridbeitritt nur dann erfolgreich ist, wenn der Client mit dem Intranet des Unternehmens verbunden ist.
    • Wenn Ihre Organisation das nahtlose einmalige Anmelden von Microsoft Entra verwendet, ist https://autologon.microsoftazuread-sso.com in den IE-Intraneteinstellungen des Geräts nicht vorhanden.
    • Die Interneteinstellung Do not save encrypted pages to disk ist aktiviert.

  • Sie sind nicht als Domänenbenutzer angemeldet

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    Dieses Problem kann aus verschiedenen Gründen auftreten:

    • Der angemeldete Benutzer ist kein Domänenbenutzer (sondern beispielsweise ein lokaler Benutzer). Ein Microsoft Entra-Hybridbeitritt auf Geräten niedriger Ebene wird nur für Domänenbenutzer unterstützt.
    • Der Client kann keine Verbindung mit einem Domänencontroller herstellen.

  • Ein Kontingent wurde erreicht

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • Der Dienst reagiert nicht.

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Die Statusinformationen finden Sie auch im Ereignisprotokoll unter Anwendungs- und Dienstprotokolle\Microsoft-Workplace Join.

Die häufigsten Ursachen für Fehler beim Microsoft Entra-Hybridbeitritt sind:

  • Der Computer ist weder mit dem internen Netzwerk Ihrer Organisation noch mit einem VPN mit Verbindung mit Ihrem lokalen AD-Domänencontroller verbunden.
  • Sie sind über ein lokales Computerkonto bei Ihrem Computer angemeldet.
  • Probleme bei der Dienstkonfiguration:
    • Der AD FS-Server wurde nicht für die Unterstützung von WIAORMULTIAUTHN konfiguriert.
    • Die Gesamtstruktur Ihres Computers enthält kein Dienstverbindungspunkt-Objekt, das auf Ihren verifizierten Domänennamen in Microsoft Entra verweist
    • Falls Ihre Domäne verwaltet wird: Das nahtlose einmalige Anmelden wurde nicht konfiguriert bzw. funktioniert nicht.
    • Ein Benutzer hat den Grenzwert von Geräten erreicht.

Nächste Schritte