A Microsoft Entra hibrid csatlakozású régebbi típusú eszközeinek hibaelhárítása

  • Cikk

Ez a cikk csak a következő eszközökre vonatkozik:

  • Windows 7
  • Windows 8.1
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Windows 10 vagy újabb és Windows Server 2016 esetén lásd a Microsoft Entra hibrid csatlakoztatott Windows 10- és Windows Server 2016-eszközök hibaelhárítását.

Ez a cikk feltételezi, hogy a Microsoft Entra hibrid csatlakoztatott eszközöket konfigurálta a következő forgatókönyvek támogatásához:

  • Device-based Conditional Access

Ez a cikk hibaelhárítási útmutatást nyújt a lehetséges problémák megoldásához.

Amit tudnia kell:

  • A Microsoft Entra hibrid csatlakoztatása alacsonyabb szintű Windows-eszközökhöz kissé másképp működik, mint a Windows 10-ben vagy az újabbakban. Sok ügyfél nem veszi észre, hogy szüksége van az AD FS-re (összevont tartományokhoz) vagy a közvetlen egyszeri bejelentkezésre (felügyelt tartományokhoz).
  • A közvetlen egyszeri bejelentkezés nem működik privát böngészési módban a Firefox és a Microsoft Edge böngészőkben. Az Internet Explorerben sem működik, ha a böngésző fokozott védelem alatt áll, vagy ha engedélyezve van a fokozott biztonsági konfiguráció.
  • Összevont tartományokkal rendelkező ügyfelek esetén, ha a Service Csatlakozás ion Point (SCP) úgy lett konfigurálva, hogy a felügyelt tartománynévre mutat (például contoso.com helyett contoso.onmicrosoft.com), akkor a Microsoft Entra hibrid csatlakoztatása nem működik az alsó szintű Windows-eszközökhöz.
  • Ugyanez a fizikai eszköz többször jelenik meg a Microsoft Entra-azonosítóban, amikor több tartományfelhasználó is bejelentkezik a microsoft entra hibrid csatlakoztatott eszközökre. Ha például jdoe és jharnett bejelentkezik egy eszközre, az U Standard kiadás R információ lapján mindegyikhez külön regisztráció (DeviceID) jön létre.
  • Az eszközhöz több bejegyzést is lekérhet a felhasználói adatok lapon az operációs rendszer újratelepítése vagy a manuális újraregisztráció miatt.
  • Az eszközök kezdeti regisztrációja/csatlakoztatása úgy van konfigurálva, hogy megkísérelje a bejelentkezést vagy a zárolást/zárolás zárolását. Egy feladatütemező tevékenység 5 perces késést válthat ki.
  • Győződjön meg arról, hogy a KB4284842 telepítve van a Windows 7 SP1 vagy a Windows Server 2008 R2 SP1 rendszeren. Ez a frissítés megakadályozza a későbbi hitelesítési hibákat, mivel az ügyfél a jelszó módosítása után nem fér hozzá a védett kulcsokhoz.
  • A Microsoft Entra hibrid csatlakoztatása meghiúsulhat, miután egy felhasználó módosította az egyszerű szolgáltatásnevét, és megszakította a közvetlen egyszeri bejelentkezés hitelesítési folyamatát. A csatlakozási folyamat során láthatja, hogy továbbra is elküldi a régi UPN-t a Microsoft Entra-azonosítónak, kivéve, ha a böngésző munkamenet-cookie-jai törlődnek, vagy a felhasználó explicit módon kijelentkezik, és eltávolítja a régi UPN-t.

1. lépés: A regisztrációs állapot lekérése

A regisztrációs állapot ellenőrzése:

  1. Jelentkezzen be azzal a felhasználói fiókkal, amely hibrid Microsoft Entra-csatlakozást hajtott végre.
  2. A parancssor megnyitása
  3. Írja be a következőt: "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

Ez a parancs egy párbeszédpanelt jelenít meg, amely részletesen ismerteti az illesztés állapotát.

Screenshot of the Workplace Join for Windows dialog box. Text that includes an email address states that a certain device is joined to a workplace.

2. lépés: A Microsoft Entra hibrid csatlakozás állapotának értékelése

Ha az eszköz nem a Microsoft Entra hibrid csatlakoztatása volt, a "Csatlakozás" gombra kattintva megkísérelheti a Microsoft Entra hibrid csatlakoztatását. Ha a Microsoft Entra hibrid csatlakoztatási kísérlete meghiúsul, megjelennek a hiba részletei.

A leggyakoribb problémák a következők:

  • Helytelenül konfigurált AD FS- vagy Microsoft Entra-azonosítóval vagy hálózattal kapcsolatos problémák

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account authentication.

    • Az Autoworkplace.exe nem tud csendesen hitelesíteni a Microsoft Entra-azonosítóval vagy az AD FS-vel. Ezt a problémát okozhatja a hiányzó vagy helytelenül konfigurált AD FS (összevont tartományok esetében), vagy a Microsoft Entra zökkenőmentes egyszeri bejelentkezése (felügyelt tartományok esetében) vagy hálózati problémák.
    • Előfordulhat, hogy a többtényezős hitelesítés (MFA) engedélyezve van/konfigurálva van a felhasználó számára, és a WIAORMULTIAUTHN nincs konfigurálva az AD FS-kiszolgálón.
    • Egy másik lehetőség az, hogy az otthoni tartományfelderítési (HRD) oldal a felhasználói beavatkozásra vár, ami megakadályozza , hogy az autoworkplace.exe csendesen kérjen jogkivonatot.
    • Előfordulhat, hogy az AD FS és a Microsoft Entra URL-címek hiányoznak az IE intranetes zónájában az ügyfélen.
    • A hálózati csatlakozási problémák megakadályozhatják , hogy az autoworkplace.exe elérje az AD FS-t vagy a Microsoft Entra URL-címeit.
    • Az Autoworkplace.exe megköveteli, hogy az ügyfél közvetlen látóvonalat láthasson az ügyféltől a szervezet helyszíni AD-tartományvezérlőjéhez, ami azt jelenti, hogy a Microsoft Entra hibrid csatlakoztatása csak akkor sikerül, ha az ügyfél csatlakozik a szervezet intranetjéhez.
    • Ha szervezete a Microsoft Entra közvetlen egyszeri bejelentkezést használ, https://autologon.microsoftazuread-sso.com nem jelenik meg az eszköz IE intranetes beállításai között.
    • Az internetbeállítás Do not save encrypted pages to disk be van jelölve.

  • Nincs bejelentkezve tartományi felhasználóként

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred during account verification.

    A probléma több különböző oka is lehet:

    • A bejelentkezett felhasználó nem tartományi felhasználó (például helyi felhasználó). A Microsoft Entra hibrid csatlakoztatása alacsonyabb szintű eszközökön csak a tartományi felhasználók számára támogatott.
    • Az ügyfél nem tud csatlakozni egy tartományvezérlőhöz.

  • Elértek egy kvótát

    Screenshot of the Workplace Join for Windows dialog box. Text reports an error because the user has reached the maximum number of joined devices.

  • A szolgáltatás nem válaszol

    Screenshot of the Workplace Join for Windows dialog box. Text reports that an error occurred because the server didn't respond.

Az állapotinformációkat az eseménynaplóban is megtalálhatja a következő alatt: Alkalmazások és szolgáltatások naplója\Microsoft-Workplace Join

A sikertelen Microsoft Entra hibrid illesztés leggyakoribb okai a következők:

  • A számítógép nem csatlakozik a szervezet belső hálózatához vagy a helyszíni AD-tartományvezérlőhöz csatlakozó VPN-hez.
  • A rendszer helyi számítógépfiókkal jelentkezik be a számítógépre.
  • Szolgáltatáskonfigurációs problémák:
    • Az AD FS-kiszolgáló nincs konfigurálva a WIAORMULTIAUTHN támogatására.
    • A számítógép erdőjében nincs olyan Service Csatlakozás ion Point objektum, amely az ellenőrzött tartomány nevére mutat a Microsoft Entra-azonosítóban
    • Vagy ha a tartomány kezelése folyamatban van, akkor a közvetlen egyszeri bejelentkezés nem lett konfigurálva vagy működik.
    • Egy felhasználó elérte az általa regisztrálható eszközök maximális számát.

További lépések